Étapes clés de mise en conformité 2022, 2023 et 2024

« On a encore jusqu'à 2024, non? » — j'entends encore cette phrase en réunion. Non. Les trois vagues de septembre sont toutes en vigueur. La question n'est plus « quand », mais « est-ce qu'on tient le cap ».

Point à retenir : la réforme Loi 25 s'est déployée par étapes pour laisser aux PME le temps de s'organiser — pas pour repousser indéfiniment les actions concrètes.

Septembre 2022 — Les fondations

La première vague a posé le cadre. Sans elle, le reste ne tient pas.

• Responsable PRP — désignation officielle et publication des coordonnées (souvent sur le site et dans la politique). Voir responsabilité du PRP.
• Gouvernance et incidents — politiques internes, registre des incidents, procédure quand une fuite survient (procédure d'incident).
• Pouvoirs de la CAI — enquêtes renforcées et sanctions plus dissuasives (sanctions).

Septembre 2023 — Transparence et consentement

Deuxième vague : moins de zones grises pour les employés et le marketing.

• Politique employés — distincte de la politique clients; ce que vous collectez en RH doit être expliqué en bonne et due forme.
• Consentement renforcé — cases précochées et formulations vagues ne suffisent plus pour plusieurs usages (infolettre, cookies non essentiels). Voir consentement.
• EFVP et transferts — évaluation des facteurs relatifs à la vie privée (EFVP) pour certains projets; communication des renseignements hors Québec mieux encadrée.

Septembre 2024 — Droits renforcés

La troisième vague touche surtout ce que vos systèmes doivent livrer aux personnes concernées.

• Portabilité — export structuré (CSV, JSON, export CRM) lorsque c'est techniquement possible.
• Cessation de diffusion et désindexation — retrait de contenu sur votre site; la désindexation chez Google reste un processus à part (portabilité et oubli).
• Confidentialité par défaut — paramètres les plus protecteurs dès l'activation d'un service public (confidentialité par défaut).
• Décisions automatisées — transparence accrue lorsque des décisions vous concernant reposent sur un traitement automatisé.

Où en est votre organisation?

En pratique, dix minutes suffisent pour un premier diagnostic honnête :

1. Check-list express — quinze questions oui/non (lancer la check-list).
2. Plan d'action — comparez vos lacunes au plan en 7 étapes.
3. Site public — politique, cookies, coordonnées du PRP visibles? Un scan technique repère souvent les écarts évidents.

En bref

Nous ne sommes plus en période de transition. Si une obligation de 2022 ou 2023 traîne encore, corrigez-la en même temps que les exigences 2024 — la CAI ne segmente pas votre réalité opérationnelle. Besoin de contexte global ? Loi 25 en clair pour les PME.

Références utiles

• CAI — Protection des renseignements personnels — calendrier et guides de mise en conformité.
• Loi P-39.1 (secteur privé) — texte officiel sur LégisQuébec.
• Loi 25 en clair pour les PME — contexte et portée de la réforme.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

Plusieurs obligations se manifestent sur votre site public (politique, cookies, coordonnées du PRP). Notre analyse technique gratuite aide à repérer les écarts observables — elle complète, sans remplacer, votre programme de conformité.