Loi 25 en clair pour les PME du Québec

Vous tenez une liste Excel de clients, vous payez la paie dans le nuage et votre site Web a un formulaire de contact ? Vous traitez déjà des renseignements personnels. La réforme qu'on appelle Loi 25 ne vise pas seulement les multinationales : elle s'applique aussi à une équipe de cinq personnes au Québec.

« Loi 25 » : de quoi parle-t-on exactement ?

Ce n'est pas le nom court d'une seule page de loi à retenir par cœur. En pratique, les gens disent Loi 25 pour la grande réforme de 2021 dont le titre officiel est : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. D'autres textes au Québec ont pu porter le numéro 25 ; dans le commerce, les RH et le Web, on parle presque toujours de cette réforme.

Point à retenir : pour une PME du secteur privé, le texte du quotidien est surtout la loi sur la protection des renseignements personnels dans le secteur privé (P-39.1), telle que modernisée — pas un « règlement Loi 25 » séparé.

Pour une PME du secteur privé, le document de référence au quotidien est surtout la loi sur la protection des renseignements personnels dans le secteur privé (P-39.1 sur LégisQuébec), telle que mise à jour. La CAI (Commission d'accès à l'information) publie des guides et traite les plaintes.

Historique en bref

Pendant des années, on parlait surtout du projet de loi 64 — la réforme portée par le gouvernement du Québec pour moderniser la protection des renseignements personnels. Adoptée en 2021, elle est devenue la loi que l'on surnomme aujourd'hui Loi 25. Les nouvelles règles se sont déployées par étapes (septembre 2022, 2023 et 2024) pour laisser le temps aux organisations de s'organiser — surtout les PME.

Objectifs de la réforme

Le Québec voulait renforcer la confiance du public et aligner ses exigences sur les réalités numériques : commerce en ligne, infonuagique, marketing ciblé, fuites de données. La loi rappelle que les renseignements personnels appartiennent aux personnes concernées et que les organisations doivent les traiter de façon transparente et sécuritaire.

Concrètement pour une PME : mieux informer les clients, sécuriser les données, nommer un responsable, réagir aux incidents et tenir des documents à jour. Nous n'avons pas besoin d'un département juridique pour commencer — nous avons besoin de clarté et de constance.

Qui est visé ?

• Entreprises privées qui collectent, utilisent ou communiquent des renseignements personnels dans le cadre d'une entreprise.
• OBNL, associations, cabinets professionnels et coopératives, selon leurs activités.
• Très petites structures : dès qu'il y a un fichier de clients, d'employés ou de fournisseurs, des obligations s'appliquent (parfois avec des nuances selon la taille et le secteur).

Le critère n'est pas « avoir un grand service TI », mais traiter des renseignements personnels.

Grandes dates à retenir

Les obligations se sont étalées en septembre 2022, 2023 et 2024. Aujourd'hui, les phases sont toutes en vigueur : il s'agit de consolider vos pratiques (registres, politiques, formation), pas d'attendre la prochaine échéance.

Détail par phase : étapes clés de mise en conformité 2022, 2023 et 2024.

Par où commencer dans une PME ?

1. Identifier le PRP — qui joue le rôle de responsable de la protection des renseignements personnels et publier ses coordonnées (courriel surveillé, pas une boîte générique).
2. Suivre un plan réaliste — notre plan d'action en 7 étapes évite de tout vouloir faire en une semaine.
3. Aligner le site Web — politique, cookies, formulaires : voir aussi politique Web conforme et bannière cookies.

En bref

• Loi 25 désigne la réforme de 2021; au quotidien, la PME privée vit surtout la loi P-39.1 modernisée.
• Si vous avez des clients, des employés ou un site Web, vous êtes probablement visé.
• Les échéances 2022–2024 sont passées : on consolide, on documente, on aligne le public avec la réalité.
• Trois leviers rapides : PRP publié, plan en 7 étapes, site Web cohérent avec vos pratiques.

Références utiles

• Loi sur la protection des renseignements personnels dans le secteur privé (P-39.1) — texte officiel sur LégisQuébec.
• CAI — Protection des renseignements personnels — guides, plaintes et outils pour les organisations.
• Étapes de conformité 2022, 2023 et 2024 — calendrier détaillé des phases d'entrée en vigueur.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

Plusieurs obligations de la Loi 25 se manifestent sur votre site public (politique, cookies, coordonnées du PRP). Notre analyse technique gratuite aide à repérer les écarts observables — elle complète, sans remplacer, votre programme de conformité.