Loi 25 en clair pour les PME du Québec
Vous tenez une liste Excel de clients, vous payez la paie dans le nuage et votre site Web a un formulaire de contact ? Vous traitez déjà des renseignements personnels. La réforme qu'on appelle Loi 25 ne vise pas seulement les multinationales : elle s'applique aussi à une équipe de cinq personnes au Québec, et elle place les droits des personnes au centre, pas seulement les politiques internes.
« Loi 25 » : de quoi parle-t-on exactement ?
Ce n'est pas le nom court d'une seule page de loi à retenir par cœur. En pratique, on dit Loi 25 pour la grande réforme de 2021 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels). D'autres textes au Québec ont pu porter le numéro 25 ; dans le commerce, les RH et le Web, on parle presque toujours de cette réforme.
Point à retenir : pour une PME du secteur privé, le texte du quotidien est la loi sur la protection des renseignements personnels dans le secteur privé (P-39.1 sur LégisQuébec), telle que modernisée, pas un « règlement Loi 25 » séparé. La CAI (Commission d'accès à l'information) publie des guides et traite les plaintes.
Historique en bref
Pendant des années, on parlait surtout du projet de loi 64. Adoptée en 2021, la réforme est devenue la loi que l'on surnomme Loi 25. Les nouvelles règles se sont déployées par étapes (septembre 2022, 2023 et 2024) : délais, gouvernance, incidents, puis droits renforcés, pour laisser le temps aux PME de s'organiser.
Objectifs de la réforme
Le Québec voulait renforcer la confiance du public face au numérique : commerce en ligne, infonuagique, marketing ciblé, fuites de données. La loi rappelle une idée simple : les renseignements personnels appartiennent aux personnes concernées. Les organisations doivent les traiter de façon transparente, loyale et sécuritaire, et répondre quand une personne exerce ses droits.
Concrètement pour une PME : informer avant de collecter, sécuriser les fichiers, nommer un responsable, réagir aux incidents et traiter les demandes des clients dans les délais. Nous n'avons pas besoin d'un département juridique pour commencer ; nous avons besoin de clarté et de constance.
Les droits des personnes : ce que vos clients peuvent exiger
Si vous ne retenez qu'un pilier de la Loi 25 en tant que PME, ce devrait être celui-ci : toute personne dont vous détenez des renseignements peut exercer des droits face à votre organisation. Ce n'est pas réservé aux grands comptes : un client qui écrit « Qu'avez-vous sur moi ? » déclenche les mêmes règles chez vous que chez une banque.
- Droit d'accès : savoir quels renseignements vous détenez et en obtenir une copie.
- Rectification : corriger des renseignements inexacts ou incomplets.
- Retrait du consentement : lorsque le traitement repose sur le consentement (infolettre, certains traceurs).
- Portabilité : recevoir certains renseignements dans un format structuré et couramment utilisé (depuis septembre 2024).
- Cessation de diffusion et désindexation : dans les cas prévus par la loi (souvent appelé « droit à l'oubli »).
- Plainte à la CAI : si la personne estime que ses droits ne sont pas respectés.
Le silence n'est pas une stratégie. Ignorer une demande ou la noyer dans une boîte générique non surveillée est l'un des pièges les plus fréquents, et souvent le plus coûteux en réputation.
En pratique : une adresse courriel dédiée (souvent celle du responsable PRP), un délai de réponse en règle générale de 30 jours, et une politique de confidentialité qui explique comment exercer ces droits. Pour le détail des démarches, modèles de réponse et pièges : droits des clients sous la Loi 25 et portabilité et désindexation.
Qui est visé ?
- Entreprises privées qui collectent, utilisent ou communiquent des renseignements personnels dans le cadre d'une entreprise.
- OBNL, associations, cabinets professionnels et coopératives, selon leurs activités.
- Très petites structures : dès qu'il y a un fichier de clients, d'employés ou de fournisseurs, des obligations s'appliquent (parfois avec des nuances selon la taille et le secteur).
Le critère n'est pas « avoir un grand service TI », mais traiter des renseignements personnels.
Grandes dates à retenir
Les obligations se sont étalées en septembre 2022, 2023 et 2024. Aujourd'hui, les phases sont toutes en vigueur : il s'agit de consolider vos pratiques (registres, politiques, formation), pas d'attendre la prochaine échéance.
Détail par phase : étapes clés de mise en conformité 2022, 2023 et 2024.
Par où commencer dans une PME ?
- Comprendre les droits des personnes : savoir quoi faire quand un client écrit (accès, rectification, retrait). Voir notre guide droits des clients.
- Identifier le PRP : qui joue le rôle de responsable de la protection des renseignements personnels et publier ses coordonnées (courriel surveillé, pas une boîte générique).
- Suivre un plan réaliste : notre plan d'action en 7 étapes évite de tout vouloir faire en une semaine.
- Aligner le site Web : politique (avec section droits), cookies, formulaires. Voir politique de confidentialité PME, politique Web et bannière cookies.
En bref
- Loi 25 désigne la réforme de 2021 ; au quotidien, la PME privée vit surtout la loi P-39.1 modernisée.
- Les droits des personnes (accès, rectification, portabilité, plainte CAI) sont au cœur du cadre, pas un détail pour les grandes entreprises seulement.
- Si vous avez des clients, des employés ou un site Web, vous êtes probablement visé.
- Les échéances 2022–2024 sont passées : on consolide, on documente, on répond aux demandes dans les délais.
- Quatre leviers rapides : droits compris, PRP publié, plan en 7 étapes, site Web cohérent avec vos pratiques.
Références utiles
- Loi sur la protection des renseignements personnels dans le secteur privé (P-39.1) : texte officiel sur LégisQuébec.
- CAI, Droits des citoyens : vue officielle des droits et recours.
- CAI, Protection des renseignements personnels : guides et outils pour les organisations.
- Droits des clients : réception des demandes et délais en PME.
- Étapes de conformité 2022, 2023 et 2024 : calendrier des phases d'entrée en vigueur.
Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.
Vérifier votre site Web
Plusieurs obligations de la Loi 25 se manifestent sur votre site public : politique (dont les droits), cookies, coordonnées du PRP. Notre analyse technique gratuite aide à repérer les écarts observables. Elle complète, sans remplacer, votre programme de conformité ni vos réponses aux demandes des personnes.