« La Loi 25, c'est pour les grandes entreprises, pas pour nous. » C'est l'idée reçue la plus répandue — et la plus risquée. En réalité, la Loi 25 (qui modernise la protection des renseignements personnels au Québec) s'applique à presque toutes les entreprises qui recueillent des renseignements sur des clients, des employés ou des membres. Même une PME de trois personnes ou un petit OBNL est concerné dès qu'il détient des noms, des courriels, des dossiers ou des informations de paiement.
Bonne nouvelle : pour une petite organisation, se mettre en règle tient surtout à quelques gestes de bon sens. Voici ce qui compte vraiment.
Cet article est une vulgarisation à titre informatif, pas un avis juridique. Pour valider votre situation précise, consultez un conseiller juridique. Notre rôle à nous, c'est le volet technique et sécurité.
Les obligations qui touchent (presque) toutes les PME
Désigner un responsable de la protection des renseignements personnels. Par défaut, c'est la personne ayant la plus haute autorité dans l'organisation, mais le rôle peut être délégué. Son titre et ses coordonnées doivent être faciles à trouver (souvent sur votre site).
Se doter d'une politique de confidentialité claire. Elle explique quels renseignements vous recueillez, pourquoi, et comment les gens peuvent exercer leurs droits. Si vous collectez des renseignements via un site web ou une technologie, cette politique doit être publiée et compréhensible.
Obtenir un consentement clair. On ne recueille que ce dont on a besoin, pour une finalité annoncée, avec le consentement de la personne — pas de cases pré-cochées ni de collecte « au cas où ».
Tenir un registre des incidents de confidentialité. En cas d'incident (une fuite, un vol de données, un rançongiciel…) présentant un risque de préjudice sérieux, vous devez aviser la Commission d'accès à l'information (CAI) et les personnes concernées. Ce registre n'est pas optionnel.
Encadrer les données qui sortent de votre organisation. Héberger vos données chez un fournisseur infonuagique ou les communiquer hors Québec implique des vérifications et, dans certains cas, une évaluation formelle. C'est souvent ici que les PME sont prises au dépourvu.
Respecter les droits des personnes. Accès, rectification, retrait du consentement et, depuis 2024, portabilité des données : vous devez pouvoir répondre à ces demandes dans un délai raisonnable.
Votre plan d'action, côté informatique
La conformité repose en grande partie sur la sécurité de vos systèmes. Voici les actions concrètes qui font le gros du travail :
- Faire l'inventaire des renseignements personnels : lesquels détenez-vous, où sont-ils stockés, et qui y a accès ?
- Restreindre les accès selon le principe du moindre privilège : chacun n'accède qu'à ce dont il a besoin.
- Sécuriser les données : MFA, chiffrement des appareils, sauvegardes fiables et à jour.
- Publier une politique de confidentialité à jour et accessible sur votre site.
- Préparer une procédure d'incident et le registre associé, pour réagir vite et correctement.
- Documenter vos fournisseurs infonuagiques et où vos données sont hébergées.
- Prévoir un processus pour traiter les demandes d'accès, de rectification et de portabilité.
À retenir : la Loi 25 vous concerne dès que vous détenez des renseignements sur des personnes. Pour une PME, l'essentiel se résume à trois choses : savoir quelles données vous avez, les sécuriser et être prêt à réagir en cas d'incident. Le volet juridique se règle avec un conseiller ; le volet technique, avec nous.
Pour agir dès maintenant, notre aide-mémoire cybersécurité couvre plusieurs de ces points, et notre service d'infrastructure cloud et sauvegarde aide à héberger vos données de façon sécuritaire. Besoin d'un coup de main sur le volet sécurité de votre conformité ? On peut en discuter.