Question 1

La Loi 25 s'applique-t-elle à ma petite entreprise ?

Accepted Answer

Oui. La Loi 25 s'applique à toute personne qui exploite une entreprise au Québec et qui collecte, utilise ou communique des renseignements personnels, quelle que soit la taille de l'organisation. Une entreprise de 3 employés qui collecte des adresses courriel de clients, qui traite des CV de candidats ou qui enregistre des informations de paiement est pleinement visée. Les seules personnes exemptées sont les individus qui collectent des renseignements personnels à des fins strictement personnelles, sans lien avec une activité commerciale. Les obligations de base — désignation d'un responsable, politique de confidentialité, gestion des incidents — s'appliquent à toutes les entreprises sans exception, dès le premier renseignement personnel collecté.

Question 2

Quelles sont les sanctions prévues par la Loi 25 ?

Accepted Answer

La Loi 25 prévoit deux types de sanctions. Les sanctions pénales, imposées par la Commission d'accès à l'information (CAI) ou le procureur général, peuvent atteindre 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial de l'entreprise, selon le montant le plus élevé. Les sanctions administratives pécuniaires (SAP), imposées directement par la CAI, peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial. Ces montants s'appliquent par infraction. Une organisation qui n'a pas désigné de responsable ET qui n'a pas de politique de confidentialité ET qui n'a pas déclaré un incident pourrait faire face à des sanctions cumulatives. La CAI peut également ordonner la suspension de la collecte de données, ce qui peut paralyser les opérations d'une entreprise dont l'activité dépend du traitement de données.

Question 3

Qu'est-ce qu'une EFVP et dans quel cas est-elle obligatoire ?

Accepted Answer

L'EFVP (Évaluation des facteurs relatifs à la vie privée) est une analyse formelle et documentée qui évalue les risques d'atteinte à la vie privée avant la mise en œuvre d'un projet impliquant des renseignements personnels. Elle est obligatoire dans trois situations principales au Québec : premièrement, lorsque vous communiquez des renseignements personnels à un partenaire situé à l'extérieur du Québec — ce qui inclut l'utilisation de services cloud américains comme Microsoft Azure, Google Workspace, Salesforce ou HubSpot ; deuxièmement, avant tout nouveau projet technologique qui collecte, utilise ou communique des renseignements personnels de façon significative ; troisièmement, avant d'externaliser le traitement de renseignements personnels à un tiers (ex. : firme de paie externe, agence marketing qui accède à votre CRM). L'EFVP doit être documentée et disponible pour consultation par la CAI. Elle n'est pas soumise d'avance à la CAI, mais vous devez être en mesure de la produire sur demande.

Question 4

Mes données dans Microsoft 365 sont-elles visées par la Loi 25 ?

Accepted Answer

Oui, intégralement. Tout renseignement personnel stocké dans votre environnement Microsoft 365 est visé par la Loi 25 : courriels et pièces jointes (Exchange / Outlook), fichiers contenant des données personnelles (OneDrive, SharePoint), conversations et enregistrements (Teams), formulaires (Forms) et tout autre service de l'écosystème Microsoft 365. Deux enjeux spécifiques méritent une attention particulière. Premièrement, les données Microsoft 365 sont traitées dans des centres de données situés hors du Québec (principalement au Canada et aux États-Unis), ce qui déclenche l'obligation de réaliser une EFVP avant d'y stocker des renseignements personnels. Deuxièmement, vous devez vérifier que votre entente de traitement des données (DPA) avec Microsoft est en place et conforme. ABCnumérique effectue un audit complet de votre environnement Microsoft 365 dans le cadre du mandat de conformité, incluant la configuration de Microsoft Purview pour la gouvernance et la rétention des données.

Question 5

Combien de temps faut-il pour se conformer à la Loi 25 ?

Accepted Answer

Pour une PME de moins de 50 employés avec une infrastructure technologique standard, le délai réaliste est de 4 à 8 semaines pour atteindre une conformité substantielle. Ce délai se décompose ainsi : 1 à 2 semaines pour le diagnostic et la cartographie des renseignements personnels ; 2 à 3 semaines pour la rédaction des politiques, du registre et de l'EFVP si requise ; 1 à 2 semaines pour l'implémentation technique (bandeau cookies, droits d'accès M365, chiffrement) ; 1 semaine pour la formation et la validation finale. Les organisations de taille moyenne (50 à 200 employés) ou avec des environnements complexes (ERP, CRM, bases de données multiples, APIs tierces) nécessitent généralement 3 à 6 mois. Point important : la conformité n'est pas un projet ponctuel. Elle doit être maintenue dans le temps — mise à jour des politiques lors de changements opérationnels, formation des nouveaux employés, gestion des incidents et veille sur les modifications législatives à venir (projet de loi C-27 fédéral).

Question 6

Mon site web est-il visé par la Loi 25 ?

Accepted Answer

Oui, dès qu'il collecte un renseignement personnel, même indirectement. Un formulaire de contact qui recueille un nom et une adresse courriel, un système de réservation en ligne, un espace client avec authentification, un pixel Meta/Facebook ou simplement Google Analytics — tous collectent des renseignements personnels et sont pleinement visés par la Loi 25. Vos obligations pour le site web comprennent : afficher une politique de confidentialité claire et accessible depuis toutes les pages du site ; mettre en place un mécanisme de consentement explicite avant l'activation de tout cookie non essentiel (bandeau de consentement conforme) ; configurer Google Analytics 4 en mode consentement (consent mode v2) pour ne pas transmettre de données sans autorisation préalable de l'utilisateur ; permettre à tout utilisateur de retirer son consentement aussi facilement qu'il l'a accordé, à tout moment. ABCnumérique intègre l'ensemble de ces éléments directement dans la conception ou la refonte de votre site web, garantissant une conformité native dès le lancement.

Question 7

Quelle est la différence entre la Loi 25 et le RGPD ?

Accepted Answer

La Loi 25 est la loi québécoise de protection des renseignements personnels. Elle s'inspire largement du RGPD européen, mais avec des particularités propres au contexte québécois et canadien. Le RGPD (Règlement général sur la protection des données) s'applique à toute organisation qui traite des données de résidents de l'Union européenne, quel que soit le pays où l'organisation est établie. Si vous avez des clients en Europe, le RGPD s'applique à vous même depuis le Québec. Les deux lois peuvent donc s'appliquer simultanément. Principales différences pratiques : le RGPD exige une notification d'incident dans les 72 heures ; la Loi 25 exige une notification "dans les meilleurs délais" à la CAI et aux personnes touchées ; le RGPD prévoit la nomination d'un DPO (Data Protection Officer) obligatoire dans certains cas, là où la Loi 25 requiert un responsable de la protection des RP pour toute entreprise ; les montants des sanctions sont calculés différemment. ABCnumérique peut vous accompagner pour les deux cadres simultanément si votre clientèle est internationale.

Question 8

La Loi 25 s'applique-t-elle aux OBNL et organismes sans but lucratif ?

Accepted Answer

Oui, pleinement. La Loi 25 s'applique à toute personne qui exploite une entreprise au Québec, que cette entreprise soit à but lucratif ou non. Les OBNL, OSBL, coopératives, fondations, associations professionnelles et organismes communautaires sont tous visés. Un organisme qui gère des listes de membres, qui traite des inscriptions à des activités ou des événements, qui collecte des dons en ligne, qui reçoit des CV de bénévoles ou qui emploie du personnel est pleinement soumis à la Loi 25. ABCnumérique a développé une offre spécifique pour les OBNL qui tient compte des réalités budgétaires de ces organisations. Notre Forfait OBNL Complet intègre la configuration gratuite de Microsoft 365 (programme OBNL de Microsoft) avec la mise en conformité Loi 25 complète, pour un accompagnement global à un coût accessible.

Conformité Loi 25 - clé en main pour les PME québécoises

Votre entreprise collecte des données. Savez-vous si vous êtes conforme ?

Un guichet unique. Les 3 dimensions couvertes.

Diagnostic de conformité (semaines 1–2)

Cartographie et politiques (semaines 2–4)

Implémentation technique (semaines 4–6)

Formation et validation (semaines 6–8)

Ce que vous recevez à la fin du mandat

Documents légaux et politiques

Implémentation technique

Formation et maintien

Questions fréquentes

Ce service se combine naturellement avec

Cybersécurité & Protection

Gouvernance & Organisation des données

Analytics web (GA4 & GTM)

Prêt à passer à l'action avec ABCnumérique ?