La Loi 25 modernise la protection des renseignements personnels au Québec. Pour une PME, le message est simple : si vous collectez des données sur des clients ou des employés, vous avez des obligations — et elles augmentent avec le temps.
Voici l'essentiel, en langage clair.
À qui ça s'applique?
Pratiquement toute entreprise qui :
- a des clients avec courriel, téléphone ou adresse dans un fichier ;
- utilise un site web avec formulaire de contact ;
- emploie du monde avec des dossiers RH ;
- stocke des factures ou contrats numériques.
Si vous faites affaire au Québec, la Loi 25 vous concerne — peu importe la taille de l'équipe.
Les obligations de base
Politique de confidentialité. Vos clients et employés doivent savoir quelles données vous collectez, pourquoi, et combien de temps vous les gardez. Sur votre site web, c'est la page de confidentialité — en français en priorité.
Responsable de la protection des renseignements. Une personne désignée dans l'entreprise (souvent le propriétaire en PME) qui répond aux questions sur la vie privée.
Sécurité raisonnable. Mots de passe forts, authentification multifacteur (MFA) sur le courriel et les comptes admin, accès limités selon le rôle. Ce n'est pas optionnel — c'est la définition même de « mesures de sécurité appropriées ».
En cas d'incident. Si des renseignements personnels sont exposés (ransomware, courriel compromis, laptop volé), vous devez évaluer l'impact et, selon la gravité, aviser la Commission d'accès à l'information (CAI) et les personnes touchées — dans des délais serrés.
Ce que la Loi 25 n'exige pas (souvent)
Vous n'avez pas besoin d'un logiciel à 50 000 $ ni d'un audit annuel complet dès le premier jour. Vous avez besoin de commencer : inventaire des données, accès verrouillés, sauvegardes testées, et un plan si quelque chose tourne mal.
Pour aller plus loin, un audit Loi 25 avec rapport écrit est une option payante — utile avant une croissance ou une demande d'un gros client.
TI et Loi 25 : le lien direct
Votre fournisseur TI (ou votre « gars informatique ») touche souvent à des données personnelles : courriels, comptes M365, sauvegardes. Votre contrat de service devrait mentionner la confidentialité et les obligations en cas d'incident.
Chez Atlas Numérique, la sensibilisation Loi 25 fait partie de notre pratique — pas un add-on marketing. Voir notre page Conformité Loi 25 pour le détail de ce qu'on offre.
Par où commencer cette semaine
- Vérifiez que votre site a une politique de confidentialité à jour (FR).
- Activez le MFA sur Microsoft 365 — tous les comptes, surtout les admins.
- Listez qui a accès à quoi (courriel, dossiers partagés, logiciels).
- Confirmez que vos sauvegardes fonctionnent — et testez une restauration.
Des questions? Demandez une évaluation gratuite — on peut prioriser les actions HIGH pour votre situation.