Conformité

Loi 25 en résumé : ce qu'une PME doit vraiment faire

8 juillet 2026
Xavier PeichPar Xavier Peich

La Loi 25 résumée pour une PME : cinq gestes concrets classés par risque réel, et ce que la CAI a vraiment sanctionné depuis 2022.

Loi 25 en résumé : ce qu'une PME doit vraiment faire

Cherchez « loi 25 résumé » et vous trouverez deux genres de textes. D'un côté, des analyses de cabinets d'avocats, exactes mais écrites pour des juristes. De l'autre, des pages de vendeurs de conformité qui brandissent l'amende de 25 millions pour vous vendre un forfait. Entre les deux, le dirigeant d'une entreprise de 5 à 50 personnes reste avec sa question : concrètement, je fais quoi ? La question se pose pour votre site web comme pour vos projets d'agents IA, et la réponse honnête est plus courte que ce qu'on vous laisse croire.

Ce texte donne le chemin de conformité minimal et crédible pour une PME québécoise, dans l'ordre du risque réel. Pas le programme complet qu'un chef de la conformité déploierait dans une banque : la courte liste des gestes qui comptent, classés selon ce que la Commission d'accès à l'information (CAI) surveille et sanctionne réellement depuis 2022.

La réponse courte, pour les pressés

La Loi 25 est la réforme québécoise de la protection des renseignements personnels, entrée en vigueur en trois phases entre septembre 2022 et septembre 2024. Elle s'applique à toute entreprise active au Québec, peu importe sa taille. Pour une PME, le minimum crédible tient en cinq gestes : désigner un responsable de la protection des renseignements personnels (par défaut, la personne ayant la plus haute autorité dans l'entreprise) et publier ses coordonnées ; afficher une politique de confidentialité en langage clair ; ne recueillir que les renseignements réellement nécessaires ; tenir un registre des incidents de confidentialité et signaler à la Commission d'accès à l'information ceux qui présentent un risque de préjudice sérieux ; et réaliser une évaluation des facteurs relatifs à la vie privée avant tout nouveau système d'information ou tout transfert de données hors Québec. Les sanctions maximales atteignent 10 millions de dollars ou 2 % du chiffre d'affaires mondial, mais l'application réelle vise d'abord la biométrie et la collecte excessive.

Trois dates, une loi, aucune exemption de taille

La Loi 25 modernise le régime québécois de protection des renseignements personnels. Elle est entrée en vigueur en trois phases : septembre 2022 (désignation d'un responsable, gestion des incidents de confidentialité), septembre 2023 (le gros des obligations : politique de confidentialité, consentement, évaluations des facteurs relatifs à la vie privée, transferts hors Québec, régime de sanctions) et septembre 2024 (droit à la portabilité des données). Depuis cette dernière date, la loi est entièrement en vigueur. Il n'y a plus de période de grâce.

Premier point que les résumés oublient : la loi s'applique à toute entreprise qui recueille des renseignements personnels au Québec, sans seuil de taille. Un travailleur autonome avec un formulaire de contact est visé, comme une multinationale. Ce qui varie, c'est la proportionnalité : personne n'attend d'une entreprise de huit personnes le programme de gouvernance d'une institution financière.

Deuxième point : les chiffres qui font peur sont réels, mais il faut les lire correctement. La CAI peut imposer des sanctions administratives pécuniaires allant jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial, selon le montant le plus élevé. Les poursuites pénales, elles, peuvent mener pour une entreprise à des amendes de 15 000 $ jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial, doublées en cas de récidive. Ce sont des plafonds conçus pour les géants du numérique, pas des tarifs. La vraie question est ailleurs : qu'est-ce que la CAI fait réellement de ces pouvoirs ?

Ce que la CAI a vraiment sanctionné depuis 2022

Au moment d'écrire ces lignes (juillet 2026), la CAI n'a annoncé publiquement aucune sanction administrative pécuniaire contre une entreprise nommée. Son bilan d'application depuis la réforme est fait d'ordonnances et de recommandations, et il dessine un profil très clair.

En septembre 2024, sa section de surveillance a rendu sa première décision depuis la réforme : elle a ordonné à une imprimerie de cesser d'utiliser la reconnaissance faciale pour contrôler l'accès de ses employés. En février 2025, elle a interdit à Metro inc. de déployer une banque de données biométriques destinée à repérer les voleurs à l'étalage. Début 2026, elle a rappelé à l'ordre les recruteurs (on ne recueille pas plus que nécessaire pour embaucher) et les propriétaires de logements (pas d'enquête de crédit sans consentement). En mai 2026, l'enquête conjointe menée avec les autres autorités canadiennes sur OpenAI s'est conclue par des recommandations sur le consentement et la conservation des données.

Trois leçons. D'abord, la biométrie est la zone rouge : c'est là que la CAI frappe le plus fort, et le piège classique d'une PME est la pointeuse à empreintes digitales ou à reconnaissance faciale installée sans réfléchir. Toute banque de caractéristiques biométriques doit d'ailleurs être déclarée à la CAI au moins 60 jours avant sa mise en service. Ensuite, le critère de nécessité est appliqué pour vrai : recueillir des données « au cas où » est précisément ce que les décisions récentes condamnent. Enfin, la machine démarre presque toujours par une plainte : un employé, un client, un candidat. Votre exposition réelle n'est pas une amende de 10 millions demain matin ; c'est une enquête déclenchée par une plainte, qui aboutit à une ordonnance capable d'arrêter net une pratique sur laquelle vous avez bâti un processus.

L'absence d'amendes spectaculaires n'est pas un plan de conformité pour autant. Le cadre d'application des sanctions est publié, les pouvoirs sont en vigueur depuis septembre 2023, et un dossier d'enquête où l'entreprise n'a ni responsable désigné, ni politique, ni registre est exactement le genre de dossier où une sanction devient probable.

Le minimum crédible, en cinq gestes

Voici la liste, dans l'ordre où je la ferais, c'est-à-dire dans l'ordre de ce qui se voit de l'extérieur et de ce qui se sanctionne.

1. Désignez le responsable et publiez ses coordonnées. Par défaut, la loi attribue le rôle de responsable de la protection des renseignements personnels à la personne ayant la plus haute autorité dans l'entreprise : vous, probablement. Vous pouvez le déléguer par écrit. Le titre et les coordonnées du responsable doivent être publiés, en pratique sur votre site web. C'est une heure de travail, et c'est la première chose qu'un plaignant ou un enquêteur vérifie.

2. Affichez une politique de confidentialité en langage clair. Si votre site recueille des renseignements par des moyens technologiques (formulaires, infolettre, outils d'analyse), vous devez publier une politique rédigée en termes simples : ce que vous recueillez, pourquoi, qui y a accès, comment consulter ou corriger ses renseignements. C'est la façade de votre conformité, visible de l'extérieur. Une politique générée automatiquement pour la Californie ne compte pas.

3. Ne recueillez que le nécessaire. Passez vos formulaires en revue et retirez les champs que rien ne justifie. Le critère de nécessité est celui que la CAI applique le plus dans ses décisions récentes. Et si un projet touche à la biométrie, arrêtez-vous : déclaration 60 jours d'avance, consentement exprès, et une jurisprudence qui vous est défavorable.

4. Créez le registre des incidents. Toute entreprise doit tenir un registre de ses incidents de confidentialité, y compris ceux qui ne présentent pas de risque sérieux, et conserver ces renseignements au moins cinq ans. Si un incident présente un risque de préjudice sérieux, vous devez aviser la CAI et les personnes concernées. Un tableau d'une page suffit ; l'important est qu'il existe avant l'incident, parce que la CAI peut en exiger une copie.

5. Faites une ÉFVP avant les nouveaux systèmes et les transferts hors Québec. L'évaluation des facteurs relatifs à la vie privée est obligatoire dans deux cas : avant d'acquérir, de développer ou de refondre un système d'information qui touche des renseignements personnels, et avant de communiquer des renseignements hors du Québec. Le seuil est bien « hors du Québec », pas hors du Canada : un fournisseur infonuagique dont les serveurs sont en Ontario ou aux États-Unis déclenche l'obligation. La loi exige une évaluation proportionnée : pour une PME, quelques pages sérieuses valent mieux qu'un rapport de cent pages jamais lu. Nous avons détaillé l'exercice dans notre guide de l'ÉFVP pour un projet d'agent IA.

Et vos outils d'IA là-dedans

Si votre PME utilise ou envisage des agents IA, les cinq gestes restent les mêmes, avec deux points de pression supplémentaires. Le premier : les outils que vos employés utilisent déjà sans vous le dire. Un employé qui colle un dossier client dans un outil d'IA grand public crée exactement le genre d'incident que votre registre devra documenter ; nous avons consacré un article à cette IA fantôme. Le second : la localisation des données. La plupart des modèles d'IA tournent sur des serveurs américains, ce qui déclenche l'ÉFVP de transfert hors Québec ; le détail est ici.

C'est aussi pourquoi la conformité se joue au moment de la conception. Un site web ou un agent construit avec ces obligations en tête coûte à peine plus cher ; le même système rattrapé après coup coûte une refonte.

Par où commencer

Les cinq gestes ci-dessus représentent une semaine de travail concentré, pas un programme de transformation. Si vous partez de zéro, faites les gestes 1 et 2 cette semaine : ils sont visibles de l'extérieur et ne coûtent presque rien. Le reste suit.

Et si votre prochain projet est un nouveau site ou un agent IA, le plus simple est d'intégrer la conformité dès le devis. C'est ce que nous faisons : des sites et des agents conformes par conception, registre et ÉFVP compris.

→ Parlez-nous de votre projet

Ce texte résume une loi pour aider une PME à prioriser, pas un avis juridique. Les obligations exactes dépendent de votre situation : pour les cas ambigus (biométrie, données sensibles, transferts internationaux), consultez un avocat spécialisé. Les textes officiels et les décisions de la CAI font foi.

Xavier Peich

Écrit par

Xavier Peich

Loi 25 en résumé : ce qu'une PME doit vraiment faire | Blog PEICH | PEICH