Qu'est-ce que la Loi 25? Guide complet pour les PME québécoises

La Loi 25 (anciennement le projet de loi 64) est la réforme majeure des lois québécoises sur la protection des renseignements personnels. Depuis septembre 2024, toutes les entreprises au Québec — peu importe leur taille — doivent s'y conformer sous peine d'amendes pouvant atteindre 25 millions de dollars.

Si vous êtes propriétaire d'une PME, travailleur autonome, comptable, avocat ou tout autre professionnel qui collecte des données clients, ce guide est pour vous.

Pourquoi la Loi 25 existe-t-elle?

La Loi 25, officiellement connue sous le nom de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adoptée le 22 septembre 2021. Elle représente la plus importante réforme des lois québécoises sur la vie privée depuis 1994.

Cette loi existe pour répondre à plusieurs réalités :

• La multiplication des fuites de données
• L'évolution rapide des technologies
• L'harmonisation internationale avec le RGPD européen
• La protection des citoyens québécois

Qui est concerné par la Loi 25?

Important : Il n'existe aucune exemption pour les petites entreprises. Que vous soyez une multinationale ou un travailleur autonome, si vous collectez des renseignements personnels au Québec, la Loi 25 s'applique à vous.

La Loi 25 s'applique à :

• Toutes les entreprises privées opérant au Québec
• Les travailleurs autonomes et freelancers
• Les organismes publics
• Les ordres professionnels
• Toute entreprise hors Québec qui collecte des données de résidents québécois

Les exigences clés de la Loi 25

1. Désigner un responsable de la protection des renseignements personnels

Chaque organisation doit désigner une personne responsable. Par défaut, c'est le plus haut dirigeant (PDG, propriétaire) qui assume ce rôle, mais cette fonction peut être déléguée.

Obligation : Les coordonnées de cette personne doivent être publiées sur votre site web (accessible en 2 clics maximum).

2. Obtenir un consentement explicite et spécifique

Fini les formulaires de consentement vagues! La Loi 25 exige que le consentement soit :

• Manifeste, libre et éclairé
• Spécifique — chaque finalité clairement expliquée
• Avec durée de conservation précisée
• Révocable aussi facilement qu'il a été donné

3. Publier une politique de confidentialité

Votre politique de confidentialité doit être rédigée en termes simples et clairs, et inclure :

• Les types de renseignements collectés
• Les fins auxquelles ils sont utilisés
• Les tiers avec qui ils sont partagés
• Les droits des personnes concernées

Les pénalités en cas de non-conformité

La Loi 25 prévoit des sanctions parmi les plus sévères en Amérique du Nord :

| Type de sanction | Montant maximum |

|-----------------|-----------------|

| Administrative | 10 M$ ou 2% du CA mondial |

| Pénale | 25 M$ ou 4% du CA mondial |

| Poursuite privée | Minimum 1 000 $ par personne |

| Récidive | Amendes doublées |

À noter : Les individus peuvent poursuivre directement les entreprises — c'est unique au Canada!

Comment se conformer : 7 étapes pratiques

1. Désignez votre responsable de la protection des renseignements personnels et publiez ses coordonnées
2. Faites l'inventaire de tous les renseignements personnels que vous collectez
3. Rédigez ou mettez à jour votre politique de confidentialité
4. Mettez en place des mécanismes de consentement explicite
5. Établissez un processus pour répondre aux demandes d'accès (délai de 30 jours)
6. Créez un registre des incidents de confidentialité
7. Formez vos employés sur les bonnes pratiques

Comment Meo facilite votre conformité

Meo vous aide à automatiser plusieurs aspects de la conformité Loi 25 :

• Consentement intégré lors du partage de documents
• Hébergement 100% au Québec
• Portail client sécurisé avec authentification
• Gestion des délais de rétention
• Export des données en un clic pour les demandes de portabilité

Essayez Meo gratuitement pendant 30 jours et simplifiez votre conformité à la Loi 25.