Loi 25 pour les petites entreprises : Les cinq obligations qui s'appliquent réellement à vous

La Loi 25 du Québec s'applique à toute entreprise qui recueille des renseignements personnels, peu importe sa taille. Si vous avez des clients, des employés ou des fournisseurs, vous êtes probablement visés. Cinq obligations principales importent le plus pour les petites entreprises : obtenir le consentement avant la collecte, avoir une politique de confidentialité, sécuriser les données que vous recueillez, signaler les incidents aux autorités, et répondre aux demandes d'accès dans les 30 jours. Les pénalités commencent à 15 000 $ par violation pour les entreprises selon les articles 89.1-89.2, mais la conformité n'exige pas de service juridique.

La plupart des propriétaires de petites entreprises présument que les lois sur la confidentialité s'appliquent seulement aux grandes corporations. Cette présomption coûte des milliers de dollars aux entreprises québécoises chaque année quand la Commission d'accès à l'information (CAI) enquête sur les plaintes.

La Loi 25 a modernisé les règles québécoises de confidentialité du secteur privé en 2021, avec la plupart des dispositions entrant en vigueur en septembre 2022. Contrairement à PIPEDA, qui se concentre sur les activités commerciales, la Loi 25 ratisse plus large en couvrant toutes les activités d'entreprise au Québec.

---

Qui la Loi 25 couvre réellement

La Loi 25 s'applique à « toute personne qui exploite une entreprise et qui recueille, utilise, communique ou conserve des renseignements personnels dans le cadre de cette entreprise » selon l'article 1. La définition d'« entreprise » selon l'article 1.1 inclut les entreprises individuelles, les sociétés de personnes et les corporations.

Vous êtes visés si vous recueillez des informations sur des clients, employés, contractuels ou fournisseurs. La loi n'établit pas de seuils d'employés ou de minimums de revenus comme certains règlements fédéraux.

L'exemption clé est l'article 11 : les activités purement personnelles ou domestiques. Tenir un blogue amateur sur votre jardin ne compte probablement pas comme une entreprise. Vendre des produits par ce blogue le fait probablement.

La Loi 25 couvre toute entreprise qui traite des renseignements personnels au Québec selon l'article 1, peu importe la taille ou les revenus de l'entreprise. L'accent est mis sur l'activité, non sur l'échelle. Cette application large signifie que même les entreprises individuelles qui recueillent des courriels de clients relèvent du régime québécois de confidentialité.

---

Obligation 1 : Obtenir le consentement avant la collecte

L'article 14 exige le consentement avant de recueillir des renseignements personnels. Pour la plupart des petites entreprises, cela signifie être clair sur ce que vous recueillez et pourquoi avant que quelqu'un vous donne ses informations.

Le consentement exprès fonctionne mieux pour les informations sensibles ou à des fins de marketing selon l'article 12.1. Une case à cocher sur votre formulaire de contact indiquant « J'accepte de recevoir des courriels marketing » respecte cette norme. Les cases pré-cochées ne comptent pas comme consentement valide selon l'exigence de l'article 14 pour un consentement « libre, éclairé et spécifique ».

Le consentement implicite s'applique quand la collecte sert un objectif évident selon l'article 14. Si quelqu'un appelle pour demander une soumission, vous pouvez recueillir ses coordonnées pour fournir cette soumission. Vous ne pouvez pas utiliser ces détails pour du marketing non relié sans consentement additionnel.

Documentez vos mécanismes de consentement. La CAI s'attend à ce que les entreprises démontrent un consentement valide lors d'enquêtes selon l'article 17. Les captures d'écran de vos formulaires et les copies de vos scripts comptent si quelqu'un dépose une plainte.

---

Obligation 2 : Créer une politique de confidentialité qui explique vos pratiques

L'article 8 vous oblige à informer les personnes des fins de collecte avant de recueillir leurs informations. La plupart des entreprises y répondent par une politique de confidentialité affichée sur leur site web et référencée lors de la collecte.

Votre politique nécessite des détails spécifiques selon l'article 8 :

• Quels renseignements personnels vous recueillez
• Pourquoi vous les recueillez (fins d'entreprise)
• Qui pourrait recevoir des copies (fournisseurs, partenaires)
• Combien de temps vous les conservez
• Coordonnées pour les questions de confidentialité

Les modèles génériques manquent souvent les exigences spécifiques au Québec. Votre politique devrait référencer la Loi 25, expliquer les droits selon les articles 27-41 de la loi québécoise sur la confidentialité, et fournir les coordonnées de la CAI si quelqu'un veut déposer une plainte selon l'article 72.

Les petites entreprises négligent souvent les informations des employés. Si vous avez du personnel, votre politique devrait couvrir les données de paie, les évaluations de performance et tout système de surveillance que vous utilisez selon l'article 46.

Une politique de confidentialité selon l'article 8 n'est pas juste une case légale à cocher. C'est votre feuille de route pour traiter les renseignements personnels de manière cohérente et votre première ligne de défense lors d'enquêtes de la CAI selon les articles 70-72, démontrant une conformité proactive avec les exigences québécoises de transparence de l'information.

---

Obligation 3 : Implanter des mesures de sécurité raisonnables

L'article 10 exige des « mesures de sécurité appropriées au degré de sensibilité des renseignements » que vous traitez. Pour les petites entreprises, cela signifie typiquement une hygiène cybersécuritaire de base plus de la documentation.

Les mesures de sécurité essentielles selon l'article 10 incluent :

• Exigences de mots de passe pour les systèmes contenant des renseignements personnels
• Mises à jour logicielles régulières sur les ordinateurs traitant les données clients
• Stockage chiffré pour les informations sensibles (numéros d'assurance sociale, détails de paiement)
• Accès limité aux renseignements personnels selon le besoin de savoir

Documentez vos mesures de sécurité par écrit. Une politique simple décrivant les exigences de mots de passe, les procédures de sauvegarde et qui peut accéder à quelles informations démontre un soin raisonnable selon les exigences de proportionnalité de l'article 10.

La sécurité physique compte aussi. Les dossiers clients ne devraient pas traîner sur les bureaux de réception où les visiteurs peuvent les lire. Verrouillez les classeurs contenant les dossiers d'employés. L'élimination sécurisée signifie déchiqueter ou effacer les données, pas seulement jeter les papiers à la poubelle ordinaire.

Considérez les pratiques de sécurité de vos fournisseurs selon l'article 21. Si vous utilisez des services infonuagiques ou des processeurs tiers, leurs défaillances de sécurité deviennent vos problèmes de conformité. Les plateformes canadiennes comme Augure aident à maintenir la souveraineté des données en gardant les informations à l'intérieur des frontières canadiennes, évitant l'exposition au CLOUD Act américain qui peut compromettre les protections québécoises de confidentialité.

---

Obligation 4 : Signaler les incidents de confidentialité dans les 72 heures

L'article 68 exige la notification d'incident à la CAI dans les 72 heures si l'incident crée « un risque de préjudice sérieux » aux individus affectés. L'article 67 définit le préjudice sérieux comme une atteinte à la réputation, à la dignité, à l'honneur, une perte d'opportunités d'emploi, une perte financière, un vol d'identité, ou des effets négatifs sur le dossier de crédit.

Le préjudice sérieux selon l'article 67 inclut typiquement :

• Numéros d'assurance sociale ou informations financières exposés
• Dossiers de santé divulgués
• Dossiers personnels d'employés accédés par des parties non autorisées

Les incidents mineurs comme envoyer un courriel au mauvais destinataire ne déclenchent généralement pas les exigences de signalement à moins que des informations sensibles soient impliquées.

Votre plan de réponse aux incidents devrait identifier qui appelle la CAI selon l'article 68, comment vous enquêtez sur les incidents, et quand vous notifiez les individus affectés selon l'article 69. La CAI fournit des formulaires de signalement en ligne et s'attend à des détails spécifiques sur ce qui s'est passé, combien de personnes ont été affectées, et ce que vous faites pour prévenir la récurrence.

Gardez des dossiers de tous les incidents de sécurité, même mineurs. Des patterns de petits incidents peuvent indiquer des problèmes de sécurité systémiques qui nécessitent attention selon les obligations continues de sécurité de l'article 10.

---

Obligation 5 : Répondre aux demandes d'accès dans les 30 jours

Les articles 27-28 donnent aux individus le droit d'accéder aux renseignements personnels que vous détenez à leur sujet. Vous avez 30 jours pour répondre aux demandes écrites selon l'article 30, bien que vous puissiez prolonger ceci de 30 jours additionnels dans les cas complexes selon l'article 31.

Les demandes d'accès selon l'article 27 demandent typiquement :

• Tous les renseignements personnels que vous avez sur le demandeur
• Comment vous utilisez ces informations
• Qui reçoit des copies de leurs informations

Vous devez fournir l'information sous forme intelligible selon l'article 32. Les extraits de base de données avec des codes techniques ne respectent pas cette norme. Les résumés en langage clair fonctionnent mieux pour la plupart des petites entreprises.

Vous pouvez charger des frais raisonnables pour les demandes d'accès selon l'article 29, mais plusieurs petites entreprises fournissent les réponses gratuitement pour éviter les disputes de frais. Les demandes complexes impliquant une révision extensive de dossiers justifient de charger pour le temps du personnel.

Vérifiez l'identité du demandeur avant de fournir des renseignements personnels selon l'article 35. Une pièce d'identité gouvernementale ou autre identification fiable prévient la divulgation accidentelle aux mauvaises parties.

Les demandes d'accès selon les articles 27-28 révèlent souvent des lacunes dans vos pratiques de gestion de l'information. Répondre correctement dans les délais de 30 jours exige de savoir quels renseignements personnels vous recueillez, où vous les stockez, et comment vous les utilisez dans toutes les opérations d'entreprise.

---

Conformité pratique pour petits budgets

La conformité à la Loi 25 n'exige pas de logiciel coûteux ou de consultants juridiques pour la plupart des petites entreprises. Commencez par documenter vos pratiques actuelles, puis identifiez les lacunes.

Créez un inventaire simple d'informations listant :

• Quels renseignements personnels vous recueillez (clients, employés, fournisseurs)
• Où vous les stockez (classeurs, systèmes informatiques, services infonuagiques)
• Qui peut y accéder (rôles du personnel, fournisseurs de services externes)
• Combien de temps vous les gardez (calendriers de conservation par type d'information)

Révisez vos formulaires actuels, contrats et contenu web. Plusieurs problèmes de conformité viennent de recueillir plus d'informations que nécessaire ou d'échouer à expliquer clairement les fins de collecte selon l'article 8.

Augure fournit des outils de confidentialité conçus au Canada spécifiquement pour l'environnement réglementaire québécois. Contrairement aux alternatives américaines, ces plateformes évitent l'exposition au CLOUD Act tout en aidant avec le développement de politiques et la planification de réponse aux incidents dans les cadres de souveraineté des données canadiennes.

Formez votre personnel sur les pratiques de base de confidentialité. Tous ceux qui traitent des renseignements personnels devraient comprendre les exigences de consentement selon l'article 14, les attentes de sécurité selon l'article 10, et les procédures de signalement d'incidents selon l'article 68.

---

Pénalités et tendances d'application

La CAI a émis 156 sanctions administratives pécuniaires totalisant 2,3 M $ en 2023, selon leur rapport annuel. Les pénalités pour petites entreprises varient typiquement de 15 000 $ à 25 000 $ par violation selon les articles 89.1-89.2.

Les violations communes incluent :

• Recueillir des informations sans consentement valide (violations de l'article 14)
• Mesures de sécurité inadéquates (violations de l'article 10)
• Échouer à répondre aux demandes d'accès (non-conformité des articles 27-30)
• Utiliser des renseignements personnels au-delà des fins de collecte (violations de l'article 12)

La CAI priorise les cas impliquant des informations sensibles ou de la non-conformité systémique selon l'article 70. Les plaintes uniques sur des problèmes mineurs déclenchent rarement une application formelle, mais les patterns de violations ou des incidents graves de données attirent l'attention réglementaire.

La conformité volontaire résout souvent les enquêtes avant que les pénalités formelles s'appliquent selon l'article 71. Démontrer des efforts de bonne foi pour adresser les problèmes et prévenir la récurrence influence les décisions d'application.

---

Intégration avec les exigences fédérales de confidentialité

Les entreprises québécoises traitent souvent avec les exigences de la Loi 25 et de PIPEDA. La Loi 25 s'applique aux matières provinciales tandis que PIPEDA couvre la juridiction fédérale incluant le commerce interprovincial et les industries sous réglementation fédérale selon la Loi sur la protection des renseignements personnels.

Les lois partagent des principes similaires mais diffèrent dans les détails. Le Principe 3 de PIPEDA permet plus de situations de consentement implicite tandis que l'article 14 de la Loi 25 exige plus de consentement explicite pour les utilisations secondaires. Les deux exigent des mesures de sécurité raisonnables, mais l'article 68 de la Loi 25 fournit des délais de notification d'incident plus spécifiques que les règlements d'incident de PIPEDA.

Quand les exigences sont en conflit, appliquez la norme plus stricte. Le délai de signalement d'incident de 72 heures de la Loi 25 selon l'article 68 est plus rapide que les exigences de PIPEDA, alors les entreprises québécoises devraient planifier pour le délai plus court.

---

Commencer avec la conformité à la Loi 25

Commencez avec votre politique de confidentialité et vos mécanismes de consentement selon les articles 8 et 14. Ceux-ci forment la fondation pour tout le reste et impactent directement les opérations quotidiennes d'entreprise.

Révisez vos formulaires web, procédures d'admission et processus d'intégration clients. Assurez-vous d'expliquer clairement les fins de collecte et d'obtenir le consentement approprié avant de recueillir des renseignements personnels.

Documentez vos pratiques de sécurité actuelles selon l'article 10 et identifiez les zones d'amélioration. Les mesures de cybersécurité de base préviennent la plupart des incidents de confidentialité et démontrent un soin raisonnable lors de révisions réglementaires.

Établissez des procédures de réponse aux incidents avant d'en avoir besoin. Savoir qui contacter et quelles informations recueillir aide à respecter les délais serrés de signalement d'incident de la Loi 25 selon l'article 68.

Prêt à intégrer la conformité à la Loi 25 dans vos opérations d'entreprise ? Les outils de confidentialité conçus au Canada pour l'environnement réglementaire québécois fournissent des ressources et modèles pour aider les petites entreprises à naviguer les exigences de confidentialité sans briser leurs budgets.