Aller au contenu principal

Plateformes web

IA et téléphonie

sur mesure

MEMORA solutions

Loi 25 : guide de conformité pour les PME du Québec (2026)

Loi 25 : guide de conformité pour les PME du Québec (2026)

• Par MEMORA solutions

Qui est visé, quelles obligations et quels risques de sanctions ? Le guide 2026 de la Loi 25 pour les PME du Québec, fondé uniquement sur les sources officielles (CAI, LegisQuébec).

Réponse rapide

La « Loi 25 » désigne la loi modificatrice adoptée au Québec en 2021, qui a profondément renforcé la « Loi sur la protection des renseignements personnels dans le secteur privé » (RLRQ, chapitre P-39.1) (LegisQuébec - P-39.1 ; CAI - Principaux changements de la Loi 25).

Qui est visé ? Toute entreprise privée du Québec qui détient des renseignements personnels sur ses clients, employés ou prospects (CAI - Information aux entreprises privées).

Les obligations majeures : désigner un responsable de la protection des renseignements personnels, gérer les incidents de confidentialité (et tenir un registre), obtenir un consentement valable, diffuser une politique de confidentialité, réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) dans les cas prévus et assurer la transparence dès la collecte (CAI - Information aux entreprises privées).

Le risque ? Des sanctions administratives pécuniaires pouvant atteindre 2 % du chiffre d'affaires mondial ou 10 M$, et des sanctions pénales allant jusqu'au plus élevé de 25 M$ ou 4 % du chiffre d'affaires mondial (CAI - Sanctions et poursuites).

Important : les faits ci-dessous ont été vérifiés aux sources officielles (CAI Québec, LegisQuébec) le 2026-05-29. Ce contenu est informatif et ne constitue pas un avis juridique (voir l'encadré en fin d'article).


Table des matières


C'est quoi la Loi 25

Le nom officiel du texte est la « Loi sur la protection des renseignements personnels dans le secteur privé », identifiée par RLRQ, chapitre P-39.1 (LegisQuébec - P-39.1).

L'appellation « Loi 25 » est le nom courant de la loi modificatrice adoptée en 2021, qui est venue moderniser la P-39.1 (ainsi que d'autres lois) afin de renforcer la protection des renseignements personnels (CAI - Principaux changements de la Loi 25).

Autrement dit : quand on parle de « se conformer à la Loi 25 », on parle concrètement de respecter les obligations de la P-39.1 telle que modifiée depuis 2021.


Calendrier d'entrée en vigueur

Les nouvelles obligations de la Loi 25 sont entrées en vigueur de façon échelonnée, sur trois dates clés (CAI - Principaux changements de la Loi 25) :

Date d'entrée en vigueur Principales obligations Source officielle
Septembre 2022 Communication de renseignements sans consentement lors d'une transaction commerciale ou à des fins de recherche ; entrée en fonction des pouvoirs de la Commission (CAI). CAI - Principaux changements
Septembre 2023 Consentement renforcé ; transparence ; EFVP (évaluation des facteurs relatifs à la vie privée) ; anonymisation ; communication hors Québec ; politiques de gouvernance ; paramètres de confidentialité par défaut au plus haut niveau ; règles particulières pour les mineurs de moins de 14 ans. CAI - Principaux changements
22 septembre 2024 Droit à la portabilité des données. CAI - Principaux changements

À retenir pour une PME : l'essentiel des obligations opérationnelles (consentement, transparence, EFVP, gouvernance, paramètres par défaut) est en vigueur depuis septembre 2023, et le droit à la portabilité s'ajoute depuis le 22 septembre 2024 (CAI - Principaux changements).


Vos obligations concrètes

Voici les principales obligations qui incombent aux entreprises privées, telles que présentées par la Commission d'accès à l'information (CAI - Information aux entreprises privées).

1. Désigner un responsable de la protection des renseignements personnels. Par défaut, cette fonction revient à la personne ayant la plus haute autorité dans l'entreprise. Elle peut être déléguée par écrit à une autre personne, et les coordonnées du responsable doivent être publiées sur le site Web de l'entreprise (CAI - Information aux entreprises privées).

2. Gérer les incidents de confidentialité. En cas d'incident de confidentialité, l'entreprise doit, lorsqu'il présente un risque de préjudice sérieux, le déclarer à la Commission et aviser les personnes concernées. Elle doit aussi tenir un registre des incidents de confidentialité (CAI - Information aux entreprises privées).

3. Obtenir un consentement valable. Le consentement à la collecte ou à l'utilisation de renseignements personnels doit être manifeste, libre et éclairé, et donné à des fins précises (CAI - Information aux entreprises privées).

4. Diffuser une politique de confidentialité. L'entreprise doit établir et diffuser une politique de confidentialité encadrant le traitement des renseignements personnels (CAI - Information aux entreprises privées).

5. Réaliser une EFVP lorsque requis. Une évaluation des facteurs relatifs à la vie privée (EFVP) doit être réalisée dans les cas prévus, notamment avant une communication de renseignements hors du Québec (CAI - Information aux entreprises privées).

6. Assurer la transparence à la collecte. L'entreprise doit faire preuve de transparence dès la collecte des renseignements personnels (CAI - Information aux entreprises privées).


Sanctions

Le non-respect de la Loi 25 peut entraîner deux grands types de sanctions : administratives pécuniaires et pénales (CAI - Sanctions et poursuites).

Type de sanction Qui Montant officiel Source
Sanction administrative pécuniaire Entreprise Jusqu'à 2 % du chiffre d'affaires mondial OU 10 M$ CAI - Sanctions et poursuites
Sanction pénale Personne physique 5 000 $ à 100 000 $ CAI - Sanctions et poursuites
Sanction pénale Entreprise De 15 000 $ jusqu'au plus élevé de 25 M$ OU 4 % du chiffre d'affaires mondial de l'exercice précédent CAI - Sanctions et poursuites

À cela s'ajoutent deux précisions officielles importantes (CAI - Sanctions et poursuites) :

  • Les montants des sanctions pénales sont doublés en cas de récidive.
  • La prescription des poursuites pénales est de 5 ans.

Avertissement : ceci n'est pas un avis juridique

Encadré transparence - Ce guide est fourni à des fins strictement informatives et ne constitue pas un avis juridique. Les obligations de la Loi 25 s'appliquent au cas par cas selon votre situation. Pour toute décision, validez votre situation auprès de la Commission d'accès à l'information (CAI) ou d'un conseiller juridique qualifié. La CAI précise d'ailleurs que les textes qu'elle diffuse à titre d'information n'ont pas force de loi ; seuls les textes officiels (LegisQuébec) font foi (CAI - Information aux entreprises privées ; LegisQuébec - P-39.1).


Foire aux questions (FAQ)

1. Qu'est-ce que la « Loi 25 » exactement ?

La « Loi 25 » est le nom courant de la loi modificatrice adoptée en 2021 qui a renforcé la « Loi sur la protection des renseignements personnels dans le secteur privé » (RLRQ, chapitre P-39.1) (LegisQuébec - P-39.1 ; CAI - Principaux changements).

2. Mon entreprise est-elle visée par la Loi 25 ?

Oui, si vous êtes une entreprise privée du Québec qui détient des renseignements personnels (sur des clients, employés ou prospects), vous êtes visé (CAI - Information aux entreprises privées).

3. Quelles sont mes principales obligations ?

Désigner un responsable de la protection des renseignements personnels (et publier ses coordonnées sur votre site), gérer les incidents de confidentialité et tenir un registre, obtenir un consentement manifeste, libre et éclairé à des fins précises, diffuser une politique de confidentialité, réaliser une EFVP quand requis (notamment avant une communication hors Québec) et assurer la transparence à la collecte (CAI - Information aux entreprises privées).

4. Que risque mon entreprise en cas de non-conformité ?

Des sanctions administratives pécuniaires pouvant atteindre 2 % du chiffre d'affaires mondial ou 10 M$, et des sanctions pénales allant, pour une entreprise, de 15 000 $ jusqu'au plus élevé de 25 M$ ou 4 % du chiffre d'affaires mondial de l'exercice précédent (5 000 $ à 100 000 $ pour une personne physique). Les montants sont doublés en cas de récidive et la prescription est de 5 ans (CAI - Sanctions et poursuites).

5. Depuis quand ces obligations s'appliquent-elles ?

L'entrée en vigueur a été échelonnée : septembre 2022 (communication sans consentement lors d'une transaction commerciale ou pour recherche, pouvoirs de la Commission), septembre 2023 (consentement renforcé, transparence, EFVP, anonymisation, communication hors Québec, gouvernance, paramètres par défaut au plus haut niveau, mineurs de moins de 14 ans) et 22 septembre 2024 (droit à la portabilité des données) (CAI - Principaux changements).


En résumé

La Loi 25 (officiellement la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ chapitre P-39.1, modernisée par la loi modificatrice de 2021) vise toute entreprise privée du Québec qui détient des renseignements personnels (LegisQuébec - P-39.1 ; CAI - Information aux entreprises privées). Les obligations clés - responsable de la protection, gestion des incidents et registre, consentement valable, politique de confidentialité, EFVP et transparence - sont en vigueur depuis septembre 2023, complétées par le droit à la portabilité depuis le 22 septembre 2024 (CAI - Principaux changements). Le non-respect expose à des sanctions lourdes : jusqu'à 2 % du chiffre d'affaires mondial ou 10 M$ (administratives) et jusqu'au plus élevé de 25 M$ ou 4 % du chiffre d'affaires mondial (pénales pour une entreprise) (CAI - Sanctions et poursuites).

MEMORA aide les PME du Québec à se conformer à la Loi 25 - gouvernance, consentement et plugin MEMORA Consent Manager - à partir de 99 $/mois, consultation gratuite. Prenez rendez-vous pour évaluer votre niveau de conformité.

Pour aller plus loin, consultez nos services et notre article SEO local pour PME au Québec : le guide 2026.


À propos de l'auteur

MEMORA solutions accompagne les PME du Québec dans leur présence numérique et leur conformité : gouvernance des renseignements personnels, consentement, politique de confidentialité et outils techniques (dont le plugin MEMORA Consent Manager). Notre approche est concrète, mesurée et ancrée dans la réalité des petites et moyennes entreprises québécoises.

Faits vérifiés aux sources officielles (CAI Québec, LegisQuébec) le 2026-05-29 ; ce contenu est informatif et ne constitue pas un avis juridique.


Sources

Stéphane Lapointe
Stéphane Lapointe
Fondateur et conseiller stratégique, MEMORA solutions

Plus de 20 ans d'expérience en développement web, plateformes d'entreprise et technologies numériques au Québec.

Partager :

Discutons de votre
prochain projet

Cet article vous a inspiré ? Passez à l'action sans surprise financière. Un site web performant avec des coûts 100 % prévisibles, sans aucune mise de fonds initiale.

Démarrer un projet

Sans engagement - réponse sous 72 h

Parlons! Appeler
Gagnez du temps : Léo vous guide.