« La Loi 25, c'est juste pour les grosses entreprises. » Faux. Si vous avez un site web qui collecte le moindre renseignement (un courriel via formulaire, c'en est un) et que vous êtes au Québec, la Loi 25 s'applique à vous. Solo, deux employés, ou cinq cents.
Ce que la Loi 25 est, en français
Le « Projet de loi 25 », adopté en 2021, modernise la Loi sur la protection des renseignements personnels dans le secteur privé. C'est l'équivalent québécois du RGPD européen. Trois vagues d'application : septembre 2022, septembre 2023, septembre 2024. Depuis, l'arsenal complet est en vigueur.
Trois piliers à retenir :
- Vous devez publier votre politique de confidentialité
- Vous devez désigner un responsable (le RPRP) — par défaut, c'est le propriétaire de l'entreprise
- Vous devez obtenir le consentement explicite avant de collecter, et limiter ce que vous collectez au strict nécessaire
Les amendes — non, ce n'est pas une menace en l'air
La Commission d'accès à l'information du Québec (CAI) peut imposer des amendes administratives de jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial (le plus élevé des deux) pour les manquements graves. Pour les cas typiques de PME : entre 1 000 $ et 50 000 $.
En 2025, la CAI a publié son premier rapport annuel d'application. 147 enquêtes ont été ouvertes. Plusieurs PME québécoises ont été sanctionnées pour des sites sans politique de confidentialité ou pour des fuites de données mal gérées.
Ce que votre site doit contenir — la liste minimale
1. Une page « Politique de confidentialité »
Visible depuis chaque page (typiquement dans le footer). Elle doit indiquer :
- Quels renseignements vous collectez (nom, courriel, téléphone, photos uploadées…)
- Pourquoi (les finalités)
- Avec qui vous les partagez (Stripe, Mailchimp, Calendly, etc. — divulgation obligatoire)
- Combien de temps vous les conservez
- Comment l'utilisateur peut exercer ses droits (accès, rectification, suppression)
- Le contact du RPRP avec courriel direct
Notre propre politique : lokia-web.ca/confidentialite — utilisez-la comme modèle si vous voulez.
2. Un consentement explicite sur chaque formulaire
Case à cocher (non pré-cochée), avec un texte du genre :
« Je consens à ce que mes renseignements soient utilisés pour [finalité précise], conformément à la politique de confidentialité. »
Pour les cookies non essentiels (analyse, publicité), c'est opt-in, pas opt-out. Pas de cookie tracker tant que l'utilisateur n'a pas dit oui.
3. Une politique de témoins (cookies)
Si vous utilisez Google Analytics, Meta Pixel, Hotjar — vous devez :
- Demander un consentement actif avant de poser le cookie
- Lister les cookies dans la politique
- Permettre de retirer le consentement aussi facilement que de le donner
4. Un registre interne des incidents
Pas obligatoire d'être en ligne, mais obligatoire d'exister. Document Word, Notion, Google Doc — peu importe. Notez chaque incident de confidentialité (même mineur), date, mesures prises.
Les fournisseurs hors Québec — le piège
Si vous hébergez votre site sur Vercel (USA), envoyez vos courriels par Mailchimp (USA), prenez vos paiements par Stripe (USA), vous transférez des renseignements hors Québec. C'est légal, mais vous devez :
- Faire une évaluation préalable (peut être brève, mais documentée)
- Le divulguer dans votre politique
- S'assurer que la juridiction d'accueil offre une protection comparable
Combien ça coûte d'être conforme ?
| Option | Coût | Qualité |
|---|---|---|
| Vous copiez un template trouvé en ligne | 0 $ | Risqué — souvent inadapté |
| Vous engagez un juriste pour rédiger | 400 $ – 1 500 $ | Excellent mais cher |
| Lokia-Web l'inclut dans le forfait | Inclus | Adapté à votre entreprise |
Notre engagement
Chez Lokia-Web, chaque site livré inclut une politique de confidentialité personnalisée et conforme Loi 25. Pas un copier-coller — adaptée à vos formulaires, vos fournisseurs, votre RPRP.