Loi 25 : le guide complet pour les PME québécoises en 2026

Qu'est-ce que la Loi 25 ?

La Loi 25 — officiellement intitulée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25) — est la réforme la plus importante en matière de protection des données personnelles au Québec depuis les années 1990. Elle est entrée en vigueur progressivement entre 2022 et 2023 et s'applique à toutes les organisations qui collectent, utilisent ou communiquent des renseignements personnels dans le cadre de l'exercice d'une activité commerciale ou à but non lucratif au Québec.

Qui est concerné par la Loi 25 ?

La Loi 25 s'applique à toutes les entreprises et organisations du Québec, sans exception de taille. Que vous soyez :

• une PME avec 5 employés et un site web de service,
• un OBNL qui gère des inscriptions en ligne,
• un cabinet professionnel avec un formulaire de prise de rendez-vous,
• une boutique en ligne qui traite des paiements,

vous êtes soumis aux obligations de la Loi 25 dès que vous collectez des renseignements personnels — c'est-à-dire toute information qui permet d'identifier une personne physique : nom, courriel, numéro de téléphone, adresse IP, etc.

Les 3 phases d'entrée en vigueur

La Loi 25 s'est déployée en trois vagues successives :

• Septembre 2022 : Nomination d'un responsable de la protection des renseignements personnels, publication d'une politique de gouvernance, signalement des incidents de confidentialité à la CAI.
• Septembre 2023 : Consentement explicite requis pour la collecte de données, droit à la portabilité, bannière de cookies conforme obligatoire, évaluation des facteurs relatifs à la vie privée (EFVP) pour les nouveaux projets à risque.
• Septembre 2024 : Entrée en vigueur du droit à la désindexation et des règles sur les décisions automatisées basées sur les renseignements personnels.

Les obligations clés pour votre site web

Pour un site web québécois en 2026, voici ce que la Loi 25 exige concrètement :

1. Une bannière de cookies conforme

Votre site doit afficher une bannière de consentement aux cookies avant le chargement de tout cookie non essentiel (analytics, publicité, réseaux sociaux). La bannière doit offrir un bouton « Refuser » aussi visible que le bouton « Accepter ». Les cookies ne doivent pas se déclencher avant que l'utilisateur ait fait son choix.

2. Une politique de confidentialité à jour

Votre politique de confidentialité doit être accessible depuis toutes les pages de votre site, rédigée en français clair, et couvrir : les types de renseignements collectés, les finalités de la collecte, la durée de conservation, les droits des personnes, les transferts à des tiers et les coordonnées du responsable.

3. Des formulaires transparents

Chaque formulaire qui collecte des données personnelles (contact, inscription, don, paiement) doit expliquer pourquoi ces données sont demandées et comment elles seront utilisées. Les cases liées à l'infolettre ne doivent pas être pré-cochées.

4. Un responsable désigné

Votre organisation doit désigner un responsable de la protection des renseignements personnels — souvent le dirigeant principal dans les PME. Ce nom doit être accessible sur votre site.

Par où commencer ?

Si vous ne savez pas par où commencer, la meilleure première étape est d'évaluer l'état actuel de votre site web : bannière de cookies, formulaires, politique de confidentialité. C'est précisément ce que permet notre pré-audit gratuit — un premier bilan clair, sans jargon, sous 48 heures.