auditloi25.ca
Pour les PME québécoises

Conformité Loi 25 pour les PME : par où commencer en 2026

La Loi 25 s'applique à toutes les entreprises québécoises qui collectent des données personnelles — peu importe leur taille. Voici ce que votre PME doit concrètement faire, dans quel ordre, et ce qui se passe si vous n'agissez pas.

6 min de lecture

« On est une petite PME, ça ne nous concerne pas vraiment. »

C'est la réponse la plus fréquente lors des premiers échanges avec des dirigeants de PME québécoises. Pourtant, la Loi 25 ne fait aucune distinction de taille : si votre site a un formulaire de contact, une newsletter, ou un pixel Google Analytics, vous collectez des renseignements personnels — et vous êtes soumis à la loi.

La CAI (Commission d'accès à l'information du Québec) l'a confirmé à plusieurs reprises : les inspections et enquêtes ne sont pas réservées aux grandes entreprises. Les PME constituent justement une priorité d'inspection parce que leur niveau de conformité est généralement plus bas.

La bonne nouvelle : pour une PME avec un site web standard, la mise en conformité est souvent plus simple qu'on ne le pense. Quelques ajustements ciblés suffisent dans la majorité des cas.

Les 5 obligations Loi 25 qui s'appliquent à votre PME dès aujourd'hui

1

Nommer un responsable de la protection des renseignements personnels

Toute organisation doit désigner une personne responsable — souvent le dirigeant lui-même dans une PME. Son nom et ses coordonnées doivent être accessibles sur votre site web. Ce n'est pas optionnel.

Infraction documentée si non affiché publiquement

2

Obtenir un consentement explicite pour les cookies non essentiels

Google Analytics, Meta Pixel, LinkedIn Tag, HubSpot — ces outils déposent des cookies de tracking qui nécessitent un consentement avant d'être activés. Votre bannière doit proposer un bouton « Refuser » aussi visible que « Accepter ».

Point le plus fréquemment relevé lors des inspections CAI

3

Publier une politique de confidentialité conforme

Elle doit indiquer quelles données vous collectez, pourquoi, qui y accède, dans quel pays elles sont hébergées, et comment un client peut demander la suppression de ses données. Un modèle générique copié sur un autre site ne suffit pas.

Obligatoire — absence = infraction automatique

4

Encadrer vos formulaires et listes d'envoi

Chaque formulaire doit expliquer clairement pourquoi vous collectez les données saisies. L'inscription à une newsletter ne peut pas être pré-cochée ou conditionnelle à un autre service. Un lien de désabonnement fonctionnel est obligatoire dans chaque email commercial.

Concerne tous les formulaires visibles sur votre site

5

Documenter vos pratiques de gestion des données

En cas d'enquête CAI, vous devez pouvoir démontrer que vous gérez les données personnelles de façon responsable : quelles données vous détenez, combien de temps vous les conservez, et ce qu'il advient si vous les communiquez à un tiers (ex: Mailchimp, HubSpot, Salesforce).

Élément demandé lors de toute inspection formelle

Ce qui se passe si votre PME n'est pas conforme

Amende administrative

Jusqu'à 10 M$ ou 2% du CA mondial

Amende pénale

Jusqu'à 25 M$ ou 4% du CA mondial

Ordonnance CAI

Obligation de corriger sous délai fixé

Publication de l'infraction

Décision publique sur le site de la CAI

En pratique, les premières enquêtes de la CAI ont surtout conduit à des mises en demeure et des ordonnances correctives plutôt qu'à des amendes maximales. Mais le risque réputationnel d'une décision publiée peut être plus dommageable pour une PME qu'une amende financière.

→ Consultez notre page détaillée sur les pénalités Loi 25 pour une analyse complète des sanctions.

Plan d'action en 3 étapes pour une PME avec site web standard

Étape 1 — 2h

Audit rapide de votre site

  • Identifiez tous les outils de tracking actifs (Google Analytics, pixels pub, Hotjar, etc.)
  • Vérifiez si votre bannière de cookies permet le refus en un clic
  • Repérez tous vos formulaires et listes d'envoi
  • Vérifiez si votre politique de confidentialité existe et est accessible
Étape 2 — 1 journée

Corrections prioritaires

  • Installez ou mettez à jour votre bannière de cookies (Axeptio, CookieYes, Didomi)
  • Rédigez ou mettez à jour votre politique de confidentialité
  • Désactivez les cookies de tracking avant consentement dans votre CMP
  • Désignez formellement un RPRP et affichez son nom sur votre site
Étape 3 — En continu

Maintien de la conformité

  • Documentez chaque nouveau service SaaS intégré à votre site
  • Révisez votre politique de confidentialité à chaque changement de collecte
  • Formez les employés qui accèdent aux données clients
  • Gérez les demandes d'accès et de suppression dans un délai de 30 jours

Votre secteur a des obligations spécifiques

Certains secteurs ont des obligations additionnelles ou des risques particuliers selon le type de données collectées.

Commerce en ligne

Pixels, paniers abandonnés, passerelles de paiement

Cliniques et santé

Données de santé, formulaires de prise de rendez-vous

Agences web et marketing

Données clients, reportings, accès à des tiers

Cabinets comptables

Données financières, obligations envers les clients

Votre PME est-elle conforme à la Loi 25 ?

Pré-audit gratuit en 2 minutes · Rapport instantané · Aucune carte requise

Obtenir mon pré-audit gratuit
Voir l'offre d'audit complet →

Articles liés

Retour à l'accueilChecklist Loi 25 site web →
Obtenir mon pré-audit gratuit →