Loi 25 et PME québécoises : vos obligations en 2026
La Loi 25 s'applique à toutes les PME du Québec, sans seuil de taille. Dès que votre site web comporte un formulaire ou des outils d'analyse, vous êtes concerné. Voici ce que vous devez vérifier — et comment le faire gratuitement.
En 2026, la CAI a renforcé ses ressources d'inspection. Les premières sanctions administratives touchent des organisations de toutes tailles — incluant des PME de moins de 20 employés.
Vos obligations spécifiques en tant que PME
Bannière de consentement aux cookies
Bouton « Refuser » aussi visible qu'« Accepter ». Scripts non essentiels (Google Analytics, Meta Pixel) bloqués jusqu'au consentement. Bannière en français.
Politique de confidentialité conforme
Accessible depuis toutes les pages. Couvre les 8 éléments CAI : types de données, finalités, durée de conservation, droits, transferts tiers, responsable, plaintes, cookies.
Formulaires transparents
Chaque formulaire (contact, devis, infolettre) doit indiquer pourquoi les données sont collectées. Cases de consentement marketing non pré-cochées.
Responsable désigné et publié
Nom ou titre du responsable de la protection des renseignements personnels publié sur votre site (politique de confidentialité ou page À propos).
Risques et pénalités pour une PME
Les sanctions administratives prévues par la Loi 25 s'appliquent sans distinction de taille : jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial pour les violations moins graves, et 25 millions ou 4 % pour les violations graves.
Pour une PME avec un CA de 2 millions de dollars, 4 % représente 80 000 $. Au-delà des amendes directes, une enquête CAI mobilise des dizaines d'heures de gestion, des frais juridiques entre 5 000 $ et 30 000 $, et un impact réputationnel potentiellement dévastateur auprès de vos clients.
Facteur atténuant clé :une PME qui corrige ses manquements dès la première mise en demeure de la CAI démontre sa bonne foi et évite généralement la sanction pécuniaire. L'action préventive reste toujours la stratégie la moins coûteuse.
Vérifiez la conformité de votre site maintenant
Pré-audit gratuit — bannière de cookies, formulaires, politique de confidentialité. Résultat instantané, sans engagement.
Obtenir mon pré-audit gratuitRapport instantané · Sans engagement · Aucune carte requise
Ce qu'inclut l'audit complet pour une PME
- Inventaire complet de tous les cookies et scripts tiers actifs sur votre site
- Analyse de chaque formulaire et du parcours de consentement
- Vérification de votre politique de confidentialité selon les 8 critères CAI
- Score de risque par zone avec corrections classées par priorité et par effort
- Rapport PDF transmissible à votre agence web ou à votre équipe TI
- Séance de restitution à distance pour passer en revue les points clés
Questions fréquentes — PME et Loi 25
La Loi 25 s'applique-t-elle aux petites PME de moins de 10 employés ?
Oui, sans exception de taille. La Loi 25 s'applique à toutes les organisations qui collectent des renseignements personnels, incluant les PME de 2 ou 3 employés dès qu'elles ont un site web avec un formulaire de contact ou des outils comme Google Analytics.
Quelles sont les 3 obligations les plus urgentes pour une PME québécoise en 2026 ?
1. Bannière de cookies conforme avec vrai bouton de refus et blocage préalable des scripts non essentiels. 2. Politique de confidentialité à jour couvrant les 8 éléments obligatoires selon la CAI. 3. Désignation d'un responsable de la protection des renseignements personnels publié sur votre site.
Comment une PME peut-elle vérifier rapidement sa conformité Loi 25 ?
Le pré-audit gratuit d'auditloi25.ca analyse votre site en quelques minutes et identifie les zones à risque : bannière de cookies, formulaires, politique de confidentialité. Vous recevez un bilan clair instantanément, sans engagement.
Aller plus loin
Cet article est fourni à titre informatif. Il ne constitue pas un avis juridique.