io4 Technologies
Appeler - 514-447-2851
EnglishPrenons un café

Conformité

Loi 25 : la checklist 11 points pour les PME québécoises en 2026

Désigner un RPRP, publier une politique, tenir un registre, droit à la portabilité, transferts hors-Québec, décisions automatisées… Le guide pratique pour passer en conformité Loi 25 sans y consacrer 6 mois.

Par Jordane Dours 2026-04-15 5 min

Désigner un RPRP, publier une politique, tenir un registre, droit à la portabilité, transferts hors-Québec, décisions automatisées… Le guide pratique pour passer en conformité Loi 25 sans y consacrer 6 mois.

Pourquoi parler de Loi 25 en 2026

La Loi 25 du Québec est entrée en vigueur en trois vagues : septembre 2022, septembre 2023, septembre 2024. À ce stade, toute organisation qui collecte ou traite des renseignements personnels au Québec doit être conforme. Pourtant, en 2026, une majorité de PME québécoises ne le sont pas - soit par méconnaissance, soit par découragement face à la complexité apparente.

La bonne nouvelle : il n'est pas nécessaire d'y consacrer six mois. Avec une grille de lecture claire et les bons outils Microsoft (Purview, Defender), une PME peut atteindre une conformité défendable en 4 à 8 semaines.

Les 11 points à valider en 2026

Voici la grille que nous utilisons systématiquement chez io4 lors de l'évaluation initiale d'un nouveau client. Si un de ces points n'est pas en place chez vous, c'est par là qu'il faut commencer.

  • Désignation d'un responsable de la protection des renseignements personnels (RPRP), généralement le plus haut dirigeant ou un membre de la direction.
  • Politique de confidentialité publique conforme, accessible depuis votre site web et révisée annuellement.
  • Évaluation des facteurs relatifs à la vie privée (EFVP) systématique pour tout nouveau projet impliquant des renseignements personnels.
  • Registre des incidents de confidentialité, prêt à être déclaré à la CAI en cas de violation.
  • Procédure documentée de demande d'accès et de rectification, avec délais de réponse respectés.
  • Droit à la portabilité des données - obligatoire depuis le 22 septembre 2024 pour les organisations privées.
  • Cartographie des flux de données et évaluation des transferts hors-Québec (article 17).
  • Gestion des consentements explicites et finalités précises de collecte.
  • Information sur les décisions automatisées et l'usage de l'IA (article 12.1) - particulièrement pertinent avec Copilot.
  • Plan de notification de la CAI et des personnes concernées en cas d'incident significatif.
  • Formation et sensibilisation continues des équipes (au minimum annuelle).

Le coût réel de la non-conformité

Beaucoup de dirigeants sous-estiment l'enjeu. Les sanctions Loi 25 se déclinent en trois niveaux cumulables :

Sanctions administratives jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial, imposées par la CAI sans procès. Sanctions pénales jusqu'à 25 millions de dollars ou 4 % du CA mondial. Et depuis septembre 2023 (art. 93.1), recours civils privés : toute personne lésée peut désormais poursuivre directement votre organisation devant les tribunaux, avec dommages punitifs d'au moins 1 000 $.

Pour une PME, un incident mal géré peut coûter plusieurs centaines de milliers de dollars, sans parler de la prime cyber-assurance qui explose et de la perte de confiance client.

Comment Microsoft 365 facilite la conformité

Si votre stack est Microsoft, vous avez déjà entre les mains les outils techniques nécessaires. Encore faut-il les configurer correctement.

  • Microsoft Purview pour la classification des données, les politiques DLP et la gouvernance des renseignements personnels.
  • Microsoft Defender for Office 365 et Defender for Endpoint pour la protection contre les incidents qui déclencheraient une notification CAI.
  • Microsoft Entra ID (Conditional Access, MFA, Identity Protection) pour la gestion sécurisée des accès.
  • Microsoft 365 hébergé sur les régions Canada Central / Canada Est pour la résidence des données.
  • Audit logs centralisés et exportables pour démontrer la conformité lors d'un contrôle CAI.

Notre approche en 4 à 8 semaines

Chez io4, nous structurons la mise en conformité Loi 25 en quatre phases : évaluation de l'écart (semaine 1-2), production des documents obligatoires - politique, registres, EFVP types - (semaine 3-4), configuration technique Microsoft (semaine 5-6), formation des équipes et plan d'audit annuel (semaine 7-8).

Pour les cabinets professionnels (CPA, avocats, notaires, ingénieurs), nous livrons en général en 6 à 10 semaines. Pour les organismes publics et CIUSSS, comptez 12 à 20 semaines selon la complexité.

Par où commencer concrètement

Si vous n'avez pas encore désigné de RPRP : c'est l'étape 1, à faire cette semaine. Sans RPRP nommé, vous êtes déjà en infraction sur l'obligation de base.

Si votre RPRP est en place mais que vous n'avez ni politique publique ni registre, c'est l'étape 2. Téléchargez nos templates ou parlez à un expert Loi 25.

Si vous voulez une évaluation rapide de votre situation, notre auto-évaluation en ligne prend 10 minutes et vous donne un score clair sur les 11 points.

Mots-clés :Loi 25 PMEconformité Loi 25 QuébecRPRPEFVPregistre des incidents CAIdroit à la portabilité Loi 25transferts hors-Québecarticle 12.1 décisions automatisées

Vous voulez en parler ?

Échangeons 30 minutes sur votre situation.

Diagnostic gratuit avec un architecte io4. Sans engagement, sans script commercial.

Réserver mon diagnostic

À lire aussi

Articles connexes.

IA & Copilot

Microsoft 365 Copilot pour PME : 4 cas d'usage à ROI rapide en 2026

Lire

Modern Work

Migration tenant-to-tenant Microsoft 365 : méthode et retour d'expérience

Lire

Cybersécurité

SIEM pour PME : pourquoi Microsoft Defender XDR change la donne en 2026

Lire
Parlons de votre projet

30 minutes pour cadrer ce qui compte.

Un échange direct avec un de nos experts. Sans engagement, sans pitch commercial. Vous repartez avec un point de vue argumenté sur votre situation.

Prenons un caféDécouvrir io4 360
Ou appelez-nous directement :514-447-2851