Guide de conformité à la Loi sur la protection des renseignements personnels pour PME et professionnels du Québec
Mis à jour le 15 décembre 2025
Qui doit se conformer?
Toute entreprise qui collecte des renseignements personnels au Québec est visée par la Loi sur la protection des renseignements personnels dans le secteur privé. Cela représente plus de 277 000 PME. (Institut de la statistique du Québec, 2023).
Vous êtes comptable et conservez les informations financières de vos clients? La loi s'applique à vous.
Vous êtes photographe indépendant et vous conservez les courriels de vos clients pour envoyer leurs photos? La loi s'applique à vous.
Vous gérez une garderie avec les coordonnées des parents et les dossiers des enfants? La loi s'applique à vous.
Vous recevez des CV? La loi s'applique à vous.
Peu importe votre secteur d'activité, que ce soit commerce de détail, services professionnels, restauration, santé, construction, etc., si vous avez des clients, des employés ou des fournisseurs dont vous conservez des informations personnelles, vous devez vous conformer.
La bonne nouvelle: pour la plupart des PME et professionnels, la conformité peut être rapide si on a les bons outils.
Les 5 obligations principales
La Loi sur la protection des renseignements personnels dans le secteur privé impose cinq grandes catégories d'obligations. Les voici, avec des exemples concrets pour chacune.
1. Désigner un responsable de la protection des renseignements personnels
Chaque entreprise doit désigner une personne responsable de la protection des renseignements personnels (RPRP). Par défaut, c'est la personne qui détient la plus haute autorité, donc vous si vous êtes propriétaire. Vous pouvez aussi déléguer cette fonction à un employé ou à un consultant externe, par écrit.
Exemple: Marie possède un café. Elle se désigne elle-même comme RPRP et ajoute son courriel sur la page « Nous joindre » de son site web. C'est fait.
Exemple: Jean dirige un cabinet comptable de 12 employés. Il délègue la fonction à sa directrice administrative, par écrit. Les coordonnées de celle-ci apparaissent sur le site du cabinet.
En savoir plus sur la désignation du RPRP.
2. Documenter vos activités
Vous devez savoir quels renseignements personnels vous collectez, pourquoi vous les collectez, où ils sont stockés et combien de temps vous les conservez. Ces informations doivent être décrites dans une politique de confidentialité publiée sur votre site web.
Exemple: Une clinique de physiothérapie collecte: nom, date de naissance, numéro d'assurance maladie, historique médical, coordonnées. Ces informations sont dans son logiciel de gestion hébergé au Canada, conservées 5 ans après le dernier rendez-vous, puis détruites de façon sécuritaire.
Exemple: Un site de commerce en ligne collecte: nom, adresse de livraison, courriel, historique d'achats. Ces informations sont dans une plateforme de commerce électronique externe. Attention: les serveurs de cette plateforme peuvent être situés à l'extérieur du Québec, ce qui pourrait nécessiter une évaluation des facteurs de risques sur la vie privée (nous en reparlerons).
La CAI offre un guide pour rédiger votre politique de confidentialité — un bon point de départ pour structurer votre documentation.
3. Gérer les incidents de confidentialité
Un incident de confidentialité, c'est un accès, une utilisation ou une communication non autorisée de renseignements personnels. En 2023-2024, la Commission d'accès à l'information (CAI) a reçu 444 déclarations d'incidents, une augmentation de 469 % depuis l'entrée en vigueur de l'obligation de déclaration en septembre 2022. Les causes les plus communes de ces incidents sont les cyberattaques, les rançongiciels et les erreurs humaines (CAI, Rapport annuel 2023-2024).
Vous devez tenir un registre de tous les incidents, même les mineurs. Si un incident présente un risque de préjudice sérieux, vous devez aviser la CAI et les personnes concernées. Le risque de préjudice sérieux s'analyse au cas par cas, mais on peut penser au vol d'identité, à la fraude ou à une atteinte à la réputation.
Exemple: Un employé envoie par erreur un fichier client à la mauvaise adresse courriel. C'est un incident. Il doit être noté au registre.
Exemple: Un ordinateur portable contenant des données clients est volé dans une voiture. C'est un incident avec risque de préjudice sérieux. Il faut aviser la CAI et les clients concernés.
En savoir plus sur la gestion des incidents.
4. Évaluer les risques (EFVP)
L'Évaluation des facteurs relatifs à la vie privée (EFVP) est une analyse des risques requise avant certains projets: acquisition d'un nouveau système informatique qui traite des renseignements personnels, ou communication de renseignements à l'extérieur du Québec.
Vous voulez utiliser une plateforme de distribution de courriel pour vos infolettres? Les données seront fort probablement stockées aux États-Unis. Vous devez faire une EFVP avant.
Vous achetez un nouveau logiciel de comptabilité hébergé au Canada, et le fournisseur n'accède pas aux données personnelles de vos clients? Une EFVP n'est probablement pas requise.
Vous installez des caméras de surveillance dans votre commerce? Une EFVP est probablement requise.
Pour la plupart des PME, une EFVP est une démarche simple. En savoir plus sur les EFVP.
5. Obtenir un consentement valide
Le consentement est la base sans laquelle vous ne pouvez généralement pas collecter des renseignements personnels. Le consentement doit être libre, éclairé et donné à des fins spécifiques. Le langage utilisé doit être clair et simple, pas de jargon juridique. Par exemple, les cases pré-cochées ne constituent généralement pas un consentement valide.
Exemple: Sur votre formulaire d'inscription, vous ne pouvez pas pré-cocher la case « J'accepte de recevoir des promotions ». Le client doit cocher lui-même.
Exemple: « En soumettant ce formulaire, vous acceptez notre politique de confidentialité et nos conditions d'utilisation et vous consentez à recevoir nos promotions ». Ce n'est pas un consentement valide. Chaque finalité doit avoir sa propre case.
Calendrier: qu'est-ce qui s'applique maintenant?
La loi est entrée en vigueur progressivement sur trois ans:
| Date | Obligations en vigueur |
|---|---|
| 22 septembre 2022 | Désignation RPRP, registre des incidents, déclaration à la CAI |
| 22 septembre 2023 | Politique de confidentialité, ÉFVP, règles de consentement, obligations de destruction, sanctions administratives |
| 22 septembre 2024 | Droit à la portabilité des données |
Depuis septembre 2024, toutes les dispositions de la loi sont en vigueur. Il n'y a plus de période de grâce.
Si vous n'avez pas encore commencé votre démarche de conformité, il n'est pas trop tard, mais il est temps de s'y mettre.
Sanctions en cas de non-conformité
La CAI peut imposer des sanctions administratives pécuniaires pouvant atteindre:
- 50 000 $ pour une personne physique
- 10 millions de dollars ou 2 % du chiffre d'affaires mondial, selon le montant le plus élevé, pour une entreprise (Art. 90.12 LPRPSP)
Pour les infractions pénales, les amendes peuvent atteindre:
- 5 000 $ à 100 000 $ pour une personne physique
- 15 000 $ à 25 millions de dollars ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé, pour une entreprise (Art. 91 LPRPSP)
En cas de faute lourde ou intentionnelle portant atteinte aux droits d'une personne, le tribunal accorde des dommages-intérêts punitifs d'au moins 1 000 $ par personne lésée (Art. 93.1 LPRPSP).
Selon une étude du Groupe de recherche interdisciplinaire en cybersécurité de l'Université de Sherbrooke, 40 % des PME se disaient prêtes pour la loi, mais après analyse, seulement 3 % l'étaient réellement (GRIC, 2023).
La CAI a indiqué qu'elle privilégie l'accompagnement et l'éducation. Mais les sanctions existent et seront appliquées, particulièrement en cas de négligence grave ou répétée.
Les amendes maximales visent les grandes entreprises. Pour une PME, le risque principal est souvent ailleurs: la perte de confiance des clients après un incident mal géré, ou l'atteinte à la réputation de l'entreprise.
Par où commencer?
Voici les premières étapes pour mettre votre PME en conformité:
1. Désignez votre RPRP
Décidez qui sera responsable. Par défaut, c'est vous. Publiez les coordonnées sur votre site web: titre, courriel ou formulaire de contact. La publication du nom est optionnelle.
2. Faites l'inventaire de vos renseignements personnels
Quelles informations collectez-vous sur vos clients, employés, fournisseurs? Où sont-elles stockées? Dans quel logiciel? Sur papier?
3. Identifiez vos fournisseurs qui traitent des données
Hébergement web, logiciel comptable, système de point de vente, infolettre, prise de rendez-vous... Lesquels ont accès à des renseignements personnels? Sont-ils au Québec, au Canada, à l'étranger?
4. Rédigez votre politique de confidentialité
Expliquez en termes simples quels renseignements vous collectez, pourquoi, et comment les personnes peuvent exercer leurs droits. La CAI offre un guide gratuit pour rédiger votre politique.
5. Créez votre registre des incidents
Même si vous n'avez jamais eu d'incident, le registre doit exister et être prêt à être utilisé. Un simple fichier suffit pour commencer.
Des outils comme Conforme.ca permettent d'automatiser plusieurs de ces étapes: génération de politiques de confidentialité, registre des incidents, suivi des fournisseurs, ÉFVP guidées. Rapidement, votre documentation est prête.
Questions fréquentes
La loi s'applique-t-elle aux travailleurs autonomes?
Oui. Dès que vous collectez des renseignements personnels dans le cadre de vos activités commerciales, vous êtes assujetti à la loi, peu importe votre taille.
Qu'est-ce qu'un renseignement personnel?
Toute information qui permet d'identifier une personne: nom, courriel, adresse, numéro de téléphone, mais aussi adresse IP, données de géolocalisation ou photo.
Dois-je aviser la CAI de tous les incidents?
Non. Seulement ceux qui présentent un risque de préjudice sérieux. Mais vous devez consigner tous les incidents dans votre registre interne, même les mineurs.
Combien coûte la conformité pour une PME?
Pour une petite entreprise, la conformité de base demande principalement du temps et peut se faire en quelques jours. Des outils spécialisés peuvent dramatiquement accélérer le processus.
Que se passe-t-il si je ne suis pas conforme?
La CAI peut imposer des sanctions administratives et pénales allant jusqu'à 100 000 $ pour les individus et 25 000 000 $ ou 4 % du chiffre d'affaires mondial pour les personnes morales.
J'utilise des services américains (Google, Mailchimp). Est-ce un problème?
Pas automatiquement, mais vous devez faire une EFVP avant de transférer des renseignements personnels hors Québec. Cette évaluation documente les risques et les mesures de protection.
Combien de temps dois-je conserver les renseignements personnels?
Seulement le temps nécessaire à la finalité pour laquelle ils ont été collectés. Ensuite, ils doivent être détruits ou anonymisés.
Mon site web a-t-il besoin d'une bannière de témoins (cookies)?
Si vous utilisez des témoins qui collectent des renseignements personnels ou qui suivent le comportement des utilisateurs, vous devez obtenir un consentement.
Ressources complémentaires
Obligations détaillées
- Désignation du RPRP
- Évaluation des facteurs (EFVP)
- Gestion des incidents
- Règles de consentement
- Portabilité des données
- Droits d'accès et de rectification
Guides pratiques
- Comment désigner un responsable de la protection des renseignements personnels (RPRP)
- Comment faire une EFVP en 7 étapes
- Comment signaler un incident à la CAI
- Checklist de conformité
- Que faire après une fuite de données
- Transférer des données hors Québec
Modèles gratuits
Commencez votre conformité aujourd'hui
Conforme.ca guide les PME québécoises à travers chaque étape de la conformité. Désignation du RPRP, inventaire des données, politiques générées automatiquement, registre des incidents, ÉFVP simplifiées.
Commencer gratuitementLa plupart des PME complètent leur conformité de base en moins d'une journée.