Loi 25 et CRM : ce que les PME québécoises doivent exiger de leur fournisseur

Il y a une question que peu de propriétaires de PME québécoises ont posée à leur fournisseur de CRM. Pas parce qu'elle est compliquée. Plutôt parce qu'on ne sait pas toujours qu'il faut la poser.

Cette question, c'est : « Où vont mes données clients — et qui peut y accéder ? »

Depuis le 22 septembre 2024, la Loi 25 — Loi sur la protection des renseignements personnels dans le secteur privé est pleinement en vigueur au Québec. Ce n'est plus un projet de loi en déploiement progressif. C'est la réalité légale dans laquelle toutes les entreprises québécoises — PME, travailleurs autonomes, OBNL — doivent opérer, chaque jour.

Et si votre entreprise utilise des outils numériques pour gérer ses clients, ses prospects ou ses campagnes marketing — un CRM, une messagerie courriel, un logiciel de comptabilité, une plateforme de visioconférence — vous êtes directement concerné.

Cet article n'est pas un avis juridique. C'est un guide pratique pour comprendre ce que la Loi 25 implique concrètement dans votre quotidien opérationnel, et pour constituer le dossier de conformité que toute PME sérieuse devrait avoir en main.

Qu'est-ce que la Loi 25, en termes simples ?

La Loi 25 modernise la Loi sur la protection des renseignements personnels dans le secteur privé. Elle s'inspire du RGPD européen et impose à toutes les organisations québécoises — peu importe leur taille — de revoir la façon dont elles collectent, utilisent, conservent et partagent les données personnelles.

Un « renseignement personnel », c'est toute information qui permet d'identifier une personne : un nom, une adresse courriel, un numéro de téléphone, un historique d'achats. Si vos outils numériques contiennent ces informations — et ils le font, par définition — vous êtes assujetti à la loi.

L'entrée en vigueur s'est échelonnée entre septembre 2022 et septembre 2024. Depuis le 22 septembre 2024, l'ensemble des dispositions s'applique.

Il n'y a plus de délai de grâce. Les obligations sont actives maintenant.

Les 5 obligations principales qui touchent directement votre PME

1. Désigner un responsable de la protection des renseignements personnels

Chaque organisation doit désigner une personne responsable de ces données. Par défaut, c'est généralement le directeur de l'entreprise qui assume cette tâche, mais une autre personne — interne ou externe — peut être désignée. Les coordonnées de cette personne doivent être facilement accessibles, notamment sur votre site web.

Dans une PME de moins de 25 employés, c'est souvent le ou la propriétaire. L'important, c'est que ce rôle soit clairement attribué et documenté. Si un incident survient, la Commission d'accès à l'information (CAI) voudra savoir qui est responsable.

2. Publier une politique de confidentialité claire et à jour

La Loi 25 oblige à publier une politique de confidentialité claire, à jour et facile à consulter, en particulier sur votre site web. Elle doit indiquer comment chaque personne peut exercer ses droits : accès, rectification, retrait du consentement.

Ce n'est pas une formalité. Si vous utilisez des outils comme Google Analytics, un CRM ou des formulaires en ligne, vous devez les mentionner. Vos visiteurs doivent savoir à quoi s'en tenir. Une politique générique copiée-collée ne suffit pas. Elle doit refléter vos pratiques réelles.

3. Obtenir un consentement éclairé

Le consentement n'est plus implicite. Il doit être spécifique et éclairé. Cela signifie que si vous collectez des adresses courriel via un formulaire sur votre site, la personne doit comprendre précisément pourquoi — et pour quelles fins vous comptez utiliser ces informations.

Dans vos outils numériques, cela touche directement vos formulaires de capture de prospects, vos inscriptions à l'infolettre, et tout processus d'automatisation marketing qui s'appuie sur les données récoltées.

4. Réagir rapidement en cas d'incident de confidentialité

En cas d'incident présentant un risque sérieux de préjudice — vol de données, accès non autorisé, perte d'informations sensibles — l'organisation doit notifier la Commission d'accès à l'information (CAI) et les personnes concernées. Le délai recommandé est de 72 heures. L'organisation doit aussi tenir un registre de tous les incidents, même ceux ne présentant pas de risque sérieux.

5. Réaliser une ÉFVP avant tout transfert de données hors du Québec

C'est l'obligation la moins connue — et pourtant l'une des plus importantes pour les PME qui utilisent des outils numériques modernes.

La communication d'un renseignement personnel hors Québec peut s'effectuer seulement si on évalue que ce renseignement jouit d'une protection adéquate. Une Évaluation des facteurs relatifs à la vie privée (ÉFVP) est requise avant de transférer des données hors du Québec.

En pratique, si vos outils numériques hébergent vos données sur des serveurs situés aux États-Unis ou ailleurs hors du Québec, vous êtes potentiellement concerné par cette obligation — et nous y revenons en détail dans la prochaine section.

Ce que la Loi 25 dit sur les transferts de données hors Québec — et pourquoi presque toutes les PME sont concernées

C'est ici que beaucoup de propriétaires de PME ont une surprise.

La majorité des outils numériques qu'une entreprise québécoise utilise au quotidien — messagerie courriel, comptabilité en ligne, visioconférence, gestion de projet, CRM — hébergent leurs données sur des infrastructures dont les serveurs sont situés aux États-Unis. Ce n'est pas une anomalie. C'est la réalité structurelle de l'industrie SaaS mondiale.

Gmail est hébergé aux États-Unis. Outlook aussi. QuickBooks Online. Zoom. Dropbox. Shopify. Et la très grande majorité des CRM disponibles sur le marché.

La Loi 25 n'interdit pas ces transferts. Les entreprises québécoises peuvent utiliser ces services tout en respectant la Loi 25, sous réserve de certaines obligations.

Ces obligations existent. Mais elles sont gérables — à condition de les connaître.

Une PME québécoise qui stocke ses données chez un fournisseur américain — que ce soit AWS, Microsoft Azure ou Google — est concernée par le CLOUD Act, qui oblige tout fournisseur américain à remettre aux autorités les données qu'il détient, même si elles sont hébergées hors des États-Unis. Une filiale canadienne d'une société américaine reste assujettie à la loi américaine.

Ce n'est pas une raison de paniquer. C'est une raison de documenter.

La Loi 25 impose l'obligation de garantir que les renseignements personnels transférés bénéficient d'un niveau de protection équivalent à celui offert au Québec, et la mise en place de clauses contractuelles spécifiques encadrant les échanges de données avec des partenaires étrangers.

En termes pratiques : si vous utilisez des outils dont les données transitent ou sont hébergées hors du Québec, vous avez besoin d'une entente contractuelle avec ces fournisseurs — ce qu'on appelle généralement un Accord sur le traitement des données, ou DPA (Data Processing Agreement). La bonne nouvelle : les grands fournisseurs sérieux les ont déjà préparés.

Ce que votre dossier de conformité doit contenir

Avant d'aller plus loin, une précision qui change tout : les obligations que nous décrivons ici ne s'appliquent pas uniquement à votre CRM.

Elles s'appliquent à tous vos outils numériques — sans exception.

Votre messagerie courriel (Gmail, Outlook), vos outils de comptabilité en ligne (QuickBooks, Xero), votre plateforme de visioconférence (Zoom, Teams), votre outil de gestion de projet, votre hébergeur web — tous ces services hébergent ou traitent des renseignements personnels. Et pour la grande majorité d'entre eux, les données sont hébergées sur des serveurs situés à l'extérieur du Québec, ce qui déclenche des obligations spécifiques en vertu de la Loi 25, sans pour autant rendre leur utilisation illégale.

La bonne nouvelle, c'est que la Loi 25 n'interdit pas ces transferts. Elle demande qu'ils soient encadrés, documentés et que des mesures de protection adéquates soient en place.

Voici donc ce que votre dossier de conformité doit contenir — pour l'ensemble de vos outils numériques.

Un accord de traitement des données (DPA) avec chaque fournisseur qui traite des données personnelles. Ce document définit les responsabilités de chaque partie. Les grands fournisseurs (Google, Microsoft, etc.) les publient en ligne. Pour vos outils spécialisés, demandez-le explicitement. Son existence est un indicateur fiable du sérieux du fournisseur.

Une connaissance générale de l'endroit où vos données sont hébergées. Pas besoin de l'adresse du serveur. Il suffit de savoir si les données transitent hors du Québec — et de documenter que vous en étiez conscient et que des mesures contractuelles sont en place. Une PME qui fait migrer ses données vers un service infonuagique hébergé à l'étranger doit réaliser une ÉFVP pour s'assurer que les renseignements personnels resteront protégés conformément aux normes québécoises.

Une preuve que vos fournisseurs prennent la sécurité au sérieux. Des certifications indépendantes comme le SOC 2 ou le SOC 3 indiquent qu'un audit externe a vérifié les contrôles en place. C'est un indicateur objectif — plus fiable qu'une simple mention marketing sur la sécurité.

Un processus de notification en cas d'incident. Vos contrats devraient prévoir une notification rapide en cas de brèche — idéalement dans les 72 heures, délai aligné avec les exigences de la Loi 25. Vérifiez que cette clause existe dans vos conditions de service ou dans votre DPA.

Un inventaire de vos outils et de leurs sous-traitants. Les plateformes modernes font appel à de multiples fournisseurs spécialisés. Ce qui compte, c'est que vous sachiez quels outils vous utilisez et que chacun d'eux ait des engagements contractuels en matière de protection des données.

Mettre cet inventaire sur papier prend quelques heures. Il vous protège légalement et vous permet de répondre avec confiance si la CAI vous contacte — ou si un client vous pose la question.

Ce que votre PME doit mettre en place de son côté

Même avec des fournisseurs exemplaires, les obligations de la Loi 25 ne s'arrêtent pas à vos contrats. Une partie importante de la responsabilité reste du côté de votre organisation.

Documentez vos flux de données. Sachez quelles données vous collectez, pourquoi, combien de temps vous les conservez, et qui y a accès dans votre équipe. Cet inventaire est la base de toute démarche de conformité sérieuse.

Révisez vos formulaires. Chaque formulaire de votre site — prise de contact, inscription, devis — doit inclure une mention claire sur l'utilisation des données et un mécanisme de consentement explicite.

Mettez à jour votre politique de confidentialité. Elle doit refléter la réalité de vos outils actuels. Si vous utilisez un CRM, une messagerie externe ou des outils d'automatisation, mentionnez-les. Vos clients ont le droit de savoir.

Formez votre équipe. Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels doivent être documentés dans votre politique de gouvernance. Les personnes qui accèdent aux données clients dans votre équipe doivent savoir ce qu'elles ont le droit de faire — et ce qu'elles n'ont pas le droit de faire.

Établissez un registre des incidents. Même si vous n'avez jamais vécu d'incident, avoir un processus documenté pour y répondre est une obligation légale. Un simple document suffit — à condition qu'il existe.

Les sanctions : pas juste théoriques

Certaines PME croient encore que la Loi 25 est surtout faite pour les grandes entreprises. Ce n'est pas le cas.

Les amendes administratives peuvent atteindre 10 000 000 $ ou 2 % du chiffre d'affaires mondial pour certaines infractions. Les infractions majeures peuvent entraîner des amendes allant jusqu'à 25 000 000 $ ou 4 % du chiffre d'affaires mondial.

Pour une PME de 15 employés, même le seuil de 2 % du chiffre d'affaires peut représenter une somme significative. Et au-delà des amendes, il y a la perte de confiance des clients — un risque que peu de petites entreprises peuvent se permettre d'ignorer.

La CAI a clairement indiqué que son approche vise d'abord l'éducation et la sensibilisation — mais que les manquements graves ou répétés seront sanctionnés.

La conformité comme avantage compétitif

Il y a une façon de voir la Loi 25 comme une contrainte. Et il y en a une autre.

Les PME qui prennent la protection des données au sérieux envoient un signal fort à leurs clients : vous pouvez nous faire confiance avec vos informations. Dans un contexte où les scandales de fuites de données font régulièrement les manchettes, c'est un différenciateur réel.

Pour les entrepreneurs qui vendent à d'autres entreprises — en B2B — la question de la conformité devient de plus en plus une condition d'accès aux contrats. Les acheteurs professionnels posent maintenant systématiquement des questions sur la gestion des données avant de signer.

Ce n'est pas seulement une question légale. C'est une question de réputation, de confiance, et de positionnement.

Conclusion : commencez par les bonnes bases

Vous n'avez pas besoin d'être avocat pour prendre la Loi 25 au sérieux. Vous avez besoin de trois choses :

Comprendre vos propres flux de données — ce que vous collectez, pourquoi, et où ça va.

Vérifier que vos fournisseurs numériques ont les documents contractuels requis — DPA, certifications, processus d'incident.

Documenter vos pratiques pour pouvoir les démontrer si la CAI venait à vous questionner.

La Loi 25 n'est pas une tempête à attendre en retenant son souffle. C'est un cadre qui, bien compris, protège autant vos clients que votre entreprise — et qui s'applique à l'ensemble de votre écosystème numérique, pas seulement à un outil en particulier.

Vous voulez savoir comment TierPeak accompagne les PME québécoises dans la gestion responsable de leurs données clients ? Réservez une démonstration gratuite.