Retour au blogue
Publié le 12 avril 2026

Checklist cybersécurité pour PME au Québec : conformité Loi 25 en 2026

Fethi Guessabi
Étiquettes
CybersécuritéLoi 25QuébecConformitéPME

C'est quoi la Loi 25 et pourquoi ça vous concerne?

La Loi 25 (anciennement le projet de loi 64) est la loi modernisée du Québec en matière de protection des renseignements personnels. Elle s'applique à toute entreprise qui exerce des activités au Québec et qui collecte, utilise ou conserve des renseignements personnels. Pas de taille minimale. Pas d'exemption pour les petites entreprises.

La loi a été déployée en trois phases entre septembre 2022 et septembre 2024. Toutes les obligations sont maintenant en vigueur. Le non-respect peut entraîner des amendes allant jusqu'à 25 millions de dollars ou 4% du chiffre d'affaires mondial, selon le montant le plus élevé.

Si vous êtes une PME au Québec et que vous n'avez pas revu vos pratiques de gestion des données depuis 2022, cette checklist est pour vous.

La checklist de conformité

1. Désigner un responsable de la protection des renseignements personnels

  • Chaque organisation doit avoir une personne désignée responsable de la protection des renseignements personnels
  • Par défaut, c'est la personne ayant la plus haute autorité dans l'organisation (PDG/président)
  • Vous pouvez déléguer le rôle, mais ça doit être documenté
  • Son titre et ses coordonnées doivent être publiés sur votre site web

2. Avoir un plan de réponse aux incidents

  • Vous devez avoir une procédure écrite pour gérer les incidents de confidentialité (fuites de données, accès non autorisé, perte de données)
  • Si un incident présente un risque de préjudice sérieux, vous devez aviser la Commission d'accès à l'information (CAI) et les personnes concernées
  • Vous devez tenir un registre de tous les incidents de confidentialité, même mineurs
  • Le registre doit être disponible pour inspection par la CAI

3. Effectuer une évaluation des facteurs relatifs à la vie privée (EFVP)

  • Requise avant tout projet impliquant la collecte, l'utilisation ou la communication de renseignements personnels
  • Requise avant l'acquisition ou la mise en place de nouveaux systèmes d'information qui traitent des données personnelles
  • L'évaluation doit examiner la nécessité de la collecte, les risques et les mesures de protection

4. Mettre en place des mécanismes de consentement

  • Le consentement doit être explicite, libre et éclairé
  • Vous devez clairement indiquer pourquoi vous collectez l'information et comment elle sera utilisée
  • Un consentement distinct est requis pour chaque finalité
  • Les personnes doivent pouvoir retirer leur consentement facilement
  • Pour les renseignements sensibles (santé, biométrie, finances), le consentement doit être obtenu séparément et expressément

5. Publier une politique de confidentialité

  • Doit être rédigée dans un langage clair et simple
  • Doit décrire quels renseignements vous collectez, pourquoi, comment ils sont utilisés, combien de temps ils sont conservés et qui y a accès
  • Doit inclure les coordonnées de votre responsable de la protection des renseignements personnels
  • Doit être facilement accessible sur votre site web

6. Établir des règles de conservation et de destruction

  • Les renseignements personnels doivent être détruits ou anonymisés une fois que la finalité pour laquelle ils ont été collectés est accomplie
  • Vous devez avoir un calendrier de conservation documenté
  • La destruction doit être sécurisée (pas juste supprimer un fichier)

7. Permettre la portabilité et les droits d'accès

  • Les individus ont le droit d'accéder à leurs renseignements personnels détenus par votre organisation
  • Ils ont le droit de demander la rectification d'informations inexactes
  • Ils ont le droit à la portabilité des données (recevoir leurs données dans un format structuré et couramment utilisé)
  • Vous devez répondre à ces demandes dans un délai de 30 jours

La checklist de sécurité

La Loi 25 exige des "mesures de sécurité raisonnables". Pour une PME, ça veut dire au minimum :

Contrôles d'accès

  • Chaque employé a son propre compte (pas de connexions partagées)
  • Authentification multifacteur (MFA) sur tous les comptes de courriel, VPN et infonuagique
  • Accès administrateur limité à ceux qui en ont réellement besoin
  • Accès des anciens employés révoqué dans les 24 heures suivant le départ

Protection des données

  • Données chiffrées en transit (HTTPS, TLS pour le courriel) et au repos (disques chiffrés, sauvegardes chiffrées)
  • Sauvegardes régulières avec procédures de restauration testées
  • Sauvegardes stockées dans un emplacement séparé des données primaires
  • Documents sensibles non stockés sur des appareils personnels ou du stockage infonuagique grand public

Sécurité réseau

  • Pare-feu configuré et maintenu (pas juste le routeur par défaut du fournisseur Internet)
  • Réseau Wi-Fi segmenté (réseau invité séparé du réseau d'entreprise)
  • Tous les systèmes et logiciels mis à jour et patchés régulièrement
  • Antivirus/EDR sur tous les postes de travail

Sensibilisation des employés

  • Formation de base en cybersécurité pour tous les employés (au minimum : hameçonnage, mots de passe, ingénierie sociale)
  • Politique claire sur l'utilisation acceptable des systèmes de l'entreprise
  • Procédure pour signaler une activité suspecte

Lacunes courantes dans les PME du Québec

Selon notre expérience, voici les problèmes les plus fréquents :

  1. Aucun responsable désigné. Beaucoup de propriétaires ne réalisent pas qu'ils sont le responsable par défaut et qu'ils ont des obligations spécifiques.
  2. Pas de registre d'incidents. Même si vous n'avez jamais eu de brèche, le registre doit exister.
  3. Langage de consentement copié d'un modèle américain. Les exigences de consentement du Québec sont plus strictes que la plupart des équivalents américains ou canadiens. Les politiques de confidentialité génériques ne sont pas conformes.
  4. Comptes admin partagés. Un seul compte admin partagé par trois personnes rend impossible de tracer qui a fait quoi. C'est un problème de conformité et de sécurité.
  5. Aucun test de sauvegarde. Avoir des sauvegardes est l'étape un. Savoir qu'elles fonctionnent réellement est l'étape deux. Beaucoup de PME n'ont jamais testé une restauration.
  6. Règles de pare-feu désuètes. Le pare-feu a été configuré il y a trois ans et personne n'a révisé les règles depuis. Règles par défaut, ports ouverts, pas de journalisation.

Quoi faire cette semaine

Si vous partez de zéro, voici les cinq actions les plus impactantes que vous pouvez prendre immédiatement :

  1. Désigner un responsable et publier ses coordonnées sur votre site web
  2. Créer un registre d'incidents (même un simple tableur pour commencer)
  3. Activer le MFA sur tous les comptes de courriel et infonuagique
  4. Réviser qui a un accès admin à vos systèmes et retirer ceux qui n'en ont pas besoin
  5. Rédiger une politique de confidentialité de base et la publier sur votre site web

Ces cinq actions prennent une journée ou moins et couvrent les lacunes de conformité et de sécurité les plus critiques.

Lectures connexes

Besoin d'aide pour devenir conforme?

Nous aidons les entreprises du Québec à évaluer leur posture de sécurité et à bâtir des plans de conformité pratiques. Pas des cadres de 200 pages qui restent sur une tablette. Des checklists actionnables, de vraies corrections et des améliorations mesurables.

Contactez-nous pour savoir où vous en êtes et ce qui doit être fait.

Besoin d'aide avec ca?

Nous aidons les entreprises montrealaises a implementer ce que vous venez de lire. Pas de presentations, pas de blabla. Parlons de votre situation.

Contactez-nous