Loi 25 et sécurité des applications web : la checklist 2026

Si votre entreprise collecte le moindre renseignement personnel d'un Québécois (un courriel, un numéro de téléphone, un historique d'achat), la Loi 25 s'applique à vous. Et depuis son déploiement complet le 22 septembre 2024, ce n'est plus une formalité : les sanctions sont parmi les plus sévères en Amérique du Nord.

Ce guide traduit la Loi 25 en obligations concrètes pour vos applications web, et fournit une checklist de conformité que vous pouvez appliquer dès cette semaine. Ce n'est pas un avis juridique : c'est le point de vue d'une équipe qui construit des applications conformes pour des PME québécoises.

Ce qu'est la Loi 25 (et pourquoi elle a des dents)

La Loi 25 (officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est l'équivalent québécois du RGPD européen. Elle est entrée en vigueur par étapes de septembre 2022 à septembre 2024.

Les sanctions sont ce qui change tout. Les amendes administratives peuvent atteindre 10 000 000 $ ou 2 % du chiffre d'affaires mondial, et les amendes pénales pour infractions graves jusqu'à 25 000 000 $ ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé. Pour une PME, une seule violation mal gérée peut être existentielle.

Loi 25 vs PIPEDA : pourquoi ça ne suffit plus d'être « conforme au fédéral »

Beaucoup d'entreprises croient qu'être conformes à la loi fédérale (LPRPDE / PIPEDA) suffit. La Loi 25 va plus loin sur plusieurs points :

• Consentement explicite : il doit être libre, éclairé, et donné à des fins spécifiques, pas enfoui dans des conditions de 40 pages.
• Responsable de la protection des renseignements personnels : par défaut, c'est la personne ayant la plus haute autorité dans l'entreprise, sauf délégation écrite.
• Déclaration obligatoire des incidents de confidentialité présentant un risque de préjudice sérieux, à la Commission d'accès à l'information (CAI) et aux personnes concernées.
• Évaluation des facteurs relatifs à la vie privée (EFVP) avant certains projets et avant tout transfert de données hors Québec.
• Droit à la portabilité et à l'effacement des renseignements.

Les obligations qui touchent directement vos applications web

C'est ici que la théorie devient du code. Une application conforme à la Loi 25 doit prévoir, dès la conception (privacy by design) :

1. Recueillir le minimum : ne collectez que les données nécessaires à la finalité déclarée.
2. Consentement granulaire : des cases distinctes pour le marketing, l'analytique et le service, jamais une case pré-cochée unique.
3. Paramètres de confidentialité par défaut au niveau le plus élevé lors de la collecte.
4. Accès, rectification et suppression : l'utilisateur doit pouvoir consulter, corriger et faire effacer ses données.
5. Journalisation des accès : savoir qui, dans votre organisation, a accédé à quelles données.
6. Notification d'incident : un mécanisme pour détecter, consigner et signaler une fuite.

La checklist technique de conformité (à appliquer maintenant)

Voici la checklist que nous utilisons lors d'un audit d'application. Cochez chaque point :

Chiffrement et transport

• HTTPS/TLS forcé partout (redirection automatique de HTTP vers HTTPS, HSTS activé)
• Chiffrement des données sensibles au repos (base de données, sauvegardes)
• Mots de passe hachés avec un algorithme moderne (bcrypt, Argon2), jamais en clair

Accès et authentification

• Authentification multifacteur (MFA) pour les comptes administrateurs
• Principe du moindre privilège sur les rôles et permissions
• Journaux d'accès consultables et conservés

Gestion du consentement

• Bannière de consentement granulaire (et non un simple « OK »)
• Registre du consentement horodaté et traçable
• Politique de confidentialité claire, simple et accessible sur le site

Cycle de vie des données

• Calendrier de conservation et suppression automatique des données expirées
• Fonction d'export des données (portabilité) et de suppression sur demande
• Anonymisation ou pseudonymisation lorsque c'est possible

Hébergement et transferts

• Connaissance précise de où vos données sont hébergées physiquement
• EFVP réalisée avant tout transfert de renseignements hors Québec
• Clauses contractuelles avec vos sous-traitants infonuagiques

Détection et réponse

• Surveillance et alertes sur les accès anormaux
• Procédure documentée de réponse aux incidents
• Registre des incidents de confidentialité

L'hébergement des données : le piège le plus courant

La question que presque toutes les PME oublient : où vivent physiquement mes données ? Si votre application utilise un hébergeur infonuagique dont les serveurs sont aux États-Unis, vous transférez potentiellement des renseignements personnels hors Québec, ce qui déclenche l'obligation d'EFVP.

Ce n'est pas interdit, mais ça doit être évalué et documenté. Choisir une région d'hébergement canadienne (la plupart des grands fournisseurs en offrent une) simplifie énormément la conformité. C'est un sujet que nous traitons systématiquement dans nos mandats infonuagique et DevOps.

L'EFVP en bref

L'Évaluation des facteurs relatifs à la vie privée est obligatoire dans certains cas (notamment les transferts hors Québec et certains traitements automatisés), et fortement recommandée dans les autres. En pratique, elle suit six étapes : décrire le projet, cartographier les flux de données, identifier les risques, évaluer leur gravité, définir des mesures d'atténuation, et documenter le tout. Documentez-la avant de lancer la fonctionnalité, pas après.

La conformité comme avantage commercial

Voici l'angle que peu d'entreprises saisissent : la conformité à la Loi 25 n'est pas qu'un coût : c'est un argument de vente. Affichez votre politique de confidentialité, parlez de chiffrement et d'hébergement canadien à vos clients. Dans un marché où la confiance numérique est rare, être manifestement sérieux sur les données vous distingue.

Intégrez la vie privée dès le premier jour, pas en rattrapage

La principale raison pour laquelle la conformité devient coûteuse, c'est qu'on la traite comme une case à cocher finale plutôt que comme une contrainte de conception. Greffer après coup la gestion du consentement, la journalisation des accès, l'exportation des données et l'hébergement régional sur une application qui n'a pas été pensée pour eux est lent, source d'erreurs et bien plus coûteux que de les faire correctement dès le départ. La protection de la vie privée dès la conception n'est pas un slogan : c'est une décision budgétaire. Une fonctionnalité qui collecte des renseignements personnels devrait être livrée avec sa règle de conservation, son parcours de consentement et son mécanisme de suppression déjà définis, comme vous ne livreriez jamais un flux de paiement sans penser à la sécurité.

C'est aussi là qu'un partenaire local compétent justifie son tarif. Une équipe offshore qui optimise le coût horaire le plus bas a peu d'intérêt à comprendre les nuances d'une loi québécoise, et l'écart resurgit plus tard sous forme de travaux de correction. Une équipe qui intègre les exigences de la Loi 25 dans l'architecture (région d'hébergement canadienne, consentement granulaire, champs sensibles chiffrés, piste d'accès vérifiable) produit une application à la fois conforme et réellement plus sûre. Le travail de conformité et le travail de bonne ingénierie sont, pour l'essentiel, le même travail.

Une dernière note pratique : la conformité est continue, ce n'est pas un jalon. Les flux de données changent, vous ajoutez un outil d'analyse tiers, vous intégrez un nouveau prestataire de paiement, vous vous étendez à un nouveau marché. Chacun de ces changements peut redéclencher une EFVP ou déplacer la circulation des renseignements personnels. Prenez l'habitude de revoir la checklist chaque fois que l'empreinte de données de l'application change, et gardez la documentation à jour : c'est votre meilleure défense si la CAI pose un jour des questions.

Foire aux questions

Quelle est la sanction maximale prévue par la Loi 25 ?

Jusqu'à 25 000 000 $ ou 4 % du chiffre d'affaires mondial de l'exercice précédent (le montant le plus élevé) pour les infractions pénales graves, et 10 000 000 $ ou 2 % pour les sanctions administratives.

Ma PME doit-elle vraiment se conformer à la Loi 25 ?

Oui, dès que vous collectez des renseignements personnels de résidents du Québec, peu importe la taille de l'entreprise. Les obligations s'adaptent à votre réalité, mais elles s'appliquent.

Puis-je héberger mes données aux États-Unis ?

Ce n'est pas interdit, mais cela constitue un transfert hors Québec qui exige une EFVP et des garanties contractuelles. Héberger au Canada simplifie nettement la conformité.

Le chiffrement est-il obligatoire ?

La loi exige des « mesures de sécurité raisonnables ». En pratique, le chiffrement en transit (TLS) et au repos pour les données sensibles est attendu et constitue la norme défendable.

Mettez votre application en conformité

La Loi 25 n'est pas un projet à faire une fois et oublier : c'est une exigence continue qui doit être intégrée à la façon dont votre application est conçue, hébergée et maintenue. La bonne nouvelle : la plupart des points de cette checklist sont des pratiques d'ingénierie saines que vous devriez adopter de toute façon.

Si vous voulez une évaluation de la conformité de votre application existante, ou bâtir une nouvelle application conforme dès la conception, notre équipe de développement logiciel peut vous aider. Réservez un appel découverte gratuit et nous passerons votre application au crible de cette checklist ensemble.

Cet article fournit de l'information générale et ne constitue pas un avis juridique. Pour votre situation précise, consultez un conseiller juridique.