Le Québec a les lois de vie privée les plus strictes en Amérique du Nord.
Plus strictes que la Californie. Plus strictes que l'Ontario. Comparables au RGPD européen — et sur certains points, plus dures.
25 millions de dollars d'amende. Par infraction.
Et la loi anti-spam canadienne ? 10 millions par violation. La plus punitive de la planète.
Pourtant, presque personne ne le sait. Et presque personne n'est conforme.
Trois lois, trois problèmes différents
Voici ce que la plupart des entrepreneurs confondent : ces trois lois ne couvrent pas la même chose.
Loi 25 (Québec) — Protège les données personnelles. Depuis septembre 2023, toute entreprise qui collecte des données sur des Québécois doit avoir un consentement explicite, une politique de confidentialité, un responsable désigné, et offrir le droit de suppression.
PIPEDA (fédéral) — La version fédérale. S'applique au commerce interprovincial et aux entreprises dans les provinces sans loi équivalente. Au Québec, la Loi 25 prend le dessus — mais PIPEDA s'applique toujours pour les transactions entre provinces.
Loi anti-spam canadienne — Pas les données, mais les communications. Chaque courriel commercial envoyé sans consentement exprès = une infraction potentielle. Chaque infraction = jusqu'à 10 millions.
Trois lois. Trois angles. Un seul site web qui doit tout respecter en même temps.
La Loi 25 : ce que le Québec exige
Depuis septembre 2024, c'est complet. Toutes les dispositions sont en vigueur.
Ce que votre site doit faire :
- Obtenir un consentement clair avant de collecter des données personnelles — pas un bandeau vague, un vrai choix
- Publier une politique de confidentialité détaillée — qui collecte quoi, pourquoi, combien de temps, à qui c'est partagé
- Désigner un responsable de la protection des renseignements personnels — son nom ou titre doit être public
- Permettre à toute personne de consulter, corriger ou supprimer ses données
- Signaler toute brèche de confidentialité à la Commission d'accès à l'information dans les 72 heures
La loi anti-spam : la plus punitive au monde
La loi canadienne anti-pourriel (souvent appelée CASL en anglais) est entrée en vigueur en 2014. Dix ans plus tard, la plupart des entreprises la violent encore.
Le principe : vous ne pouvez pas envoyer un message électronique commercial sans consentement exprès du destinataire. Pas implicite. Exprès.
Les pièges :
- Le consentement implicite (un client qui a acheté chez vous) expire après 2 ans. Après — il faut un consentement exprès.
- Chaque courriel doit inclure un mécanisme de désinscription fonctionnel. Délai maximum pour traiter : 10 jours ouvrables.
- L'amende : jusqu'à 10 millions par infraction pour une entreprise. Par infraction. Pas par campagne — par courriel.
PIPEDA : le filet de sécurité fédéral
PIPEDA existe depuis 2000. C'est la loi fédérale sur la protection des renseignements personnels dans le secteur privé.
Au Québec, la Loi 25 la remplace pour les activités intra-provinciales. Mais PIPEDA s'applique quand même si :
- Vous faites du commerce entre provinces
- Vous transférez des données hors Québec
- Vous êtes une entreprise fédérale (banques, télécoms, transport)
Ce que votre site doit avoir — concrètement
Deux heures de travail. Pas plus.
1. Bannière de consentement aux cookies — Pas un « Ce site utilise des cookies, OK ». Un vrai choix : accepter, refuser, choisir quels types. Les cookies non essentiels ne se chargent pas avant le consentement.
2. Politique de confidentialité — En français. Qui collecte. Quoi. Pourquoi. Combien de temps. Avec qui c'est partagé. Comment demander la suppression. Nom du responsable.
3. Mécanisme de désinscription — Dans chaque courriel commercial. Fonctionnel. Traité en 10 jours max.
4. Registre de consentement — Preuve que la personne a dit oui. Date, heure, méthode. Si vous ne pouvez pas le prouver, le consentement n'existe pas.
5. Processus de signalement de brèche — Si des données sont compromises : 72 heures pour notifier la Commission.
Ce que personne ne vous dit
L'enforcement est faible. La Commission d'accès à l'information du Québec n'a pas les ressources pour auditer tout le monde. Le CRTC (qui applique la loi anti-spam) envoie quelques amendes spectaculaires par année pour faire peur.
Mais voici ce qui change :
- Les plaintes individuelles augmentent. N'importe qui peut déposer une plainte contre votre site.
- Les class actions arrivent. Des cabinets d'avocats se spécialisent dans la non-conformité.
- Le vrai risque n'est pas le gouvernement — c'est un concurrent qui vous dénonce, un employé qui part mal, un client frustré qui connaît ses droits.
- Les grandes plateformes (Google, Meta) ajustent déjà leurs outils. Le jour où Google Analytics vous force la main, ce sera trop tard pour improviser.