PTAH
← Blog
Le Québec, champion mondial de la vie privée. 25 millions si vous déconnez.

Le Québec, champion mondial de la vie privée. 25 millions si vous déconnez.

Jean-Michel Harvey-Perron
Jean-Michel Harvey-Perron
Full-Stack Developer
2

Le Québec a les lois de vie privée les plus strictes en Amérique du Nord.

Plus strictes que la Californie. Plus strictes que l'Ontario. Comparables au RGPD européen — et sur certains points, plus dures.

25 millions de dollars d'amende. Par infraction.

Et la loi anti-spam canadienne ? 10 millions par violation. La plus punitive de la planète.

Pourtant, presque personne ne le sait. Et presque personne n'est conforme.

Trois lois, trois problèmes différents

Voici ce que la plupart des entrepreneurs confondent : ces trois lois ne couvrent pas la même chose.

Loi 25 (Québec) — Protège les données personnelles. Depuis septembre 2023, toute entreprise qui collecte des données sur des Québécois doit avoir un consentement explicite, une politique de confidentialité, un responsable désigné, et offrir le droit de suppression.

PIPEDA (fédéral) — La version fédérale. S'applique au commerce interprovincial et aux entreprises dans les provinces sans loi équivalente. Au Québec, la Loi 25 prend le dessus — mais PIPEDA s'applique toujours pour les transactions entre provinces.

Loi anti-spam canadienne — Pas les données, mais les communications. Chaque courriel commercial envoyé sans consentement exprès = une infraction potentielle. Chaque infraction = jusqu'à 10 millions.

Trois lois. Trois angles. Un seul site web qui doit tout respecter en même temps.

La Loi 25 : ce que le Québec exige

Depuis septembre 2024, c'est complet. Toutes les dispositions sont en vigueur.

Ce que votre site doit faire :

L'amende : jusqu'à 25 millions de dollars ou 4% du chiffre d'affaires mondial. Pour une PME, c'est la fin.

La loi anti-spam : la plus punitive au monde

La loi canadienne anti-pourriel (souvent appelée CASL en anglais) est entrée en vigueur en 2014. Dix ans plus tard, la plupart des entreprises la violent encore.

Le principe : vous ne pouvez pas envoyer un message électronique commercial sans consentement exprès du destinataire. Pas implicite. Exprès.

Les pièges :

Votre mailing list Mailchimp de 3 000 contacts dont la moitié n'a jamais dit « oui » explicitement ? C'est 3 000 infractions potentielles.

PIPEDA : le filet de sécurité fédéral

PIPEDA existe depuis 2000. C'est la loi fédérale sur la protection des renseignements personnels dans le secteur privé.

Au Québec, la Loi 25 la remplace pour les activités intra-provinciales. Mais PIPEDA s'applique quand même si :

Le projet de loi C-27 (qui créerait une nouvelle loi fédérale plus moderne) traîne au Parlement depuis 2022. En attendant, PIPEDA reste le plancher fédéral.

Ce que votre site doit avoir — concrètement

Deux heures de travail. Pas plus.

1. Bannière de consentement aux cookies — Pas un « Ce site utilise des cookies, OK ». Un vrai choix : accepter, refuser, choisir quels types. Les cookies non essentiels ne se chargent pas avant le consentement.

2. Politique de confidentialité — En français. Qui collecte. Quoi. Pourquoi. Combien de temps. Avec qui c'est partagé. Comment demander la suppression. Nom du responsable.

3. Mécanisme de désinscription — Dans chaque courriel commercial. Fonctionnel. Traité en 10 jours max.

4. Registre de consentement — Preuve que la personne a dit oui. Date, heure, méthode. Si vous ne pouvez pas le prouver, le consentement n'existe pas.

5. Processus de signalement de brèche — Si des données sont compromises : 72 heures pour notifier la Commission.

Ce que personne ne vous dit

L'enforcement est faible. La Commission d'accès à l'information du Québec n'a pas les ressources pour auditer tout le monde. Le CRTC (qui applique la loi anti-spam) envoie quelques amendes spectaculaires par année pour faire peur.

Mais voici ce qui change :

Se conformer coûte une après-midi. Ne pas le faire peut coûter tout le reste.

Questions fréquentes

La Loi 25 s'applique-t-elle à mon site si je suis hors Québec ? +

Si vous collectez des données sur des résidents québécois — oui. Peu importe où vous êtes basé. C'est la localisation de la personne qui compte, pas celle de l'entreprise.

C'est quoi la différence entre consentement exprès et implicite ? +

Exprès : la personne a activement dit oui (coché une case, cliqué s'inscrire). Implicite : vous déduisez le consentement d'une relation existante (un achat récent). L'implicite expire après 2 ans sous la loi anti-spam. La Loi 25 exige le consentement exprès pour les données personnelles.

Est-ce que Google Analytics viole la Loi 25 ? +

Si les cookies Analytics se chargent avant que le visiteur consente — oui. La solution : une bannière de consentement qui bloque les scripts non essentiels tant que le visiteur n'a pas accepté.

Mon site est petit, est-ce que je risque vraiment une amende ? +

Le risque d'amende gouvernementale pour une micro-entreprise est faible. Le vrai risque : une plainte individuelle, un concurrent malveillant, ou une class action. La conformité prend 2 heures — le risque ne vaut pas la paresse.

La loi anti-spam s'applique-t-elle aux messages sur les réseaux sociaux ? +

Oui. La loi couvre tout message électronique commercial : courriels, SMS, messages sur réseaux sociaux, même les messages instantanés si le but est commercial.

Autres articles