← Blog | Business 21 juin 2026 · 6 min

Combien Coûte une Fuite de Données pour une PME au Québec ?

« On est trop petits pour que ça nous arrive. » C'est exactement le raisonnement que les attaquants automatisés exploitent. Décortiquons le coût réel d'une fuite pour une PME québécoise, poste par poste.

10 M$
Sanction administrative max (Loi 25)
60%
Des PME ferment après une cyberattaque
277
Jours en moyenne pour détecter une fuite
99 $
Le coût d'un audit pour l'éviter

Le coût ne se résume pas à l'amende

Quand on pense « fuite de données », on pense d'abord à l'amende. Mais la facture réelle se compose de plusieurs postes, dont la plupart frappent avant même qu'un régulateur intervienne.

1. Les sanctions de la Loi 25

Depuis 2023, la Loi 25 prévoit des sanctions administratives pécuniaires jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial, et des sanctions pénales jusqu'à 25 M$ ou 4 %. Ces plafonds visent les grandes entreprises, mais le régulateur peut imposer des sanctions proportionnelles à une PME, surtout en cas de négligence manifeste (aucune mesure de sécurité raisonnable).

2. La gestion de l'incident

Une fuite déclenche une cascade de dépenses immédiates :

  • Investigation technique pour comprendre l'étendue de la brèche (expert en cybersécurité à l'heure)
  • Notification à la Commission d'accès à l'information et à chaque personne touchée
  • Remédiation d'urgence : nettoyer, corriger, restaurer, parfois reconstruire
  • Conseils juridiques pour gérer les obligations et les risques de poursuite

3. L'interruption d'activité

Un site compromis, c'est souvent un site hors ligne ou mis en quarantaine. Pour un commerce en ligne ou une clinique avec réservation, chaque jour d'arrêt est une perte sèche de revenus, plus le temps de tout remettre en marche.

4. La perte de clients et de réputation

C'est le coût le plus lourd et le plus durable. Environ 8 clients sur 10 cessent de faire affaire avec une entreprise après une fuite touchant leurs données. Pour une PME locale qui carbure au bouche-à-oreille, une réputation entachée met des années à se rebâtir, si elle se rebâtit.

Le calcul qui dérange : additionnez investigation, notification, arrêt, juridique et clients perdus. Même sans amende, une PME québécoise parle facilement de dizaines de milliers de dollars. Un audit de sécurité à 99 $ qui révèle la faille avant l'attaquant, c'est l'assurance la moins chère que vous achèterez cette année.

Pourquoi les PME sont des cibles, pas des exceptions

Les attaques modernes sont automatisées. Des robots balaient le web en continu à la recherche de failles connues : un CMS non mis à jour, un formulaire vulnérable, un mot de passe faible. Ils ne choisissent pas leurs victimes par leur taille, mais par leur vulnérabilité. Une petite clinique avec un WordPress négligé est une proie plus facile qu'une grande banque blindée.

On détaille les obligations qui en découlent dans notre guide Loi 25, et les raisons d'auditer dans Pourquoi faire un audit de sécurité web.

L'arithmétique de la prévention

Mettez les deux scénarios côte à côte. D'un côté, un audit ponctuel à quelques centaines de dollars qui vous donne la liste exacte de vos failles et comment les corriger. De l'autre, une fuite qui combine amende potentielle, interruption, frais d'urgence et exode de clients. Le choix n'en est pas vraiment un.

Faites le test à moindre coût. CLAW vous remet la liste de vos vulnérabilités et un plan d'action en français, à partir de 99 $, livré en 48h. Voir les tarifs →

Ne devenez pas la prochaine statistique

Un audit à 99 $ aujourd'hui coûte moins cher qu'une seule journée de crise demain.

Lancer mon audit →

Articles connexes

Loi 25 et sécurité de votre site web
Le guide complet pour PME du Québec
Checklist de conformité Loi 25
Les points sécurité à vérifier