← Blog | Conformité Québec 21 juin 2026 · 9 min

Loi 25 et Sécurité de Votre Site Web : le Guide PME Québec

Depuis septembre 2023, toute entreprise qui exerce des activités au Québec doit protéger les renseignements personnels qu'elle recueille. Votre site web est en première ligne. Voici ce que la Loi 25 exige vraiment, et comment vous mettre en règle sans vous ruiner.

25 M$
Sanction pénale maximale
2023
Déclaration d'incident obligatoire
Toutes
Les entreprises, peu importe la taille
72h
Pour réagir à une fuite

Ce guide est une vulgarisation à but informatif et ne constitue pas un avis juridique. Pour votre situation précise, consultez un conseiller juridique.

Qu'est-ce que la Loi 25, au juste ?

La Loi 25 (anciennement le projet de loi 64) modernise les règles québécoises de protection des renseignements personnels. Elle est entrée en vigueur par étapes : septembre 2022, septembre 2023 et septembre 2024. Elle s'applique à toute entreprise du secteur privé qui exerce des activités au Québec, peu importe sa taille. Un travailleur autonome avec un site de réservation est concerné autant qu'une grande entreprise.

Un « renseignement personnel », c'est toute information qui permet d'identifier une personne : nom, courriel, numéro de téléphone, adresse, IP, historique d'achat, dossier client. Si votre site en recueille, vous avez des obligations.

Les 5 obligations qui touchent directement votre site web

1. Des mesures de sécurité « raisonnables »

La loi exige des mesures de protection proportionnelles à la sensibilité des données. Concrètement, pour un site web, ça veut dire : chiffrement HTTPS partout, en-têtes de sécurité configurés, mots de passe et accès protégés, logiciels et extensions à jour, et pas de données sensibles exposées publiquement. Un site sans HTTPS forcé ou avec un CMS percé n'est pas « raisonnablement » sécurisé.

2. Un responsable de la protection des renseignements personnels

Vous devez désigner une personne responsable. Par défaut, c'est la personne ayant la plus haute autorité dans l'entreprise (souvent le propriétaire), mais le rôle peut être délégué par écrit. Son nom et ses coordonnées doivent être publiés sur votre site.

3. Déclarer les incidents de confidentialité

Depuis septembre 2023, si vous subissez un incident (fuite, vol, accès non autorisé) qui présente un risque de préjudice sérieux, vous devez le déclarer à la Commission d'accès à l'information (CAI) et aux personnes touchées, et tenir un registre des incidents. Une fuite via votre site web, c'est exactement ce scénario.

4. Une politique de confidentialité claire

Votre site doit afficher une politique compréhensible : quels renseignements vous recueillez, pourquoi, comment vous les protégez, et comment l'utilisateur peut exercer ses droits. Le consentement doit être libre, éclairé et donné à des fins précises.

5. Évaluation des facteurs relatifs à la vie privée (ÉFVP)

Pour certains projets (nouveau système, nouvelle collecte de données, communication hors Québec), une ÉFVP peut être requise. Si vous lancez un nouveau formulaire ou intégrez un outil tiers qui collecte des données, posez-vous la question.

Le piège le plus courant : les PME pensent être « trop petites » pour être visées. Faux. La Loi 25 ne fait aucune distinction de taille, et les outils des attaquants scannent tout le web automatiquement. Petit site ne veut pas dire petit risque.

Les sanctions sont réelles

La Loi 25 a des dents. Deux régimes de sanctions coexistent :

  • Sanctions administratives pécuniaires : jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial (le plus élevé des deux).
  • Sanctions pénales : jusqu'à 25 M$ ou 4 % du chiffre d'affaires mondial.

Au-delà des amendes, une fuite expose votre entreprise à des poursuites civiles, à la perte de confiance de vos clients et à une atteinte durable à votre réputation. Pour une PME, c'est souvent fatal.

Comment savoir si votre site est conforme côté sécurité

La conformité Loi 25 a un volet juridique (politiques, consentement, responsable) et un volet technique. C'est sur le volet technique qu'on intervient. Un audit de sécurité vérifie si votre site respecte le critère des « mesures raisonnables » :

  • HTTPS forcé et certificat valide
  • En-têtes de sécurité (HSTS, CSP, protection clickjacking)
  • Absence de vulnérabilités OWASP Top 10 (injection, XSS, mauvaise configuration)
  • Pas de données ou de sous-domaines sensibles exposés
  • Logiciels, CMS et extensions à jour

Vous avez le détail des étapes techniques dans notre guide Comment sécuriser son site web en 2026, et la liste des failles à vérifier dans le guide OWASP Top 10.

Votre prochaine étape : un passage par notre checklist de conformité Loi 25 vous dit en 10 minutes où vous en êtes. Pour le portrait technique complet, un audit CLAW à partir de 99 $ vous donne la liste exacte des correctifs.

Conclusion

La Loi 25 n'est pas une formalité optionnelle : c'est une obligation légale avec des sanctions sérieuses, et votre site web est le point de contact le plus exposé. La bonne nouvelle, c'est que la mise en conformité technique est aujourd'hui rapide et abordable. Un audit révèle vos angles morts avant qu'un incident ne le fasse à votre place.

Prêt à vérifier votre conformité technique ? CLAW réalise un audit de sécurité aligné sur les exigences de la Loi 25, avec un rapport actionnable en français. Voir les tarifs →

Mettez votre site en règle avec la Loi 25

Audit de sécurité aligné sur la Loi 25, à partir de 99 $. Rapport en français, livré en 48h.

Lancer mon audit →

Articles connexes

Checklist de conformité Loi 25
Les points sécurité à vérifier sur votre site
Combien coûte une fuite de données ?
Le vrai coût pour une PME québécoise