Formation · Initiation PRP aux employés · 1 heure · Vidéo conférence
Conçue pour les PME et entreprises de construction au Québec

Formation Loi 25 pour employés au Québec —
comprendre, appliquer, éviter les erreurs

Vos employés manipulent des renseignements personnels chaque jour. Sans formation, les risques sont réels : incidents, plaintes, perte de confiance. Une heure suffit pour changer ça.

Planifier une formation pour mon équipe Évaluer mon niveau de risque →

Voir le format, la durée et le tarif ↓

Votre organisation est-elle à risque?

Trois questions pour évaluer rapidement votre situation.

Si vous avez répondu non à une ou plusieurs de ces questions, votre organisation bénéficierait d'un accompagnement.

Obtenir un bilan complet →

Guide complet — Les 7 concepts fondamentaux

Ce contenu constitue la base de la formation. Chaque module renvoie vers un guide pratique approfondi et une page sur les exigences légales applicables.

Qu'est-ce qu'un renseignement personnel au sens de la Loi 25?

Définition : Un renseignement personnel est toute information concernant une personne physique qui permet de l'identifier, directement ou indirectement.

Nom, adresse, numéro de téléphone, courriel, informations médicales, dossier d'employé, habitudes d'achat — tous ces éléments sont des renseignements personnels. L'identification directe est évidente. L'identification indirecte est plus subtile : une information anodine peut devenir identifiante lorsqu'elle est combinée à d'autres.

Pour un entrepreneur ou une PME, ça touche le quotidien : le nom et l'adresse d'un client dans un bon de service, le numéro de téléphone dans un texto de groupe, les informations de facturation dans un fichier Excel partagé, un CV reçu par courriel. Dans tous ces cas, des renseignements personnels circulent — et la loi s'applique, peu importe la taille de l'organisation ou le support utilisé.

À retenir

Si une information concerne une personne identifiable, vous êtes concerné. Le seuil est bas — et le caractère public d'une information ne lui enlève pas son statut de renseignement personnel.

Guide — Reconnaître un renseignement personnel → Exigences de la Loi 25 →

⚖️ Le seul module qui couvre les lois canadiennes applicables

Loi 25 ou LPRPDE : quelle loi s'applique à votre PME au Canada?

Définition : Au Canada, deux cadres principaux régissent la protection des renseignements personnels dans le secteur privé : la Loi 25 au Québec et la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) au fédéral.

Le cadre canadien repose sur un partage des compétences. Il n'existe pas de loi unique : selon la nature de l'activité, les règles applicables diffèrent. La Loi 25 constitue le cadre principal pour les entreprises qui exercent leurs activités au Québec. La LPRPDE s'applique notamment aux activités commerciales interprovinciales et aux organisations sous compétence fédérale (banques, télécommunications, transport aérien).

Une idée reçue courante : « nos serveurs sont hors Québec, donc c'est la loi fédérale qui s'applique ». Faux. Ce n'est pas l'emplacement géographique des serveurs qui détermine le régime, mais bien la nature de l'activité de l'organisation. Une PME qui opère uniquement au Québec reste soumise à la Loi 25, même si ses données sont hébergées à Toronto ou ailleurs.

À retenir

Toujours valider la nature des activités (provinciales ou interprovinciales) avant de conclure sur la loi applicable. La CAI du Québec peut rendre des ordonnances ; le Commissariat fédéral agit principalement comme ombudsman.

Quels sont les principes de protection des renseignements personnels au Québec?

Définition : Les principes fondamentaux servent de boussole décisionnelle lorsque la loi ne donne pas une réponse précise à chaque situation.

Les régimes de protection des renseignements personnels reposent sur six grands principes : la responsabilité, la détermination des finalités, la limitation de la collecte, la proportionnalité, la sécurité et la transparence. Ces principes orientent les décisions au quotidien, peu importe le cadre juridique spécifique.

En pratique, la conformité n'est pas une simple checklist. Quand une organisation hésite, les principes permettent de structurer la réflexion : l'information est-elle vraiment nécessaire? La finalité est-elle clairement annoncée? Les mesures de sécurité sont-elles proportionnées aux risques? Collecter des données « au cas où » sans finalité précise enfreint le principe de limitation de la collecte — même si la loi ne le dit pas explicitement dans chaque cas.

À retenir

La conformité est une capacité de raisonnement et de justification, pas une procédure mécanique. Documenter les décisions prises au nom des principes démontre la diligence de l'organisation.

Guide — Les 6 principes appliqués → Exigences de la Loi 25 →

Combien de temps peut-on conserver des renseignements personnels?

Définition : Un renseignement personnel suit un cycle de vie : collecte, utilisation, communication, conservation et destruction. Il doit être conservé uniquement pendant la durée nécessaire à la finalité pour laquelle il a été collecté.

Un client appelle pour une soumission : vous notez son nom, son adresse et la description des travaux — c'est la collecte. Vous partagez cette fiche avec votre estimateur — c'est la communication, qui doit rester limitée à l'équipe concernée. Vous gagnez le contrat et conservez le dossier — c'est la conservation, qui doit avoir une durée raisonnable et justifiée. Le contrat terminé, les informations ne sont plus nécessaires — c'est la destruction, qui doit être sécurisée.

La majorité des incidents surviennent après la collecte, notamment lors de la conservation prolongée ou d'une destruction inadéquate. Un document papier avec l'adresse d'un client jeté dans la poubelle ordinaire, c'est déjà une faille. Conserver des dossiers « au cas où » sans justification claire crée un risque inutile et entre en contradiction avec le principe de limitation.

À retenir

Moins de données inutiles conservées = moins de risques. Ce qui n'est plus nécessaire doit être détruit ou anonymisé de façon sécurisée.

Guide — Gérer le cycle de vie des données → Exigences de la Loi 25 →

Qui est responsable de la protection des renseignements personnels dans une PME?

Définition : Toute organisation québécoise doit désigner un Responsable de la Protection des Renseignements Personnels (RPRP). Par défaut, c'est la personne ayant la plus haute autorité.

La protection des renseignements personnels est avant tout une responsabilité organisationnelle, pas uniquement technique ou juridique. La responsabilité ultime appartient à l'organisation : elle ne se délègue pas, elle s'organise. Le RPRP joue un rôle de coordination, de conseil et de suivi, mais les gestionnaires, les employés et les partenaires détiennent tous des responsabilités adaptées à leurs fonctions.

Dans une PME de dix employés, quelqu'un doit jouer ce rôle — formellement. Si personne n'est désigné, c'est le propriétaire ou le directeur général qui est responsable par défaut, souvent sans le savoir. Ce rôle peut être assumé à l'interne ou confié à un consultant externe (mandat de RPRP externe). La gouvernance — politiques, registres, documentation — n'est pas une formalité : elle sert à démontrer la diligence et à soutenir les décisions en cas de complication.

À retenir

Tout employé devrait savoir qui est le RPRP dans son organisation. La responsabilité ne se délègue pas — elle s'organise au sein de l'entreprise.

Guide — Le rôle du RPRP en PME → Exigences de la Loi 25 → Mandat RPRP externe — service →

Que faire quand un courriel est envoyé à la mauvaise personne?

Définition : Un incident de confidentialité est tout accès, utilisation ou communication non autorisée de renseignements personnels — qu'il soit intentionnel ou accidentel.

En PME, les incidents les plus fréquents ne sont pas des cyberattaques sophistiquées. Ce sont des erreurs du quotidien : un courriel envoyé au mauvais client, un document oublié sur une imprimante partagée, un texto avec des photos partagé dans le mauvais groupe, un téléphone de travail perdu. Ces situations sont des incidents de confidentialité — même si elles sont involontaires.

La réaction naturelle est de corriger en silence. C'est exactement ce qu'il ne faut pas faire. La Loi 25 oblige les organisations à consigner tous les incidents dans un registre. Lorsque le risque de préjudice sérieux existe, l'organisation doit notifier la Commission d'accès à l'information et les personnes concernées. Un incident est un événement à gérer, pas une faute à dissimuler — signaler rapidement limite les conséquences.

À retenir

Le risque zéro n'existe pas. Les mesures de protection doivent être proportionnées aux risques et à la sensibilité des données. Signaler un incident au RPRP est la bonne procédure, pas une faute.

Guide — Réagir à un incident → Exigences de la Loi 25 →

Comment décider quoi faire dans une zone grise (Loi 25)?

Définition : La conformité est une capacité de décision, pas une recette. Un bon jugement s'appuie sur trois piliers : les principes fondamentaux, le contexte de la situation et les risques identifiés.

Les situations réelles sont souvent plus nuancées que ce que prévoient les règles écrites. Être conforme, c'est être capable de prendre des décisions raisonnables, justifiables et proportionnées dans un contexte donné. Le jugement professionnel ne signifie pas faire ce que l'on veut — il signifie s'appuyer sur les principes, le contexte et l'évaluation des risques pour justifier un choix.

Documenter son raisonnement permet de démontrer la diligence de l'organisation et de se protéger dans le temps. Reconnaître ses limites est aussi une force : savoir quand consulter le RPRP, quand documenter davantage, quand escalader une question. C'est l'objectif de cette formation : transformer une loi perçue comme complexe en une posture professionnelle durable et applicable dès le lendemain matin.

À retenir

Un bon jugement est un jugement explicable et documenté. Savoir demander de l'aide et reconnaître ses limites fait partie intégrante de la conformité professionnelle.

Guide — Décider en zone grise → Exigences de la Loi 25 →

Dans la majorité des PME et entreprises de construction au Québec…

⚠️

Aucun employé n'a jamais reçu de formation sur la Loi 25 — même ceux qui traitent des dossiers clients chaque jour.

⚠️

Des renseignements personnels circulent par courriel, texto de groupe ou Excel — sans aucun protocole de protection.

⚠️

Personne ne sait quoi faire si un incident survient — et souvent, on tente de le régler en silence plutôt que de le signaler.

Le risque n'est pas théorique — il est déjà présent dans votre organisation.

Ce que la plupart des dirigeants pensent — et pourquoi c'est inexact

"On est une petite équipe, ça ne s'applique pas vraiment à nous."

La Loi 25 s'applique à toutes les organisations qui collectent des renseignements personnels au Québec — sans seuil de taille.

"C'est surtout le bureau qui gère ça, pas le terrain."

La majorité des incidents se produisent sur le terrain — textos de groupe, photos de chantier, téléphones partagés.

"On n'a jamais eu de problème, donc ça va."

L'absence de problème visible n'est pas une absence de risque — c'est souvent une absence de détection.

La formation en pratique

Format

Vidéo conférence

Durée

1 heure

Public cible

Tous les employés — aucun prérequis

Niveau

Débutant — zéro jargon

Tarif

250 $ + taxes

Pour une équipe de 8 personnes : moins de 32 $ par personne

Mettre en contexte

Une formation complète pour votre équipe 250 $
Gestion d'un incident (temps + stress + réputation) imprévisible
Une plainte à la Commission d'accès à l'information évitable

Une heure de formation peut éviter des semaines de gestion.

Ce que vos employés vont maîtriser après cette heure :

  • Reconnaître un renseignement personnel dans leur travail quotidien
  • Comprendre leurs responsabilités concrètes selon la Loi 25
  • Éviter les erreurs les plus fréquentes (et les plus coûteuses)
  • Savoir quoi faire immédiatement en cas d'incident
Planifier une formation pour mon équipe →

Pourquoi former vos employés maintenant

📋

Les incidents viennent souvent d'erreurs simples. Un courriel au mauvais destinataire, un fichier partagé sans précaution — ce sont les causes les plus fréquentes de plaintes à la Commission d'accès à l'information du Québec.

⚖️

La responsabilité appartient à l'organisation. Si un de vos employés cause un incident par manque de formation, c'est votre organisation qui est responsable — pas seulement l'employé.

🔍

Une plainte ou un incident peut devenir public. La Commission d'accès à l'information publie ses décisions. Les entreprises visées y sont nommées.

🤝

Vos clients s'y attendent. De plus en plus de donneurs d'ouvrage et de clients commerciaux posent des questions sur les pratiques de protection des données avant de signer un contrat.

Pourquoi cette formation est différente

Formation juridique traditionnelle

  • Langage légal difficile à retenir
  • Exemples génériques déconnectés du terrain
  • Contenu théorique, peu d'actions concrètes
  • Souvent liée à un audit complet coûteux

Cette formation

  • Aucun jargon — langage du quotidien
  • Exemples tirés de la construction et des métiers
  • Réflexes concrets applicables le lendemain
  • Indépendante — pas liée à un mandat plus large

L'objectif est de rendre votre équipe autonome — pas de la rendre dépendante d'un consultant. Une équipe formée fait moins d'erreurs, gère mieux les situations délicates et protège mieux votre organisation.

Prêt à former votre équipe?

Un échange de 20 minutes suffit pour définir le format, le contenu adapté à votre secteur et planifier la session. Formation offerte en vidéo conférence, disponible pour toute taille d'équipe.

Planifier une formation pour mon équipe Demander un diagnostic PRP

Pas certain que cette formation est suffisante pour votre situation ?
Obtenez d'abord un bilan de votre niveau de risque →

Kaven Chamberland — Consultant en protection des renseignements personnels, Loi 25 Québec

En résumé — La Loi 25 pour les employés

  • Tous les employés manipulent des renseignements personnels
  • La majorité des incidents viennent d'erreurs humaines simples
  • Une formation d'une heure réduit fortement les risques courants
  • La Loi 25 s'applique à toutes les organisations québécoises, sans seuil de taille

Formation Loi 25 employés — réponse rapide

  • Durée : 1 heure
  • Public : tous les employés, aucun prérequis
  • Objectif : réflexes concrets applicables dès le lendemain
  • Format : vidéo conférence
  • Tarif : 250 $ + taxes
  • Responsable : Kaven Chamberland, consultant Loi 25 Québec

Autres formations disponibles

Chaque formation couvre un aspect distinct de la conformité Loi 25.

Site web et conformité Loi 25

Politique de confidentialité, cookies, formulaires, hébergement hors Québec et outils tiers — ce que votre site doit respecter selon la loi.

Lire la formation →

Gouvernance PRP pour l'organisation

RPRP, registre des traitements, politiques internes, EFVP et gestion des sous-traitants — pour les dirigeants et responsables.

Lire la formation →

Numérique de base et protection des données

Inventaire des outils, gestion des accès, cybersécurité de base, IA responsable et évaluation des sous-traitants numériques.

Lire la formation →

Introduction aux principes ISO 27001

SMSI, relation avec la Loi 25, domaines de contrôle clés et chemin réaliste vers la certification pour une PME québécoise.

Lire la formation →