Module 1 · Guide pratique · Formation Loi 25 pour employés
Conçu pour les PME, entrepreneurs et équipes de construction au Québec

Qu'est-ce qu'un renseignement personnel?
Guide pratique pour PME au Québec

Si une information concerne une personne identifiable, vous êtes concerné. Ce guide vous aide à reconnaître un renseignement personnel dans votre quotidien — sans jargon juridique.

Planifier une formation pour mon équipe Demander un diagnostic PRP →

Dans la plupart des PME québécoises, les renseignements personnels circulent chaque jour — souvent sans que personne ne les identifie comme tels. Un nom de client sur un bon de service, une adresse dans un texto d'équipe, un CV reçu par courriel, un dossier patient ouvert sur un écran de bureau partagé : autant de situations où la Loi 25 s'applique. Comprendre ce qu'est un renseignement personnel, c'est la première étape pour éviter des incidents coûteux et protéger la confiance de vos clients.

Définition : qu'est-ce qu'un renseignement personnel?

Un renseignement personnel est toute information qui concerne une personne physique et qui permet de l'identifier, directement ou indirectement.

L'identification directe est évidente : un nom, une photo, un numéro d'assurance sociale, un courriel nominatif. L'identification indirecte est plus subtile : une information anodine peut devenir identifiante lorsqu'elle est combinée à d'autres. C'est pourquoi le contexte compte toujours autant que l'information elle-même.

Exemples concrets dans une PME

Voici des situations courantes où des renseignements personnels sont manipulés dans le quotidien d'une PME québécoise :

  • Un bon de service avec le nom, l'adresse et le numéro de téléphone d'un client.
  • Un texto de groupe envoyé à l'équipe avec les coordonnées d'un propriétaire pour une soumission.
  • Un fichier Excel partagé contenant les informations de facturation des clients.
  • Un CV reçu par courriel avec l'adresse résidentielle et le parcours professionnel d'un candidat.
  • Une photo de chantier où l'adresse du client est visible sur une pancarte.
  • Une liste de participants à une activité d'équipe mentionnant les allergies alimentaires.

Dans tous ces cas, des renseignements personnels circulent — et la Loi 25 s'applique, peu importe le support (papier, numérique, oral) ou la taille de l'organisation.

Ce que ça veut dire concrètement

Si vos employés ne reconnaissent pas un renseignement personnel dans leur travail quotidien :

  • vos obligations légales existent quand même — la Loi 25 ne dépend pas de votre niveau de formation ;
  • vos réflexes quotidiens sont improvisés — chaque employé décide selon son jugement personnel ;
  • vos incidents passent inaperçus ou sont gérés en silence — ce qui amplifie les conséquences.

Dans la réalité des PME québécoises…

📋

Un contremaître prend une photo d'un chantier avec l'adresse du client visible et l'envoie dans un groupe WhatsApp qui inclut des sous-traitants externes. Des renseignements personnels viennent de sortir du périmètre autorisé.

📋

Un employé consulte un dossier client sur un ordinateur partagé en salle de pause. L'écran reste visible pour les collègues qui passent — un accès fortuit à des informations personnelles.

📋

Une liste de contacts clients envoyée par courriel à un nouveau vendeur qui vient d'arriver. L'accès est immédiat, même si son rôle ne le justifie pas encore.

Erreurs fréquentes à éviter

  • « Cette information est publique, donc ce n'est pas un renseignement personnel » — Faux. Le caractère public d'une information ne lui enlève pas son statut. Une adresse trouvée en ligne reste un renseignement personnel.
  • « C'est la responsabilité du bureau, pas du terrain » — Faux. Tous les employés qui manipulent de l'information sont concernés, pas seulement l'administration.
  • « Ça ne touche que les fichiers informatiques » — Faux. Le papier, les notes manuscrites, les conversations — tous les supports sont assujettis à la loi.
  • « Un titre de poste, ce n'est pas identifiant » — Ça dépend. Dans une petite équipe, le titre « responsable de la comptabilité » identifie une personne précise.

Ce que la Loi 25 implique concrètement

Dès qu'une information concerne une personne identifiable, vous avez des obligations de base :

  • Expliquer pourquoi vous collectez l'information et à quoi elle servira.
  • Collecter seulement le nécessaire — pas de données « au cas où ».
  • Protéger l'information contre les accès non autorisés, les pertes ou les fuites.
  • Limiter l'accès aux seuls employés qui en ont besoin pour leurs fonctions.
  • Détruire ou anonymiser l'information quand elle n'est plus nécessaire.

Ces obligations s'appliquent à toutes les organisations qui exercent leurs activités au Québec, peu importe leur taille — incluant les entrepreneurs individuels.

Cas réel simplifié

Une PME québécoise typique

  • Un employé envoie par erreur un courriel contenant une liste de clients à la mauvaise adresse
  • Il tente de rappeler le message et, ne pouvant pas, corrige en silence sans en parler

Résultat : l'incident n'est jamais consigné. Le RPRP ne le sait pas. La CAI n'est pas notifiée si le préjudice était sérieux.

Quand un deuxième incident survient six mois plus tard, il n'y a aucune trace du premier — la capacité de démontrer la diligence est sérieusement compromise.

Pourquoi c'est critique

Former vos employés à reconnaître un renseignement personnel n'est pas un luxe :

  • La majorité des incidents viennent d'erreurs humaines — pas d'attaques externes sophistiquées.
  • Une équipe non formée ne peut pas appliquer les réflexes attendus — signalement, limitation, destruction.
  • La mise à niveau après un incident coûte toujours plus cher que la formation initiale en amont.

En résumé

Définition : Un renseignement personnel est toute information permettant d'identifier une personne, directement ou indirectement.

3 faits clés

  • Le contexte compte autant que l'information elle-même
  • Tous les supports sont concernés — papier, numérique, oral
  • Tous les employés sont concernés, pas seulement l'administration

👉 Action : Si vous n'êtes pas certain qu'une information est un renseignement personnel, signalez-le à votre RPRP.

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les obligations légales, les définitions juridiques et les sanctions applicables.

Renseignement personnel selon la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Dans votre entreprise, est-ce que quelqu'un pourrait…

Si la réponse est oui à l'une de ces questions,
il est probable que des renseignements personnels circulent déjà sans protocole — et qu'un incident se produise avant que vous en soyez informé.

Pas certain de votre niveau d'exposition?
Obtenez un bilan rapide de votre situation en quelques minutes.

Évaluer mon niveau de risque →

Initier votre équipe aux bases de la protection des renseignements personnels

La formation d'initiation PRP d'une heure permet à vos employés de comprendre les concepts de base — reconnaissance d'un renseignement personnel, cadres juridiques applicables, cycle de vie des données, rôle du RPRP, gestion des incidents et prise de décision. Conçue pour les PME et entrepreneurs québécois — sans jargon juridique, avec des exemples tirés du terrain.

Planifier une formation pour mon équipe Demander un diagnostic PRP

← Retour à la formation complète (7 modules)