Qu'est-ce que la Loi 25
La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est entrée en vigueur progressivement entre 2022 et 2024 au Québec. Elle s'applique à toute entreprise privée qui collecte, utilise ou conserve des renseignements personnels — incluant la tienne, dès que tu as des employés, des clients ou des fournisseurs identifiés.
Elle s'inspire du RGPD européen et impose plusieurs obligations à FIDΣLIS comme fournisseur, et à toi comme utilisatrice ou utilisateur.
Ce que FIDΣLIS fait pour être conforme
Politique de confidentialité publique
Notre politique de confidentialité précise :
- Quels renseignements personnels nous collectons.
- Les finalités exactes de la collecte.
- La base juridique (consentement, exécution d'un contrat).
- Les destinataires (sous-traitants : Supabase, Stripe, Resend, Anthropic).
- La durée de conservation.
- Tes droits (accès, rectification, retrait du consentement, suppression, portabilité).
- La procédure pour porter plainte auprès de la Commission d'accès à l'information (CAI).
Responsable de la protection des renseignements personnels (PRP)
Nous avons désigné un PRP responsable du respect de la Loi 25, joignable à prp@fidelis-comptable.com.
Registre des incidents
En cas de fuite ou d'accès non autorisé à des renseignements personnels présentant un risque sérieux, nous t'avertissons dans les 72 heures et signalons l'incident à la CAI conformément à l'article 3.5 de la Loi.
Évaluations des facteurs relatifs à la vie privée
Avant d'introduire toute nouvelle fonctionnalité qui traite des renseignements personnels (par exemple le Conseiller IA), nous évaluons les risques pour la vie privée et minimisons la collecte.
Localisation au Canada
Toutes tes données sont hébergées dans des centres de données canadiens (Supabase région Montréal). Aucun transfert systématique à l'étranger.
Ce que tu dois faire dans TON entreprise
La Loi 25 s'applique aussi à toi. Si tu collectes des renseignements personnels (employés, clients), tu dois :
1. Désigner ton propre PRP
Cela peut être toi-même si tu es propriétaire d'une PME. Affiche son nom et ses coordonnées sur ton site web ou tes factures.
💡 Astuce : le Générateur de documents du Conseiller IA peut produire ta politique de confidentialité conforme Loi 25 personnalisée — il te suffit de saisir le nom et le courriel du PRP.
2. Avoir une politique de confidentialité
Obligatoire si tu as un site web ou collectes des données en ligne. Notre générateur la produit automatiquement (voir Conseiller IA → Générer un document → « Politique de confidentialité (Loi 25) »).
3. Tenir un registre des renseignements personnels
Liste les types de renseignements que tu collectes, pourquoi, qui y a accès, combien de temps tu les conserves.
4. Obtenir le consentement
Avant de collecter des renseignements (formulaire de contact, infolettre, dossier employé). Le consentement doit être :
- Libre : pas de coercion.
- Éclairé : tu expliques pourquoi.
- Spécifique : pour chaque finalité distincte.
- Manifeste : action positive (case à cocher non-pré-cochée par exemple).
5. Permettre l'exercice des droits
Tes propres clients ont le droit de demander :
- L'accès à leurs renseignements.
- Leur rectification.
- Leur suppression ou retrait du consentement.
- La portabilité (te fournir une copie informatisée).
Tu dois répondre dans les 30 jours.
Signaler une plainte ou une question
- Pour FIDΣLIS : prp@fidelis-comptable.com
- CAI (recours externe) : www.cai.gouv.qc.ca
- Sanctions possibles : jusqu'à 25 millions $ ou 4 % du chiffre d'affaires mondial pour les violations graves.
Pour aller plus loin
- Texte officiel de la Loi 25 sur LégisQuébec
- Guide d'application de la CAI
- Pose ta question directement au Conseiller IA — il connaît la Loi 25 et ton contexte d'entreprise.