LPRPDE, Loi 25 et CRM : guide de conformité sans stress

Aujourd’hui, on décortique la LPRPDE (la loi fédérale canadienne) et la Loi 25 (le régime modernisé du Québec) à la manière Cone : clair, pratique et, oui, presque amusant.

La LPRPDE, en mots simples

• ‍Ce que c’est : la loi fédérale qui fixe les règles sur la façon dont les organisations recueillent, utilisent et communiquent les renseignements personnels dans le cadre d’activités commerciales. Elle couvre aussi les renseignements des employés des entreprises fédéralement réglementées (banques, télécoms, etc.)

• ‍Où ça s’applique : partout au Canada sauf lorsqu’une province dispose d’une loi du secteur privé « essentiellement similaire » (p. ex., QC, AB, C.-B.) — mais la LPRPDE s’applique toujours aux transferts interprovinciaux/internationaux de renseignements personnels.

• Ce qui est un renseignement personnel : toute info concernant une personne identifiable (nom, coordonnées, identifiants, données d’appareil, etc.).‍

• Règles clés : respecter les 10 principes (responsabilité, détermination des fins, consentement, limitation de la collecte, limitation de l’utilisation/communication/conservation, exactitude, mesures de sécurité, transparence, accès individuel, contestation de la conformité).

• Droits des personnes : accès à leurs renseignements, possibilité de contester l’exactitude et de porter plainte au Commissariat à la protection de la vie privée du Canada (CPVP/OPC).‍

• Application et recours : le CPVP peut enquêter; les dossiers peuvent aller devant la Cour fédérale, qui peut ordonner des changements de pratiques et accorder des dommages-intérêts.

Les deux choses que les PME ratent le plus avec la LPRPDE

• Règles en cas d’atteinte : depuis le 1ᵉʳ novembre 2018, évaluer le risque réel de préjudice grave (RRPG); si oui, déclarer au CPVP, aviser les personnes concernées et tenir un registre.
• Amendes réelles : omettre sciemment de déclarer/aviser ou de tenir des registres peut entraîner jusqu’à 100 000 $ par infraction.

Voici la Loi 25 (anciennement projet de loi 64) — le Québec a monté le volume

Si vous êtes au Québec ou si vous vendez à des résidents du Québec (spoiler : c’est souvent le cas), la Loi 25 ajoute une couche plus stricte. De gros morceaux sont entrés en vigueur en septembre 2022 et septembre 2023, et la portabilité des données est arrivée le 22 septembre 2024.

Ce que la Loi 25 attend des entreprises

• Nommer et publier un Responsable de la protection des renseignements personnels (RPRP) : par défaut, c’est la personne ayant la plus haute autorité (délégation possible). Publiez son titre et ses coordonnées sur votre site (ou rendez-les accessibles autrement si vous n’avez pas de site).
• Faire des EFVP/PIA : obligatoires pour tout projet d’acquisition/développement/refonte d’un système d’info ou d’un service électronique impliquant des renseignements personnels et avant de communiquer des renseignements personnels hors Québec.
• Consentement des mineurs : moins de 14 ans, consentement du parent/tuteur (sauf si la collecte est clairement au bénéfice du mineur). À partir de 14 ans, le mineur peut consentir (ou le parent/tuteur peut également le faire).
• Plan d’atteinte (registre & avis) : pour tout incident de confidentialité, évaluer le risque; en cas de risque de préjudice sérieux, aviser la CAI et les personnes concernées, et tenir un registre (à fournir à la CAI sur demande).
• Transferts hors Québec : réaliser une EFVP d’abord; l’info ne peut partir que si elle reçoit une protection adéquate, avec une entente écrite reflétant les résultats de l’EFVP (inclut la sous-traitance hors Québec).
• Portabilité des données : les nouveaux systèmes doivent permettre à une personne d’obtenir ses renseignements personnels informatisés dans un format structuré et couramment utilisé.

Et oui, les amendes piquent

La Loi 25 prévoit des amendes pénales jusqu’à 25 M$ ou 4 % du chiffre d’affaires mondial (selon le plus élevé), plus des sanctions administratives pour d’autres manquements.

Pourquoi une PME devrait s’en soucier ?

Parce que vos clients s’en soucient — et ils votent avec leur portefeuille. Dans une étude de 2024 sur la confidentialité, 75 % disent ne pas acheter auprès d’organisations en qui ils n’ont pas confiance, et 38 % se disent « actifs de la vie privée » ayant changé de fournisseur à cause des pratiques de données.
Et les atteintes coûtent cher : le coût moyen d’une atteinte au Canada est estimé à 6,32 M$. Ce n’est pas le genre de « marketing » que vous souhaitez.

LPRPDE vs Loi 25

• LPRPDE = règles fédérales (consentement, mesures de sécurité, accès, déclaration des atteintes).
• Loi 25 = version « turbo » du Québec (RPRP, EFVP, portabilité, consentement des mineurs, évaluations des transferts, amendes plus élevées).
  Opérer en Ontario mais collecter des leads québécois ? La Loi 25 s’applique quand même à ces données. Vos processus/CRM doivent couvrir les deux cadres.

CRM + confidentialité : comment Cone vous évite de paniquer

Soyons réalistes : un CRM qui ignore la vie privée, c’est une voiture sans freins. Ça avance… jusqu’au mur.

Comment rester (délicieusement) ennuyeux côté conformité :

• Résidence des données au Canada & bilinguisme. Cone met de l’avant un hébergement au Canada et un service FR/EN — parfait pour la souveraineté et l’accessibilité, surtout au Québec.
• Consentement, base légale & préférences. Champs/formulaires pour consigner le consentement (finalité, date, canal) et segmenter.
• Demandes d’accès/export/suppression. Retrouver vite un contact, exporter ses données et déclencher une suppression quand c’est approprié.
• Préparation aux incidents. Checklist d’incident dans votre CRM; suivez enquêtes, avis et évaluations RRPG.
• Logique interprovinciale Québec. Si un traitement se fait hors Québec, documentez l’évaluation et les mesures fournisseurs (la CAI adore la traçabilité).

Rappel : la Loi 25 n’interdit pas le cloud ni les fournisseurs hors province; elle exige d’évaluer et documenter les risques avant que les données quittent le Québec.

TL;DR

• LPRPDE : règles fédérales; amendes jusqu’à 100 000 $ si on omet sciemment de déclarer/aviser/tenir des registres.
• Loi 25 : RPRP, EFVP, portabilité, consentement des mineurs, évaluations des transferts; jusqu’à 25 M$ ou 4 %.
• Les clients s’en soucient : 75 % n’achètent pas sans confiance; 38 % ont déjà changé.
• Les atteintes coûtent cher : 6,32 M$ en moyenne au Canada.
• Cone CRM opérationnalise tout ça : hébergement canadien, bilingue, suivi des consentements et workflows propres.

FAQ

Ai-je besoin d’un avocat pour une EFVP ?
Pas obligatoire, mais utile pour les projets à risque.

Cloud au Canada mais hors Québec ?
Évaluation de transfert requise; documentez-la.
‍
Les clients s’en soucient-ils ?
Oui. Dites clairement vos pratiques sur votre site et dans l’onboarding.

Envie de simplifier la conformité tout en respectant vos clients ? Découvrez le CRM Cone.