Loi-25 sur les données personnelles : une conformité… encore à parfaire pour les entreprises
3 février 2026
En novembre dernier, l’Université de Montréal a publié un mémoire visant à mieux comprendre les stratégies mises de l’avant par les entreprises pour se conformer à la Loi 25 sur la protection des renseignements personnels. Les résultats ont de quoi inquiéter.
Si la Loi 25 a connu une montée en puissance progressive de 2022 à 2024, les entreprises québécoises n’ont aujourd’hui plus aucune excuse pour ne pas s’y conformer. Toutes les dispositions sont en vigueur, notamment le fait de :
- Nommer dans son entreprise un ou une responsable de la protection des renseignements personnels (RPRP)
- Publier une politique de confidentialité claire sur le site web, détaillant les renseignements collectés, les fins, et l’utilisation de technologies de profilage
- Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP)
- Détruire ou anonymiser les renseignements lorsque les fins de la collecte sont accomplies
Quand Louise Tremblay, étudiante de l’UdM, a sondé les comportements de 94 entreprises dans une fenêtre temporelle allant jusqu’à avril 2025, elle a découvert qu’il y avait encore 40% des répondants qui n’affichaient toujours pas leur politique de confidentialité sur leur site Web, ni de responsable à cet effet. Aussi, seules 47% détruisaient les documents « semi-actifs » quand ils n’ont plus d’utilité pour l’entreprise.
Sans être une obligation au sens de la Loi, la Commission de l’accès à l’information du Québec recommande la tenue d’un tel registre pour être mesure de se conformer à l’obligation de détruire ou anonymiser des informations au moment opportun. Or, l’étude montre que 28% des entreprises n’ont pas de tel registre.
Pratiques d’archivage négligées
Louise Tremblay s’est intéressée aux stratégies retenues pour inventorier les informations personnelles. Elle note que les entreprises s’appuient trop lourdement sur des solutions technologiques plutôt que d’adopter de bonnes pratiques d’archivage.
Les intervenants auprès des entreprises ne militent pas en faveur du plan de classification et du calendrier de conservation comme solution, mais, en plus, ils proposent des systèmes axés sur la cybersécurité. On met l’accent sur des solutions de remplacement qui, à terme, avec des systèmes adaptés, sauront répondre aux besoins de gestion de l’information tout en sécurisant les données, » affirme-t-elle.
Pendant ce temps, les entreprises négligent les bonnes pratiques d’archivage – par exemple, 67% n’attribuent pas de date de destruction à leurs documents papier. En contrepartie, elles continuent de magasiner des solutions d’infonuagiques qui répondent aux standards de la loi. Â
Ces solutions supposent un processus de choix de système et d’implantation qui peut s’étaler sur de nombreuses années. Pendant ce temps, des documents viennent grossir les rangs des semi-actifs et s’accumulent un peu partout, sans qu’il y ait d’initiative mise de l’avant pour les répertorier et les sécuriser, tant de la part des gouvernements que de ceux qui conseillent les entreprises. »
En guide de conclusion, elle revient sur ce principe avec beaucoup d’insistance :
Cette enquête nous a convaincues que l’archivistique peut contribuer grandement à ce que les entreprises se conforment aux exigences de la Loi 25 et que les outils archivistiques méritent d’être enseignés aux gestionnaires et aux responsables de la conservation des documents. Enfin, peut-être que cette recherche signalera aux entrepôts qui offrent des services d’archivistique tout le potentiel commercial que peut représenter le bassin des plus petites entreprises. »
Sur le même thème
données
-
Les 4 leçons de McKinsey pour adopter une culture de données
-
Bilan 2019 – L’essor des données marketing… et de leur protection !
-
Comment l’Opéra de Montréal et Mondou implantent une culture de la donnée marketing
-
Maurice Vaillancourt (Keolis Canada) : « Une culture de la donnée, cela ne s’achète pas »
