Loi 25 du Québec : ce que les équipes eCommerce B2B doivent savoir
La Loi 25 du Québec — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est maintenant pleinement en vigueur. La phase finale est entrée en application en septembre 2024, et si vous collectez des renseignements personnels de quiconque au Québec, elle s’applique à vous.
Pas seulement le B2C. Pas seulement les entreprises basées au Québec. Toute entreprise qui collecte, utilise ou conserve des renseignements personnels de résidents du Québec. Cela inclut les opérateurs eCommerce B2B qui traitent des comptes acheteurs, des demandes de crédit commercial, des adresses de livraison, des historiques d’achat et des cookies analytiques.
La plupart des équipes B2B que nous côtoyons n’en ont jamais entendu parler ou supposent que la LPRPDE les couvre. Ce n’est pas le cas — pas pour le Québec. Voici ce que vous devez réellement savoir.
Qu’est-ce que la Loi 25
La Loi 25 (anciennement le projet de loi 64) est la refonte québécoise de sa Loi sur la protection des renseignements personnels dans le secteur privé, datant de 1994. Elle a été adoptée en septembre 2021 et déployée en trois phases :
Phase 1 (septembre 2022) : Déclaration obligatoire des incidents de confidentialité. Désignation d’un responsable. Nouveau cadre de sanctions.
Phase 2 (septembre 2023) : Exigences de consentement. Politique de confidentialité. Évaluations des facteurs relatifs à la vie privée.
Phase 3 (septembre 2024) : Droit à la portabilité des données. Droit au déréférencement. Pleine application de toutes les dispositions.
Si vous attendiez la « date limite finale » — elle est passée. Toutes les exigences sont maintenant actives.
Pourquoi les équipes eCommerce B2B devraient s’en soucier
Voici l’idée fausse que nous rencontrons constamment : « Nous vendons à des entreprises, pas à des consommateurs, donc les lois sur la vie privée ne s’appliquent pas. »
Faux. La Loi 25 protège les renseignements personnels, c’est-à-dire toute donnée permettant d’identifier une personne physique. En B2B, cela inclut : les noms et courriels des acheteurs, les adresses de livraison, les données de crédit, les cookies analytiques, les historiques d’achat et les adresses IP.
Si un responsable des achats à Laval crée un compte sur votre boutique Shopify Plus et passe des commandes — vous collectez ses renseignements personnels. Point final.
Exigences clés
1. Responsable de la protection des renseignements personnels
Chaque organisation doit désigner une personne responsable. Par défaut, c’est le PDG — mais vous pouvez (et devriez) déléguer. Le nom et les coordonnées du responsable doivent être publiés sur votre site web.
2. Gestion du consentement
La Loi 25 exige un consentement éclairé et spécifique avant la collecte, un consentement distinct pour chaque finalité, pas de consentement groupé, et le consentement doit être libre. Les bannières de consentement aux cookies ne sont plus optionnelles pour les visiteurs du Québec.
3. Politique de confidentialité
Votre politique doit être rédigée dans un langage clair et inclure : les renseignements collectés, les finalités, la durée de conservation, les droits des individus, les transferts hors Québec et les coordonnées du responsable.
4. Déclaration des incidents
En cas d’incident, vous devez évaluer le risque, aviser la CAI si le risque est sérieux, aviser les personnes concernées et tenir un registre des incidents.
5. Droit à la suppression et au déréférencement
Les individus peuvent demander la suppression de leurs renseignements personnels ou l’arrêt de leur diffusion.
6. Droit à la portabilité des données
Depuis septembre 2024, les individus peuvent demander leurs renseignements dans un format technologique structuré et couramment utilisé.
Comparaison avec le RGPD
Si vous êtes déjà conforme au RGPD, vous en êtes en grande partie au point. Différences clés : la Loi 25 s’applique aux résidents du Québec spécifiquement, elle est plus stricte sur le consentement implicite pour les cookies, et les sanctions vont jusqu’à 4 % du chiffre d’affaires mondial ou 25 millions CAD. En résumé : si vous vendez au Québec, la Loi 25 est votre obligation principale.
Étapes pratiques
Étape 1 : Implémenter une vraie bannière de consentement (OneTrust, Cookiebot, Termly) qui bloque réellement les scripts avant le consentement.
Étape 2 : Auditer et mettre à jour votre politique de confidentialité. Nommez les outils tiers, divulguez les transferts transfrontaliers.
Étape 3 : Cartographier vos données — Shopify, ERP, CRM, email marketing, analytics, paiement.
Étape 4 : Réviser les contrats fournisseurs. La Loi 25 exige un contrat écrit avec tout tiers traitant vos données.
Étape 5 : Mettre en place un processus de réponse aux incidents. Tenir un registre dès le premier jour.
La Loi 25 et Shopify Plus
Shopify offre des outils (Customer Privacy API, demandes de suppression, apps de consentement) mais ils ne vous rendent pas conforme seuls. La lacune la plus courante : la boutique est conforme, mais les données vers Klaviyo, HubSpot ou l’ERP ne sont pas encadrées. La conformité ne s’arrête pas à votre vitrine.
Les sanctions sont réelles
Sanctions administratives jusqu’à 10 M CAD ou 2 %. Amendes pénales jusqu’à 25 M CAD ou 4 %. Poursuites privées : minimum 1 000 CAD par violation. Pour une entreprise B2B de 50 M$ de revenus, 4 % = 2 M$ d’amende potentielle.
En résumé
La Loi 25 ne va pas disparaître. « Nous sommes en B2B » n’est pas une défense. Les étapes pratiques ne sont pas insurmontables. Les entreprises qui intègrent la vie privée dans leur gouvernance des données auront un avantage concurrentiel. Parce que quand votre acheteur québécois demande « comment gérez-vous mes données ? » et que vous avez une réponse claire, c’est de la confiance. Et en B2B, la confiance conclut les ventes.
Besoin d’aide pour évaluer la conformité de votre boutique Shopify Plus ? Contactez-nous — nous auditons les configurations eCommerce B2B pour la conformité à la Loi 25.