La Loi 25 en bref : ce que votre entreprise doit savoir
La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est l’équivalent québécois du RGPD européen. Depuis septembre 2024, toutes ses dispositions sont en vigueur.
Ça concerne qui? Toute entreprise qui collecte, utilise ou communique des renseignements personnels de résidents québécois. Que vous soyez une PME de 5 employés ou une multinationale, les obligations sont les mêmes.
Les obligations principales
Voici les exigences qui touchent directement la gestion de vos données :
1. Désignez un responsable de la protection des données
Par défaut, c’est la personne ayant la plus haute autorité dans l’entreprise. Vous pouvez déléguer ce rôle, mais il doit être clairement identifié et communiqué.
2. Tenez un registre des incidents
Tout incident de confidentialité (accès non autorisé, perte de données, brèche) doit être consigné. Si l’incident présente un risque sérieux, vous devez notifier la Commission d’accès à l’information (CAI) et les personnes touchées.
3. Obtenez un consentement explicite
Avant de collecter des renseignements personnels, vous devez obtenir un consentement clair, libre et éclairé. Fini les cases précochées et les formulaires vagues.
4. Réalisez des évaluations d’impact
Pour tout nouveau projet impliquant des renseignements personnels, une Évaluation des Facteurs relatifs à la Vie Privée (EFVP) est requise.
5. Respectez le droit à la suppression
Les individus peuvent demander la suppression de leurs données. Vous devez être en mesure de le faire.
Les pénalités : ça peut coûter cher
La CAI peut imposer des sanctions significatives :
- Amendes administratives : de 15 000 $ à 10 millions $
- Amendes pénales : jusqu’à 25 millions $ ou 4 % du chiffre d’affaires mondial
- Recours civils : les personnes touchées peuvent réclamer des dommages punitifs d’au moins 1 000 $ chacune
Même pour une PME, une amende de quelques dizaines de milliers de dollars peut être lourde de conséquences. Sans parler du dommage à la réputation.
Comment Power BI et Microsoft 365 vous aident
La bonne nouvelle : si vous utilisez Power BI dans l’écosystème Microsoft 365, vous avez déjà accès à des outils de conformité puissants. Encore faut-il les configurer correctement.
Sécurité au niveau des lignes (RLS)
Le Row-Level Security de Power BI permet de contrôler qui voit quoi dans vos rapports. Un directeur régional ne voit que les données de sa région. Un gestionnaire ne voit que les données de son équipe. Les renseignements personnels restent visibles uniquement aux personnes autorisées.
C’est exactement ce que la Loi 25 demande : limiter l’accès aux données au strict nécessaire.
Étiquettes de sensibilité
Microsoft Purview permet de classifier vos rapports et données selon leur niveau de sensibilité (confidentiel, interne, public). Ces étiquettes suivent les données partout : dans Power BI, dans les exports Excel, dans les courriels. Si quelqu’un tente de partager un rapport confidentiel à l’externe, le système peut le bloquer automatiquement.
Passerelle de données sécurisée (Data Gateway)
La Data Gateway contrôle les connexions entre Power BI et vos sources de données internes. Les données transitent par un canal chiffré et vous gardez le contrôle complet sur ce qui sort de votre réseau.
Journaux d’audit
Power BI enregistre automatiquement qui accède à quoi et quand. Ces journaux sont essentiels pour démontrer votre conformité à la CAI en cas de vérification et pour investiguer rapidement en cas d’incident.
Prévention de la perte de données (DLP)
Les politiques DLP de Microsoft Purview détectent automatiquement les renseignements personnels (numéros d’assurance sociale, numéros de carte de crédit, etc.) dans vos rapports Power BI et peuvent alerter ou bloquer le partage non autorisé.
5 actions concrètes pour votre PME
Voici par où commencer si vous n’avez pas encore pris de mesures :
- Identifiez où sont vos données personnelles : dans quels systèmes, quels fichiers, quels rapports Power BI. C’est la base de tout.
- Activez le RLS dans Power BI : configurez des rôles pour limiter l’accès aux données sensibles. Notre service d’optimisation inclut cette configuration.
- Appliquez des étiquettes de sensibilité : classifiez vos rapports et activez les politiques de protection.
- Mettez en place un suivi des accès : activez les journaux d’audit et définissez un processus de vérification périodique avec notre service de monitoring continu.
- Documentez vos mesures : la CAI veut voir que vous avez pris des mesures raisonnables. Documentez vos configurations de sécurité, vos politiques d’accès et vos procédures d’incident.
FAQ
Ma PME est-elle vraiment concernée par la Loi 25?
Oui, sans exception. La Loi 25 s’applique à toute entreprise qui collecte des renseignements personnels de résidents québécois, peu importe sa taille ou son secteur. Si vous avez des employés, des clients ou des fournisseurs au Québec, vous êtes visé.
Est-ce que Power BI seul suffit pour être conforme?
Non. Power BI est un outil parmi d’autres dans votre stratégie de conformité. Il couvre la partie « gouvernance et sécurité des données analytiques », mais vous aurez aussi besoin de politiques organisationnelles, de formation pour vos employés et possiblement d’un avis juridique pour les aspects légaux.
Combien de temps ça prend pour sécuriser nos rapports Power BI?
Pour une PME typique avec 5 à 10 rapports, la configuration du RLS, des étiquettes de sensibilité et des journaux d’audit prend généralement 2 à 5 jours. C’est un investissement modeste comparé aux pénalités potentielles.
La CAI fait-elle vraiment des vérifications auprès des PME?
Oui. La CAI a adopté une approche éducative au départ, mais elle applique désormais des sanctions en cas de violations graves ou répétées. Les plaintes de clients ou d’employés peuvent aussi déclencher une enquête, peu importe la taille de l’entreprise.
Protégez vos données et votre entreprise
La conformité à la Loi 25 n’est pas seulement une obligation légale, c’est aussi un avantage concurrentiel. Les entreprises qui démontrent leur sérieux en matière de protection des données gagnent la confiance de leurs clients et partenaires.
Planifiez un audit de vos rapports Power BI et nous identifierons les mesures à mettre en place pour sécuriser vos données.