Loi 25 Québec et programme de fidélité : guide complet de conformité 2026

Si vous gérez un commerce au Québec et que vous collectez des courriels, des numéros de téléphone ou des historiques d'achat de vos clients — ce qui décrit tous les programmes de fidélité — la Loi 25 s'applique à vous. Voici tout ce que vous devez savoir, en termes pratiques, pour rester conforme et éviter les amendes.

Qu'est-ce que la Loi 25 et qui est concerné?

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — communément appelée Loi 25 — a été adoptée le 22 septembre 2021 et est entrée en vigueur progressivement entre septembre 2022 et septembre 2024. Elle modernise le cadre québécois de protection des renseignements personnels et l'aligne en grande partie sur le RGPD européen, tout en ajoutant des exigences propres au Québec.

Qui est concerné? Toute organisation qui exerce des activités au Québec et qui collecte, utilise, communique ou détruit des renseignements personnels. Cela inclut :

• Tous les commerces québécois avec un programme de fidélité (cartes papier comme apps numériques)
• Les SaaS et fournisseurs de technologie qui traitent des données pour ces commerces
• Les sous-traitants techniques (hébergement, envoi SMS, envoi courriel)
• Les organismes publics et OBNL (avec des règles distinctes)

La taille de votre commerce ne vous exempte pas. Un café indépendant qui collecte les courriels de 50 clients fidèles est aussi visé qu'une chaîne de 100 restaurants.

Les 6 obligations principales pour un programme de fidélité

1. Obtenir un consentement libre, éclairé et explicite

Avant de collecter le moindre renseignement personnel d'un client (courriel, téléphone, date de naissance, etc.), vous devez obtenir son consentement explicite. Concrètement :

• Une case à cocher non pré-cochée à l'inscription
• Un texte clair expliquant : ce qui est collecté, pourquoi, avec qui c'est partagé, combien de temps c'est conservé
• Un consentement séparé pour chaque finalité distincte (ex : « accumulation de points » ≠ « envoi de promotions par courriel »)
• Un mécanisme simple pour retirer le consentement à tout moment

Un consentement « implicite » (ex : « en utilisant ce site, vous acceptez nos conditions ») n'est pas suffisant pour des renseignements personnels.

2. Désigner un responsable de la protection des renseignements personnels

Tout commerce québécois doit désigner une personne responsable de la conformité Loi 25. Ce peut être le propriétaire lui-même pour un petit commerce. Les coordonnées de cette personne doivent être publiquement accessibles (typiquement sur la page de politique de confidentialité du site).

3. Publier une politique de confidentialité claire

Votre politique de confidentialité doit indiquer :

• Quelles données vous collectez
• Pourquoi vous les collectez (finalité)
• Avec qui vous les partagez (sous-traitants techniques nommés)
• Combien de temps vous les conservez
• Comment un client peut accéder, modifier ou supprimer ses données
• Si certaines données sont transférées hors Québec, à quels pays
• Coordonnées du responsable de la protection des renseignements personnels

La politique doit être rédigée en termes clairs et simples — pas en jargon juridique. Si un client moyen ne la comprend pas, elle n'est pas conforme.

4. Permettre l'accès, la rectification et la suppression

Tout client a le droit, en tout temps, de :

• Demander une copie de toutes les données que vous avez sur lui (export CSV ou équivalent)
• Demander la rectification d'une information erronée
• Demander la suppression complète de son compte et de son historique
• Demander la portabilité de ses données vers un autre service

Vous avez 30 jours pour répondre à une telle demande. Le non-respect de ce délai peut entraîner une plainte à la Commission d'accès à l'information (CAI) du Québec.

5. Effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) pour les transferts hors Québec

Si vous transférez des renseignements personnels hors Québec — y compris à un fournisseur SaaS qui héberge ses serveurs aux États-Unis ou en Europe — vous devez :

• Documenter pourquoi le transfert est nécessaire
• Évaluer si la juridiction d'accueil offre une protection « adéquate » (sinon, mettre en place des garanties contractuelles)
• Conserver cette documentation au cas où la CAI la demande

C'est l'une des raisons pour lesquelles choisir un fournisseur qui héberge au Canada simplifie énormément votre conformité — pas d'EFVP à effectuer.

6. Notifier rapidement en cas de fuite de données

Si une fuite de données se produit (vol, accès non autorisé, perte) et qu'elle présente un « risque sérieux de préjudice », vous devez :

• Notifier la CAI dans les meilleurs délais (en pratique, 24-72 heures)
• Notifier les clients touchés
• Prendre des mesures pour limiter le préjudice et prévenir une récidive
• Tenir un registre des incidents de confidentialité (même ceux qui n'atteignent pas le seuil de notification obligatoire)

Les sous-traitants techniques : votre responsabilité ne s'arrête pas chez vous

Quand vous utilisez un fournisseur SaaS pour votre programme de fidélité, ce fournisseur devient un sous-traitant au sens de la Loi 25. Vous restez le « responsable » des données et le sous-traitant traite les données en votre nom. Cela signifie :

• Vous devez avoir un contrat écrit avec le sous-traitant qui décrit ses obligations en matière de protection des données
• Le sous-traitant ne peut utiliser les données que pour les fins que vous avez autorisées
• Si le sous-traitant a une fuite, c'est votre programme qui sera affecté (et c'est vous qui êtes en première ligne envers vos clients)

Avant de signer avec un fournisseur, demandez :

• Où sont hébergées les données (Canada, USA, autre)?
• Y a-t-il un contrat de traitement des données conforme à la Loi 25?
• Quels sont les sous-traitants tiers (envoi SMS, envoi courriel, etc.)?
• Quel est le processus en cas de fuite de données?
• Comment vous récupérez vos données si le contrat se termine?

Liste de vérification — votre programme de fidélité est-il conforme?

Passez en revue cette liste. Chaque case non cochée est un risque.

• ☐ Une case de consentement explicite (non pré-cochée) à l'inscription
• ☐ Texte clair de consentement avec les 4 éléments (quoi, pourquoi, avec qui, combien de temps)
• ☐ Politique de confidentialité publique et accessible depuis le site web
• ☐ Coordonnées du responsable de la protection des renseignements personnels publiées
• ☐ Mécanisme pour qu'un client puisse exporter ses données
• ☐ Mécanisme pour qu'un client puisse supprimer son compte
• ☐ Mécanisme pour qu'un client puisse rectifier ses données
• ☐ Hébergement au Canada OU EFVP documentée pour les transferts hors Canada
• ☐ Contrat écrit avec chaque sous-traitant technique
• ☐ Procédure de notification de fuite documentée
• ☐ Registre des incidents de confidentialité (même mineurs)
• ☐ Politique de conservation des données (combien de temps avant suppression d'un compte inactif)

Comment LogicSupplies vous aide à être conforme

Notre plateforme est conforme Loi 25 par défaut. Concrètement :

• Hébergement au Canada — toutes les données collectées via les apps LogicSupplies sont stockées sur Supabase en région nord-américaine (Canada). Aucune EFVP requise pour vous.
• Consentement explicite intégré — chaque inscription affiche une case à cocher non pré-cochée avec le texte de consentement Loi 25.
• Politique de confidentialité bilingue — modèle adapté à votre commerce, à publier sur votre app et votre site.
• Boutons « Exporter mes données » et « Supprimer mon compte » intégrés directement dans l'app — vos clients peuvent exercer leurs droits sans passer par votre support.
• Chiffrement AES-256 au repos, TLS 1.3 en transit, hashing bcrypt des mots de passe.
• Journal d'audit de tous les accès admin aux données client.
• Contrat de traitement des données conforme Loi 25 fourni à chaque commerce client.
• Sous-traitants documentés (Supabase, Twilio pour SMS, Resend pour courriel, Apple PassKit) — la liste est publique sur notre page Sécurité.

Pour les détails techniques complets, consultez notre page Sécurité & confidentialité.

Les amendes possibles : la peur ne devrait pas être le moteur, mais les chiffres comptent

La Loi 25 prévoit deux niveaux d'amendes :

Amendes administratives (CAI)

• Personne physique : 50 000 $ à 100 000 $
• Entreprise : 15 000 000 $ ou 2 % du chiffre d'affaires mondial

Amendes pénales (cour criminelle)

• Personne physique : 5 000 $ à 100 000 $
• Entreprise : 15 000 $ à 25 000 000 $ ou 4 % du chiffre d'affaires mondial

En pratique, pour un petit commerce indépendant, les amendes plus probables sont dans les fourchettes basses — quelques milliers à quelques dizaines de milliers de dollars. Mais les conséquences réputationnelles d'une fuite ou d'une plainte CAI sont souvent plus dommageables que l'amende elle-même.

Que faire dès maintenant

Si vous lisez cet article et que vous réalisez que votre programme de fidélité actuel n'est pas conforme, voici les actions à prendre dans l'ordre :

1. Cette semaine : publiez une politique de confidentialité sur votre site web (modèle adaptable disponible chez votre fournisseur ou via la CAI)
2. Cette semaine : désignez un responsable de la protection des renseignements personnels (vous-même pour un petit commerce) et publiez ses coordonnées
3. Ce mois-ci : ajoutez une case de consentement explicite à votre formulaire d'inscription (et arrêtez d'inscrire des clients sans leur consentement clair)
4. Ce mois-ci : demandez à votre fournisseur SaaS où sont hébergées les données + un contrat de traitement Loi 25
5. Ce trimestre : documentez votre processus de gestion des demandes d'accès / suppression / rectification
6. Ce trimestre : documentez votre procédure de notification de fuite

Si votre fournisseur ne peut pas répondre à ces questions clairement, c'est un signal qu'il est temps de migrer vers un fournisseur qui prend la conformité au sérieux.