Blog/ConformitéFR

Loi 25 et CRM : Ce que chaque intégrateur TI québécois doit savoir en 2026

10 min de lecture20 février 2026🇬🇧 Read in English →

Amende maximale : 25 M$ ou 4% du chiffre d'affaires mondial

La Commission d'accès à l'information (CAI) peut imposer des sanctions administratives pécuniaires depuis septembre 2023. Les outils CRM et de veille qui stockent des données personnelles québécoises hors Canada sont directement concernés.

Qu'est-ce que la Loi 25 et pourquoi ça concerne votre CRM ?

La Loi 25 — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est entrée en vigueur en trois phases entre 2022 et 2024. Elle s'applique à toutes les entreprises qui collectent, utilisent ou communiquent des renseignements personnels de résidents québécois.

Pour un intégrateur TI, cela inclut directement :

  • Votre CRM (noms, emails, téléphones de contacts)
  • Vos outils de veille commerciale (données sur les décisionnaires)
  • Vos outils d'enrichissement de contacts (Hunter.io, ZoomInfo, Apollo)
  • Vos plateformes d'emailing et d'automatisation marketing

Les 3 phases de la Loi 25 — où en êtes-vous ?

1

Sept. 2022

Responsable de la protection

Nommer un responsable de la protection des renseignements personnels (RPRP) et publier ses coordonnées.

2

Sept. 2023

Évaluation des facteurs (EFVP)

Réaliser une EFVP avant tout projet impliquant des renseignements personnels. Déclarer les incidents de confidentialité à la CAI.

3

Sept. 2024

Droits des personnes

Droit à la portabilité, droit à l'oubli, consentement explicite pour les décisions automatisées. Politique de confidentialité accessible.

Les 5 questions à poser à votre fournisseur CRM

  1. Où sont hébergées les données ? — Les données personnelles québécoises doivent idéalement rester au Canada. Sinon, une évaluation des facteurs relatifs à la vie privée (EFVP) est requise avant tout transfert hors Québec.
  2. Avez-vous un registre des incidents ? — Tout incident de confidentialité doit être déclaré à la CAI dans les 72 heures. Votre fournisseur doit vous notifier immédiatement.
  3. Comment gérez-vous les demandes de suppression ? — Le droit à l'oubli est opposable. Votre CRM doit pouvoir purger toutes les données d'une personne sur demande.
  4. Quel est votre processus de consentement ? — Le consentement doit être explicite, libre, éclairé et donné à des fins spécifiques. Les cases pré-cochées ne suffisent plus.
  5. Avez-vous une politique de confidentialité accessible ? — Elle doit être rédigée en termes simples et facilement trouvable sur votre site.

Comparaison des outils de veille commerciale — conformité Loi 25

OutilHébergementLoi 25Note
Salesforce🇺🇸 USADonnées hors Canada par défaut. Addendum requis.
HubSpot🇺🇸 USAServeurs US. Option EU disponible mais pas CA.
ZoomInfo🇺🇸 USADonnées personnelles QC exposées. Non conforme.
Apollo.io🇺🇸 USAAgrège des données personnelles sans consentement explicite QC.
KairosNode🇨🇦 CanadaNeon PostgreSQL (AWS ca-central-1), SHA-256, purge automatique.

Transformer la Loi 25 en avantage concurrentiel

La plupart des intégrateurs TI voient la Loi 25 comme une contrainte. Les plus intelligents la voient comme un différenciateur commercial.

Voici pourquoi : vos clients du secteur public québécois — ministères, CISSS, municipalités — sont eux-mêmes soumis à la Loi 25. Ils cherchent des fournisseurs qui comprennent leurs obligations et qui peuvent démontrer leur propre conformité.

Un intégrateur qui peut dire “tous nos outils sont hébergés au Canada et conformes Loi 25”a un avantage immédiat dans les appels d'offres publics où la conformité est un critère d'évaluation.

Liste de contrôle — conformité Loi 25 pour votre stack de vente

  • ✅ CRM avec hébergement canadien ou addendum de transfert hors Québec
  • ✅ Politique de confidentialité mise à jour (droits des personnes, portabilité, oubli)
  • ✅ Responsable de la protection des renseignements personnels nommé
  • ✅ Processus de déclaration d'incident (72h à la CAI)
  • ✅ Registre des activités de traitement des données personnelles
  • ✅ Consentement explicite pour les communications commerciales
  • ✅ Outils de veille commerciale conformes (données hébergées au Canada)

KairosNode est conçu dès le départ pour la conformité Loi 25 : hébergement Neon PostgreSQL en ca-central-1 (Canada), SHA-256 sur tous les identifiants, purge automatique des données sur suppression de compte, et aucune donnée personnelle stockée en clair.

Veille commerciale conforme Loi 25 — dès aujourd'hui

KairosNode surveille le SEAO et identifie les opportunités TI dans le secteur public québécois, avec un hébergement 100% canadien et une conformité Loi 25 native.

Essayer gratuitement Voir les tarifs

Aucune carte de crédit · Conforme Loi 25 · Données hébergées au Canada

Articles connexes

Comment automatiser votre veille SEAO →

🇬🇧 Read this article in English →