La Loi 25, dans les PME québécoises, tout le monde en a entendu parler. Mais entre "il faudrait s'en occuper" et savoir quoi faire concrètement, il y a souvent un flou. Surtout côté parc informatique. Personne ne vous dit clairement quel lien il y a entre vos ordinateurs et vos obligations légales.

Je ne suis pas juriste. Ce qui suit n'est pas du conseil juridique, et si vous en avez besoin, consultez un spécialiste québécois. Mais ce que la Loi 25 demande en matière de documentation est plus concret qu'on ne le croit, et ça commence souvent par un endroit inattendu : votre parc informatique.

Ce que la Loi 25 dit sur vos équipements

La loi (nom complet : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est entrée en vigueur progressivement depuis 2022. Elle encadre comment les entreprises québécoises gèrent les données personnelles de leurs employés, clients et fournisseurs.

Ce que beaucoup oublient : la loi s'applique à toute donnée personnelle que votre entreprise possède, peu importe le support. Un fichier RH sur un poste de travail. Un dossier client sur un serveur local. Des données de pointage sur une tablette. Ces équipements sont tous concernés.

La question concrète que pose la Loi 25 : savez-vous sur quels équipements se trouvent les données personnelles que vous traitez, et qui y a accès ?

Si vous n'avez pas de réponse claire, votre parc informatique est le premier endroit où regarder.

Ce que la loi exige, côté parc IT

Identifier quels équipements traitent des données

La Loi 25 demande aux entreprises de tenir un registre des renseignements personnels qu'elles détiennent : quelle catégorie, dans quel système, sur quel support. En pratique, ça veut dire identifier quels équipements traitent des données personnelles. Le poste RH qui accède aux dossiers salariés ? La tablette de pointage en accueil ? Le serveur qui fait tourner votre logiciel de facturation ? Chacun compte.

Sans inventaire à jour, vous ne pouvez pas répondre à ça. Et si la Commission d'accès à l'information (CAI) fait une vérification, "on n'a pas eu le temps de tenir la liste" n'est pas une réponse recevable.

Contrôler qui accède à ces données

La loi exige que seules les personnes autorisées aient accès aux données personnelles. Ça commence par savoir quel employé utilise quel équipement. Si vous ne savez pas qui détient quel ordinateur, vous ne pouvez pas contrôler les accès, et encore moins le prouver.

Documenter les départs

Quand un employé part, il faut récupérer ses accès. Et ça commence par récupérer son matériel. Un poste non rendu, c'est un accès potentiellement toujours actif sur des données personnelles.

La décharge signée à la remise du matériel et la traçabilité des départs ne sont pas qu'une formalité RH. Elles font partie de ce que la Loi 25 vous demande de pouvoir montrer.

Ce qui manque dans la plupart des PME

J'ai vu des entreprises qui ont fait l'effort côté données : une politique de confidentialité, un début de registre des traitements. Mais côté équipements, le parc informatique vit encore dans un fichier Excel que personne ne maintient vraiment.

Du coup, les questions simples restent sans réponse :

  • Qui utilise quel ordinateur en ce moment ?
  • Cet employé parti en mars a-t-il rendu son matériel ?
  • Ce poste donne-t-il accès à des données personnelles ?

C'est ce que la Loi 25 vous demande de pouvoir documenter. Et le fichier Excel ne vous aide pas à y répondre le jour où on vous le demande.

Ce qu'un logiciel d'inventaire change

Je vais parler de GestIT parce que c'est l'outil que j'ai construit. Mais la logique est la même pour n'importe quel logiciel qui fait ça sérieusement.

Un inventaire à jour vous donne :

  • La liste de chaque équipement avec son affectation actuelle et son historique.
  • Une trace de chaque remise : qui a reçu quoi, quand, avec une décharge PDF signée.
  • Ce qu'un employé a encore en main quand il quitte.
  • Des rappels avant les échéances de garantie et de licence.

GestIT ne remplace pas un conseiller juridique. Mais il produit la documentation que la Loi 25 exige, celle que les conseillers vous demandent de tenir, et que la CAI peut demander à voir.

Un inventaire précis ne suffit pas à garantir votre conformité à la Loi 25. Mais sans inventaire, la conformité est hors de portée.

L'hébergement hors Québec

La Loi 25 encadre les transferts de données personnelles hors du Québec. Un logiciel hébergé hors du Canada peut déclencher des exigences supplémentaires, notamment une évaluation des facteurs relatifs à la vie privée (ÉFVP).

GestIT est hébergé en Union Européenne (Hostinger). Le cadre européen de protection des données (RGPD) est généralement accepté dans les évaluations de conformité pour la Loi 25. Votre propre analyse reste nécessaire selon votre situation.

Par où commencer

Voici ce que font la plupart des PME qui s'y mettent sérieusement :

  • Nommer un responsable de la protection des renseignements personnels (obligation légale depuis septembre 2022).
  • Lister les données personnelles que vous traitez et sur quels supports.
  • Recenser les équipements qui y donnent accès.
  • Mettre en place une décharge à chaque remise de matériel et une procédure de récupération à chaque départ.
  • Documenter les accès, et les réviser de temps en temps.

Les deux points du milieu, c'est ce que GestIT fait pour les PME québécoises : inventaire à jour, décharges générées en un clic, traçabilité des départs.

La Loi 25 ne va pas ruiner les PME qui font les choses correctement. C'est avant tout une raison de ne plus reporter ce que beaucoup auraient dû mettre en place depuis longtemps : savoir ce que l'entreprise possède, et qui y a accès.