← Retour au blogConformité

Loi 25 et avis clients : ce que les commerces du Québec doivent savoir

26 avril 2026·5 min de lecture

La Loi 25 en deux phrases

La Loi 25 (officiellement Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est entrée en vigueur progressivement entre 2022 et 2024. Elle harmonise le Québec avec les standards du RGPD européen et de la LPRPDE fédérale, et s'applique à toute entreprise qui détient des renseignements personnels — incluant les commerces locaux.

Si vous avez un nom de client, un courriel, un numéro de téléphone ou même un commentaire d'avis qui révèle son identité dans vos systèmes, vous tombez sous la Loi 25.

Les avis comptent-ils ?

Oui — dès qu'un avis Google identifie une personne (par son nom, son courriel, ou des détails qui permettent de la reconnaître), c'est un renseignement personnel.

Trois conséquences concrètes :

1. Vous devez savoir où sont stockés ces avis. Si vous utilisez un outil tiers (comme Meerkly) qui les centralise, vous devez savoir dans quels pays ses serveurs résident. Vos clients ont le droit de le demander.

2. Vous devez avoir une raison légitime de les conserver. Répondre aux avis et améliorer votre service est une raison valable. Les revendre ou les utiliser pour du marketing ciblé sans consentement, non.

3. Le client peut demander la suppression. Si quelqu'un vous écrit pour faire retirer son commentaire de vos systèmes internes, vous devez l'effacer dans un délai raisonnable. (À noter : ça ne supprime pas l'avis sur Google — ça, c'est entre le client et Google.)

Les 4 obligations à mettre en place

1. Désigner un responsable de la protection des renseignements personnels (RPRP)

Pour la majorité des PME, c'est le propriétaire ou un employé désigné. Son nom et son courriel doivent être publiés sur votre site (typiquement dans la politique de confidentialité).

2. Publier une politique de confidentialité

Elle doit décrire :

  • Quels renseignements vous collectez (nom, courriel, avis, etc.)
  • Pourquoi (gestion des avis, communication client, facturation)
  • Combien de temps vous les conservez
  • Avec qui vous les partagez (Google, Stripe, votre outil de gestion d'avis, etc.)
  • Le droit du client à demander accès, correction ou suppression

3. Documenter les transferts hors-Québec

Si vos données passent par des serveurs aux États-Unis (ce qui est le cas de la quasi-totalité des outils SaaS), vous devez l'indiquer clairement.

4. Notifier en cas d'incident

Si vous subissez une fuite de données qui touche des renseignements personnels, vous devez aviser la Commission d'accès à l'information (CAI) et les personnes concernées.

Les sanctions

Les amendes vont de 15 000 $ à 25 millions de dollars ou 4 % du chiffre d'affaires mondial, selon le manquement. Pour un commerce local, le risque réel n'est pas l'amende plafond — c'est la plainte d'un client à la CAI qui déclenche une vérification, et la mauvaise presse qui suit.

Ce que Meerkly fait pour vous

Notre plateforme est explicitement conforme à la Loi 25 et à la LPRPDE. La politique de confidentialité détaille où sont vos données (Supabase, Stripe, Resend, Anthropic — tous aux États-Unis), votre droit d'accès et de suppression, et le contact RPRP (privacy@meerkly.ca).

Vous restez propriétaire de vos données. Aucune revente, aucune utilisation marketing sans consentement, et un export complet en CSV à n'importe quel moment.

En résumé

La Loi 25 n'est pas un obstacle pour les commerces locaux — c'est un cadre qui formalise des bonnes pratiques. Si vous gérez vos avis dans un outil documenté et que vous publiez une politique de confidentialité claire, vous êtes couvert pour 90 % des cas. Le reste, c'est répondre rapidement aux demandes d'accès ou de suppression quand elles arrivent (rares, mais elles arrivent).

Prêt à automatiser vos réponses ?

Des centaines de commerces locaux gèrent leur réputation avec Meerkly.

Essai gratuit — 14 jours