La Loi 25 (Loi modernisant des dispositions legislatives en matiere de protection des renseignements personnels) est entree pleinement en vigueur en septembre 2024. Si tu recueilles des renseignements personnels sur tes clients — et si tu utilises un CRM, c'est necessairement le cas — tu as des obligations legales serieuses. Les amendes peuvent atteindre 25 millions de dollars ou 4% du chiffre d'affaires mondial. C'est pas un dossier a prendre a la legere.
Ce que la Loi 25 exige de ton entreprise
En resume, la Loi 25 t'oblige a: designer un responsable de la protection des renseignements personnels, avoir une politique de confidentialite a jour, obtenir le consentement avant de recueillir des renseignements, informer les clients de l'utilisation de leurs donnees, permettre aux clients d'acceder a leurs donnees et de les faire corriger, et signaler tout incident de securite dans les 72 heures.
L'impact sur ton CRM
Ton CRM est la ou tu stockes la majorite des renseignements personnels de tes clients: noms, courriels, numeros de telephone, adresses, historique d'achats, notes de conversation. Si ton CRM n'est pas conforme a la Loi 25, toute ton entreprise est en infraction. La premiere question a poser: ou sont stockees les donnees?
Le probleme de l'hebergement aux Etats-Unis
Si ton CRM heberge les donnees aux Etats-Unis (comme GoHighLevel, Salesforce par defaut, ou HubSpot), tes donnees sont soumises au droit americain, incluant le Cloud Act et le FISA 702. Les agences gouvernementales americaines peuvent acceder a ces donnees sans mandat canadien. Ce transfert transfrontalier de donnees doit etre divulgue a tes clients et comporte des risques juridiques reels.
Comment TonCRM est conforme
TonCRM heberge toutes les donnees au Canada, sur des serveurs localises au pays. Le chiffrement est applique au repos (AES-256) et en transit (TLS 1.3). L'authentification a deux facteurs est disponible pour tous les utilisateurs. Le journal d'audit trace chaque acces, modification et suppression de donnees. Les sauvegardes sont quotidiennes et stockees au Canada.
Gestion du consentement
TonCRM trace le consentement de chaque contact: quand et comment le consentement a ete obtenu, pour quelle finalite, et s'il a ete retire. Quand un client exerce son droit de retrait, le systeme marque le contact comme inactif et supprime les communications automatisees. C'est gere nativement, pas avec un plugin.
Droit d'acces et de rectification
Quand un client demande a voir ses donnees (ce qui est son droit), tu peux generer un rapport complet de toutes les informations detenues dans TonCRM en quelques clics. Si des corrections sont necessaires, elles sont appliquees et tracees dans le journal d'audit.
Plan de reponse aux incidents
En cas d'incident de securite (fuite de donnees, acces non autorise), la Loi 25 exige une notification dans les 72 heures. TonCRM offre des outils de detection et de reponse: alertes d'acces suspect, gel de compte instantane, et modele de notification conforme a la loi.
Les erreurs a eviter
L'erreur la plus courante: penser que la Loi 25 ne s'applique pas aux petites entreprises. Elle s'applique a toute entreprise qui recueille des renseignements personnels au Quebec, peu importe sa taille. L'autre erreur: utiliser des outils americains en pensant que personne ne va verifier. La Commission d'acces a l'information du Quebec (CAI) a les pouvoirs et les ressources pour enqueter.
La conformite a la Loi 25 n'est pas optionnelle. Si tu utilises un CRM avec des donnees hebergees aux Etats-Unis, c'est le temps d'evaluer tes risques. TonCRM est concu pour la conformite quebecoise des le depart. Combine ca avec notre facturation TPS/TVQ et tu as un outil completement adapte a la realite juridique d'ici.
