Loi 25 et sécurité des courriels : ce que votre PME doit faire

La Loi 25 impose à toute entreprise québécoise de protéger les renseignements personnels qu'elle détient — et vos courriels sont l'une des principales portes d'entrée des incidents. Voici le lien concret, sans jargon juridique.

En résumé : la Loi 25 exige des « mesures de sécurité raisonnables ». Un domaine sans SPF/DMARC permet à un fraudeur d'écrire à vos clients en votre nom — exactement le genre d'incident de confidentialité que la Loi vous oblige à prévenir, puis à déclarer. Sécuriser vos courriels et votre site est l'une des mesures les plus simples et les moins chères à mettre en place.

Ce que la Loi 25 demande, en une phrase

Depuis septembre 2023, toute entreprise au Québec — peu importe sa taille — doit protéger les renseignements personnels qu'elle détient par des mesures de sécurité raisonnables, déclarer les incidents de confidentialité présentant un risque de préjudice sérieux, et désigner un responsable de la protection des renseignements personnels.

Le lien avec vos courriels

Un domaine sans protection (SPF, DKIM, DMARC) permet à n'importe qui d'envoyer des courriels qui semblent venir de votre entreprise. Concrètement : un fraudeur écrit à vos clients « de votre part » pour leur soutirer des paiements ou des renseignements personnels. C'est un incident de confidentialité au sens de la Loi — avec l'obligation de déclaration et le risque réputationnel qui viennent avec.

La Commission d'accès à l'information (CAI) peut imposer des sanctions administratives importantes. Mais surtout : démontrer que vous aviez pris des mesures raisonnables (comme DMARC en mode « reject ») change complètement l'analyse d'un incident.

Le lien avec votre site web

Si votre site collecte le moindre renseignement (formulaire de contact, infolettre, commandes), la Loi s'applique aussi : HTTPS obligatoire en pratique, en-têtes de sécurité pour prévenir l'injection de scripts, certificat SSL valide. Un site compromis qui fuit des données de clients = incident déclarable.

Par où commencer (mesures concrètes)

  1. Vérifiez votre posture actuelle — notre bilan gratuit vous donne une note et la liste exacte des correctifs en 15 secondes.
  2. Fermez la porte de l'usurpation — SPF strict, DKIM activé, DMARC en « reject » (voir notre guide SPF/DKIM/DMARC).
  3. Sécurisez le site — HTTPS forcé, en-têtes de sécurité, certificat surveillé (voir le guide site web).
  4. Surveillez en continu — les protections se dégradent (certificat qui expire, DNS modifié par un fournisseur). Une surveillance automatique avec alertes vous couvre sans y penser.
  5. Documentez — gardez une trace de vos vérifications : c'est votre preuve de « mesures raisonnables ».

Cet article est une vulgarisation, pas un avis juridique. Pour votre situation précise, consultez un professionnel.

Vérifiez votre configuration gratuitement

Entrez votre domaine : on teste vos SPF, DKIM, DMARC et votre site, et on vous donne le plan d'action exact.

Faire le bilan gratuit
À lire aussi : le guide SPF, DKIM, DMARC, Microsoft 365, Google Workspace, sécuriser son site web.