La Loi 25 impose à toute entreprise québécoise de protéger les renseignements personnels qu'elle détient — et vos courriels sont l'une des principales portes d'entrée des incidents. Voici le lien concret, sans jargon juridique.
Depuis septembre 2023, toute entreprise au Québec — peu importe sa taille — doit protéger les renseignements personnels qu'elle détient par des mesures de sécurité raisonnables, déclarer les incidents de confidentialité présentant un risque de préjudice sérieux, et désigner un responsable de la protection des renseignements personnels.
Un domaine sans protection (SPF, DKIM, DMARC) permet à n'importe qui d'envoyer des courriels qui semblent venir de votre entreprise. Concrètement : un fraudeur écrit à vos clients « de votre part » pour leur soutirer des paiements ou des renseignements personnels. C'est un incident de confidentialité au sens de la Loi — avec l'obligation de déclaration et le risque réputationnel qui viennent avec.
La Commission d'accès à l'information (CAI) peut imposer des sanctions administratives importantes. Mais surtout : démontrer que vous aviez pris des mesures raisonnables (comme DMARC en mode « reject ») change complètement l'analyse d'un incident.
Si votre site collecte le moindre renseignement (formulaire de contact, infolettre, commandes), la Loi s'applique aussi : HTTPS obligatoire en pratique, en-têtes de sécurité pour prévenir l'injection de scripts, certificat SSL valide. Un site compromis qui fuit des données de clients = incident déclarable.
Cet article est une vulgarisation, pas un avis juridique. Pour votre situation précise, consultez un professionnel.
Entrez votre domaine : on teste vos SPF, DKIM, DMARC et votre site, et on vous donne le plan d'action exact.
Faire le bilan gratuit