Loi 25 et marchés publics : ce que les organisateurs doivent savoir
Consentement, politique de confidentialité, pénalités : guide pratique de conformité pour les organisateurs d'événements au Québec.
Depuis septembre 2024, la Loi 25 sur la protection des renseignements personnels est pleinement en vigueur au Québec. Et si votre premier réflexe est de penser que ça concerne surtout les grandes entreprises technologiques, détrompez-vous. Tout organisme qui collecte des renseignements personnels est visé y compris les organisateurs de marchés publics.
Nom, courriel, téléphone, adresse, numéro de permis MAPAQ, informations bancaires pour les paiements... Dès que vous gérez des candidatures d'exposants, vous collectez et traitez des renseignements personnels. Voici ce que ça implique concrètement.
Ce que la Loi 25 a changé
La Loi 25 (officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) a été adoptée en septembre 2021 et mise en œuvre progressivement sur trois ans, sous la supervision de la Commission d'accès à l'information du Québec (CAI).
Phase 1 Septembre 2022
Les premières obligations concernaient la gouvernance interne. Les organismes devaient désigner une personne responsable de la protection des renseignements personnels et mettre en place un processus de traitement des plaintes. En cas d'incident de confidentialité (fuite de données, accès non autorisé), l'obligation de signalement à la CAI et aux personnes touchées est entrée en vigueur.
Phase 2 Septembre 2023
C'est la phase la plus substantielle. Le consentement doit désormais être « manifeste, libre, éclairé et donné à des fins spécifiques ». Autrement dit, une case pré-cochée dans votre formulaire d'inscription ne suffit plus. Vous devez expliquer clairement pourquoi vous collectez chaque donnée, comment elle sera utilisée, et obtenir un consentement explicite de l'exposant.
Autre obligation majeure : les paramètres de confidentialité par défaut doivent assurer « le plus haut niveau de confidentialité ». Si vous utilisez un outil de gestion qui offre différents niveaux de visibilité des données, le réglage par défaut doit être le plus restrictif.
Les évaluations des facteurs relatifs à la vie privée (EFVP) sont aussi devenues obligatoires avant toute communication de données hors Québec ou pour tout projet impliquant des renseignements personnels. Si vous utilisez une plateforme dont les serveurs sont situés à l'extérieur du Québec, une EFVP est requise.
Phase 3 Septembre 2024
Le droit à la portabilité des données est entré en vigueur. Vos exposants peuvent désormais demander que leurs renseignements personnels leur soient transmis dans un « format technologique structuré et couramment utilisé ». Si un exposant quitte votre réseau et demande une copie de ses données, vous devez être en mesure de les fournir.
Les pénalités : pas symboliques
La CAI dispose maintenant du pouvoir d'imposer des sanctions administratives pécuniaires allant jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial pour le secteur privé. Les sanctions pénales peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial.
Évidemment, un petit marché artisanal ne risque pas une amende de 10 millions. Mais la CAI peut tout de même enquêter sur plainte d'un exposant mécontent, et les sanctions sont proportionnelles. La conformité n'est pas optionnelle, quelle que soit la taille de votre organisme.
Ce que ça signifie concrètement pour votre marché
1. Publiez une politique de confidentialité
C'est la base. Si vous avez un site web, elle doit y figurer. La politique doit être rédigée en termes clairs et préciser quels renseignements vous collectez, pourquoi vous les collectez, comment vous les conservez, combien de temps vous les gardez, et comment les personnes concernées peuvent exercer leurs droits (accès, rectification, suppression).
Pas besoin d'un document juridique de 30 pages. Deux à trois pages claires et honnêtes suffisent. Le ton doit être accessible vos exposants ne sont pas des juristes.
2. Obtenez un consentement explicite
Ajoutez une case de consentement dans votre formulaire d'inscription. Elle ne doit pas être pré-cochée. Le texte doit être spécifique : « J'accepte que mes coordonnées soient utilisées pour la gestion de ma candidature et la communication liée au marché ». Si vous comptez utiliser les données à d'autres fins (infolettre, promotion, partage avec des partenaires), il faut un consentement distinct pour chaque usage.
3. Sécurisez les données
Conservez les renseignements de vos exposants dans un environnement sécurisé. Un tableur Excel partagé sur Google Drive avec un lien public, c'est un incident de confidentialité en attente. Utilisez des mots de passe robustes, limitez l'accès aux personnes qui en ont besoin, et supprimez les données des exposants qui ne participent plus à vos événements après un délai raisonnable.
4. Désignez un responsable
Même pour un petit organisme, la Loi exige qu'une personne soit identifiée comme responsable de la protection des renseignements personnels. Par défaut, c'est la personne ayant la plus haute autorité dans l'organisme (souvent le président du comité organisateur). Cette personne doit pouvoir répondre aux demandes d'accès des exposants et gérer les incidents de confidentialité.
5. Préparez-vous aux demandes de portabilité
Un exposant peut vous demander une copie de toutes les données que vous détenez à son sujet, dans un format exploitable (CSV, PDF). Assurez-vous de pouvoir générer ce type d'export. Si vous gérez tout sur papier, c'est le moment de numériser vos processus.
L'avantage d'une plateforme conforme
La conformité à la Loi 25 est nettement plus simple quand vos données sont centralisées dans un système conçu pour la respecter. Les plateformes de gestion comme MarchéPro intègrent les mécanismes de consentement dans le processus d'inscription, sécurisent les données avec un chiffrement standard, permettent l'export des données personnelles sur demande, et offrent un historique traçable de chaque consentement obtenu.
C'est considérablement plus robuste qu'une combinaison de courriels, de tableurs et de formulaires Google et ça vous protège en cas d'inspection ou de plainte.
En résumé
La Loi 25 n'est pas un fardeau bureaucratique. C'est un cadre qui protège vos exposants et qui, en retour, vous protège aussi. Un organisme qui respecte les règles de confidentialité renforce sa crédibilité et la confiance de sa communauté. Et les mesures à mettre en place ne sont ni complexes ni coûteuses elles demandent juste un minimum de rigueur.
MarchéPro est conçu pour aider les organisateurs à respecter la Loi 25 : consentement intégré, données sécurisées, portabilité assurée.
Articles connexes
Gérer un marché public en 2025 : tableur Excel ou plateforme dédiée ?
À partir de quel moment la gestion manuelle d'un marché devient un frein, et ce qu'une plateforme comme MarchéPro change concrètement.
Marchés de Noël au Québec 2025 : dates, lieux et conseils exposants
Le répertoire des principaux marchés de Noël québécois en 2025, avec les vraies dates et des conseils pour les exposants.
Marchés publics de Montréal : le guide pour exposants et organisateurs
Jean-Talon, Atwater, Maisonneuve et marchés de quartier : tout savoir pour participer au réseau des marchés montréalais.