🛠️ Configuration pratique

CRM conforme à la Loi 25 : guide de paramétrage

Q: Combien de temps conserver les données d'un prospect?

24 à 36 mois sans interaction est une pratique courante. L'important est d'avoir une règle documentée et automatisée.

Q: Les données d'un ex-client doivent-elles être supprimées?

Pas immédiatement. Vous devez les conserver 6 ou 7 ans pour respecter vos obligations fiscales et contractuelles, puis les détruire ou les anonymiser.

Q: Faut-il chiffrer les données du CRM?

La loi n'impose pas le chiffrement mais exige des mesures de sécurité raisonnables. Le chiffrement au repos et en transit est la norme minimale attendue.

Par Équipe éditoriale Loi25Simple Mis à jour le 24 avril 2026

HubSpot, Salesforce, Zoho ou CRM maison : ce sont vos paramètres qui font la conformité. Voici notre checklist pour rendre un CRM conforme à la Loi 25.

🎯

Les 7 exigences clés

1. Consentement tracé

Chaque contact doit avoir une source de consentement documentée (formulaire, date, version de la politique, IP). Utilisez un champ personnalisé « source_consentement ».

2. Finalités séparées

Distinguez marketing, ventes, service après-vente. Un contact qui a consenti à l'infolettre n'a pas nécessairement consenti à être appelé par un représentant.

3. Durée de conservation

Définissez une règle (ex. 3 ans après dernière interaction) et automatisez la suppression ou l'anonymisation. La Loi 25 demande de ne pas conserver les renseignements au-delà des fins prévues : une règle documentée est un point clé à mettre en place.

4. Droit de retrait

Mécanisme de désabonnement dans chaque courriel, plus un processus pour honorer les demandes verbales ou écrites. Tenez un journal des retraits.

5. Accès et rectification

Procédure interne pour extraire et corriger les données d'un individu sous 30 jours. Formez votre équipe service à la clientèle.

6. Transferts hors Québec

Si votre CRM stocke les données aux États-Unis ou ailleurs, réalisez une EFVP, documentez les garanties et mentionnez-le dans la politique.

7. Sous-traitants

Clauses de protection des renseignements personnels dans le contrat (éditeur CRM, intégrateur, partenaire emailing). Conservez les attestations.

Formation Loi 25 pour votre équipe

Chaque employé reçoit un lien, complète sa formation, obtient son certificat.

À partir de 5 $ 1 $ / mois par employé · 1^re année

En savoir plus →

⚙️

Paramétrage spécifique par CRM

CRM	Stockage par défaut	Action requise
HubSpot	États-Unis	EFVP, clauses contractuelles types, mention dans politique
Salesforce	Canada (hyperforce disponible)	Activer la région Canada, signer le DPA
Zoho	Au choix (data center Canada)	Sélectionner le data center Canada à la création
Pipedrive	UE ou US	EFVP, clauses contractuelles, mention dans politique

Pour aller plus loin, lisez notre guide du consentement et notre modèle de formulaire de consentement à intégrer à vos formulaires web.

📚 Références officielles

Sources officielles

Les informations présentées sur cette page sont tirées du texte de loi officiel du Québec et des publications de la Commission d'accès à l'information. Consultez directement les sources pour la version à jour :

→
LégisQuébec — Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c. P-39.1)
Texte de loi officiel modifié par la Loi 25
→
Commission d'accès à l'information du Québec (CAI) — Section entreprises
Guides, gabarits et décisions de l'autorité de surveillance
→
Québec.ca — Protection des renseignements personnels
Portail gouvernemental sur la Loi 25

Formation Loi 25 pour votre équipe

Chaque employé reçoit un lien, complète sa formation, obtient son certificat.

À partir de 5 $ 1 $ / mois par employé · 1^re année

En savoir plus →

Expertise Loi 25

À propos de Loi25Simple

Loi25Simple publie des contenus pratiques pour aider les PME québécoises à comprendre la Loi 25, former leurs employés et documenter leur conformité. Nos pages publiques visent la vulgarisation opérationnelle: obligations, sanctions, rôles internes, incidents et formation par fonction.

Pour qui

PME et équipes québécoises qui manipulent des renseignements personnels.

Ce qu’on couvre

RPRP, politiques, consentement, incidents, sanctions, formation et preuves de conformité.

Portée

Contenu d’information pratique et liens vers les ressources officielles du Québec quand la loi est citée.

❓

Questions fréquentes

HubSpot est-il conforme à la Loi 25? +

HubSpot peut être utilisé de façon conforme, mais nécessite des aménagements : EFVP en raison du stockage aux États-Unis, signature du DPA, mention dans la politique, configuration du module de consentement (GDPR). Ce n'est pas conforme « par défaut ».

Peut-on acheter des listes de prospects? +

En règle générale non, sauf si vous avez la preuve que les personnes ont consenti à recevoir de la prospection de tiers. L'achat de listes froides sans consentement explicite soulève des enjeux importants au regard de la Loi 25 et de la LCAP.

Combien de temps conserver les données d'un prospect qui n'a jamais acheté? +

Il n'y a pas de durée légale fixe. Une pratique courante est 24 à 36 mois sans interaction, puis suppression ou anonymisation. L'important est d'avoir une règle documentée et appliquée automatiquement.

Les données d'un ex-client doivent-elles être supprimées? +

Pas immédiatement. Vous devez les conserver pour respecter vos obligations fiscales, comptables et contractuelles (généralement 6 ou 7 ans). Au-delà, elles doivent être détruites ou anonymisées.

Faut-il chiffrer les données du CRM? +

La loi n'impose pas le chiffrement, mais elle exige des « mesures de sécurité raisonnables ». En pratique, le chiffrement au repos et en transit est considéré comme la norme minimale attendue par la CAI.