🛠️ Configuration pratique

CRM conforme à la Loi 25 : guide de paramétrage

Q: Combien de temps conserver les données d'un prospect?

24 à 36 mois sans interaction est une pratique courante. L'important est d'avoir une règle documentée et automatisée.

Q: Les données d'un ex-client doivent-elles être supprimées?

Pas immédiatement. Vous devez les conserver 6 ou 7 ans pour respecter vos obligations fiscales et contractuelles, puis les détruire ou les anonymiser.

Q: Faut-il chiffrer les données du CRM?

La loi n'impose pas le chiffrement mais exige des mesures de sécurité raisonnables. Le chiffrement au repos et en transit est la norme minimale attendue.

Mis à jour le 24 avril 2026

HubSpot, Salesforce, Zoho, Pipedrive ou un CRM maison : peu importe l'outil, ce sont vos paramètres et vos processus qui déterminent la conformité. Voici la checklist que nous appliquons chez nos clients PME du Québec pour rendre un CRM conforme à la Loi 25.

🎯

Les 7 exigences clés

1. Consentement tracé

Chaque contact doit avoir une source de consentement documentée (formulaire, date, version de la politique, IP). Utilisez un champ personnalisé « source_consentement ».

2. Finalités séparées

Distinguez marketing, ventes, service après-vente. Un contact qui a consenti à l'infolettre n'a pas nécessairement consenti à être appelé par un représentant.

3. Durée de conservation

Définissez une règle (ex. 3 ans après dernière interaction) et automatisez la suppression ou l'anonymisation. Sans règle, vous êtes non conforme.

4. Droit de retrait

Mécanisme de désabonnement dans chaque courriel, plus un processus pour honorer les demandes verbales ou écrites. Tenez un journal des retraits.

5. Accès et rectification

Procédure interne pour extraire et corriger les données d'un individu sous 30 jours. Formez votre équipe service à la clientèle.

6. Transferts hors Québec

Si votre CRM stocke les données aux États-Unis ou ailleurs, réalisez une EFVP, documentez les garanties et mentionnez-le dans la politique.

7. Sous-traitants

Clauses de protection des renseignements personnels dans le contrat (éditeur CRM, intégrateur, partenaire emailing). Conservez les attestations.

⚙️

Paramétrage spécifique par CRM

CRM	Stockage par défaut	Action requise
HubSpot	États-Unis	EFVP, clauses contractuelles types, mention dans politique
Salesforce	Canada (hyperforce disponible)	Activer la région Canada, signer le DPA
Zoho	Au choix (data center Canada)	Sélectionner le data center Canada à la création
Pipedrive	UE ou US	EFVP, clauses contractuelles, mention dans politique

Pour aller plus loin, lisez notre guide du consentement et notre modèle de formulaire de consentement à intégrer à vos formulaires web.

📚 Références officielles

Sources officielles

Les informations présentées sur cette page sont tirées du texte de loi officiel du Québec et des publications de la Commission d'accès à l'information. Consultez directement les sources pour la version à jour :

→
LégisQuébec — Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c. P-39.1)
Texte de loi officiel modifié par la Loi 25
→
Commission d'accès à l'information du Québec (CAI) — Section entreprises
Guides, gabarits et décisions de l'autorité de surveillance
→
Québec.ca — Protection des renseignements personnels
Portail gouvernemental sur la Loi 25

Expertise Loi 25

À propos de Loi25Simple

Loi25Simple publie des contenus pratiques pour aider les PME québécoises à comprendre la Loi 25, former leurs employés et documenter leur conformité. Nos pages publiques visent la vulgarisation opérationnelle: obligations, sanctions, rôles internes, incidents et formation par fonction.

Pour qui

PME et équipes québécoises qui manipulent des renseignements personnels.

Ce qu’on couvre

RPRP, politiques, consentement, incidents, sanctions, formation et preuves de conformité.

Portée

Contenu d’information pratique et liens vers les ressources officielles du Québec quand la loi est citée.

❓

Questions fréquentes

HubSpot est-il conforme à la Loi 25? +

HubSpot peut être utilisé de façon conforme, mais nécessite des aménagements : EFVP en raison du stockage aux États-Unis, signature du DPA, mention dans la politique, configuration du module de consentement (GDPR). Ce n'est pas conforme « par défaut ».

Peut-on acheter des listes de prospects? +

En règle générale non, sauf si vous avez la preuve que les personnes ont consenti à recevoir de la prospection de tiers. L'achat de listes froides sans consentement explicite est non conforme et expose à la fois à la Loi 25 et à la LCAP.

Combien de temps conserver les données d'un prospect qui n'a jamais acheté? +

Il n'y a pas de durée légale fixe. Une pratique courante est 24 à 36 mois sans interaction, puis suppression ou anonymisation. L'important est d'avoir une règle documentée et appliquée automatiquement.

Les données d'un ex-client doivent-elles être supprimées? +

Pas immédiatement. Vous devez les conserver pour respecter vos obligations fiscales, comptables et contractuelles (généralement 6 ou 7 ans). Au-delà, elles doivent être détruites ou anonymisées.

Faut-il chiffrer les données du CRM? +

La loi n'impose pas le chiffrement, mais elle exige des « mesures de sécurité raisonnables ». En pratique, le chiffrement au repos et en transit est considéré comme la norme minimale attendue par la CAI.

Formez votre équipe ventes à la Loi 25

Module spécifique CRM, consentement B2B et prospection conforme.

Voir la formation ventes →