Les renseignements personnels que vous traitez dans votre logiciel de facturation — noms et adresses de clients, courriels, numeros de telephone, informations de paiement, historique d'achat — sont encadres par deux lois canadiennes superposees. Au federal, c'est la Loi sur la protection des renseignements personnels et les documents electroniques (LPRPDE) qui s'applique a toutes les entreprises du secteur prive. Au Quebec, depuis septembre 2023, c'est la Loi 25 (Loi modernisant des dispositions legislatives en matiere de protection des renseignements personnels) qui s'applique en supplement de la LPRPDE pour les renseignements traites au Quebec. La Loi 25 est, sur certains points, plus stricte que le RGPD europeen — notamment la notification d'incident de confidentialite dans les 72 heures et l'obligation d'avoir un responsable de la protection des renseignements personnels nomme.
Consentement client et finalite de la collecte
La LPRPDE exige un consentement valable pour la collecte, l'utilisation et la communication de renseignements personnels. Le consentement doit etre eclaire (le client sait a quoi il consent) et lie a une finalite specifique. 4invoices distingue les finalites de traitement (facturation, paiement, recouvrement, marketing) et trace le consentement par finalite. Le client peut accepter d'etre facture mais refuser le marketing — les deux statuts sont traces independamment et respectes par le systeme.
Droit d'acces, de rectification et d'effacement
Un client peut demander une copie de toutes les donnees personnelles que vous detenez sur lui (LPRPDE droit d'acces) et exiger des corrections (droit de rectification). Avec la Loi 25 quebecoise, il peut aussi demander l'effacement (droit a l'oubli) sous certaines conditions, notamment la fin de la finalite initiale. 4invoices fournit un export client en JSON ou PDF en un clic, conserve un historique des modifications et permet de masquer les donnees client (anonymisation) en respectant les obligations legales de conservation des factures (6 ans ARC).
Incident de confidentialite — notification 72 heures
La Loi 25 quebecoise impose la notification a la CAI (Commission d'acces a l'information) et aux personnes concernees dans 'les meilleurs delais' en cas d'incident de confidentialite presentant un risque de prejudice serieux. La pratique etablie est 72 heures — meme delai que le RGPD. 4invoices journalise chaque acces a chaque fiche client, chaque exportation de donnees, chaque modification de permissions. En cas de compromission, vous avez les preuves pour reconstituer ce qui a ete accede, sans speculation.
Cartographie des deux lois — federal et Quebec
La LPRPDE federale s'applique au commerce inter-provincial et international, et a l'interieur d'une province qui n'a pas de loi equivalente. C'est le cas pour la majorite des provinces. La LPRPDE pose 10 principes equitables : responsabilisation, determination des finalites, consentement, limitation de la collecte, limitation de l'utilisation, exactitude, mesures de securite, transparence, acces aux renseignements personnels, et possibilite de porter plainte. Le commissaire federal a la protection de la vie privee enquete sur les plaintes et peut emettre des recommandations.
Le Quebec a une loi propre — d'abord la Loi sur la protection des renseignements personnels dans le secteur prive (1994), puis sa modernisation par la Loi 25 (entree en vigueur progressivement de 2022 a 2024). La Loi 25 ajoute aux principes federaux : obligation de nommer un responsable de la protection des renseignements personnels (defaut = le PDG), evaluation des facteurs relatifs a la vie privee (EFVP) pour les nouveaux projets, droit a la portabilite des donnees (a partir du 22 septembre 2024), droit a l'oubli, et sanctions administratives pouvant atteindre 25 000 000 $ ou 4% du chiffre d'affaires mondial (le plus eleve des deux).
Pour une PME canadienne, l'enjeu pratique est de respecter les deux lois simultanement. Une bonne pratique : appliquez la Loi 25 quebecoise partout au Canada, meme pour vos clients hors Quebec. C'est plus simple a operationaliser et vous couvre dans les juridictions provinciales (CB, Alberta) qui ont leurs propres lois de vie privee similaires. 4invoices applique par defaut le standard Loi 25 — c'est le plus strict du Canada, donc respecter ce standard vous met conforme partout.
Questions frequentes
Mon entreprise est en Saskatchewan, je n'ai pas de clients au Quebec. La Loi 25 s'applique-t-elle ?
Non, la Loi 25 s'applique aux renseignements traites au Quebec, c'est-a-dire ceux concernant des residents quebecois ou ceux traites par une entreprise etablie au Quebec. Sans ces deux liens, vous etes sous la LPRPDE federale uniquement. Mais beaucoup d'entreprises choisissent d'appliquer le standard Loi 25 partout — c'est plus simple operationnellement et anticipe une harmonisation federale eventuelle.
Mes donnees sont hebergees aux Etats-Unis. Probleme ?
La LPRPDE et la Loi 25 ne prohibent pas l'hebergement hors Canada, mais exigent que vous mainteniez le meme niveau de protection que si les donnees etaient au Canada. En pratique : un fournisseur americain conforme SOC 2 Type II et signataire d'un contrat de traitement des donnees (Data Processing Agreement) avec clauses canadiennes est acceptable. 4invoices offre l'option residence canadienne des donnees (centre de donnees a Montreal ou Toronto) pour les clients qui preferent garder les donnees au Canada.
Combien de temps puis-je conserver les donnees d'un client qui n'est plus actif ?
La regle generale : aussi longtemps que necessaire pour la finalite, ni plus. Pour la facturation, l'ARC impose 6 ans de conservation des factures (donc 6 ans des donnees client liees aux factures). Apres 6 ans sans nouvelle facture, vous pouvez anonymiser le client (garder les factures historiques sans identifier le client). Si le client demande explicitement l'effacement avant 6 ans, vous devez verifier que la finalite de conservation legale (ARC) est encore active — sinon vous devez effacer.
Mettez votre facturation en conformite LPRPDE et Loi 25
Essai gratuit. Consentement par finalite, export des donnees client en un clic, journal d'acces immuable, residence canadienne des donnees optionnelle.