Rédigé par Équipe Amotus · Dernière mise à jour 2026-06-04 · 10 min de lecture
Points clés
- La Loi 25 s’applique aux municipalités comme organismes publics traitant des renseignements personnels — l’IoT est visé dès que les capteurs peuvent identifier des personnes.
- La minimisation des données est le contrôle le moins cher : collectez des décomptes et des agrégats, pas des identités, chaque fois que le cas d’usage le permet.
- La résidence connue et une piste d’audit sont ce que les auditeurs et l’approvisionnement demandent réellement à voir.
- Le contrôle d’accès et une réponse aux incidents testée transforment la politique en preuve.
- Choisissez une plateforme qui produit les artefacts de gouvernance automatiquement, pour que la conformité soit un sous-produit de l’exploitation, pas un projet distinct.
Pourquoi la Loi 25 atteint l’IoT municipal
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — connue sous le nom de Loi 25 — a modernisé les obligations de protection de la vie privée dans toute la province. Les municipalités sont des organismes publics qui traitent des renseignements personnels ; dès qu’un capteur de ville intelligente peut identifier ou isoler une personne, ces données relèvent du régime. Un compteur de piétons qui ne stocke que des totaux anonymes est à faible risque ; un lecteur de plaques ou une caméra qui capte des visages est pleinement visé. La vraie question pour une équipe municipale n’est pas si la Loi 25 s’applique, mais comment concevoir le déploiement pour que la conformité soit intégrée.
Les cinq obligations à concevoir
1. Minimisation des données
Collectez le moins de renseignements personnels possible. Pour la plupart de la détection municipale — débit routier, occupation du stationnement, qualité de l’air, niveau de remplissage des bacs — vous avez besoin de décomptes et d’états, pas d’identités. Privilégiez des capteurs LoRaWAN qui rapportent des agrégats plutôt que des appareils qui captent images ou plaques. Quand une caméra est réellement nécessaire, traitez à la périphérie et ne transmettez que la mesure dérivée. La minimisation est le seul contrôle qui réduit d’un coup toutes les obligations en aval.
2. Résidence des données connue
Vous devez pouvoir indiquer où les renseignements personnels sont stockés et traités, et encadrer tout transfert hors du Québec. Une plateforme à résidence des données canadienne élimine par défaut la partie la plus difficile de cette obligation. Si une charge de travail doit toucher un nuage public, la question des auditeurs est de savoir si vous pouvez nommer l’emplacement et les mesures de protection — pas si vous avez utilisé un hyperscaler.
3. Contrôle d’accès
Les renseignements personnels ne doivent être accessibles qu’à ceux qui en ont besoin, par rôle, avec des identifiants révocables. Le contrôle d’accès par rôle, l’identité par appareil et des défauts à moindre privilège en sont le mécanisme. Un identifiant administrateur partagé est le genre de constat qui transforme un audit de routine en ordre de correction.
4. Signalement d’incident
La Loi 25 exige d’aviser la Commission d’accès à l’information et les personnes concernées d’un incident de confidentialité présentant un risque de préjudice sérieux. On ne peut pas signaler ce qu’on ne peut pas détecter : il faut donc journalisation, alertes et un plan de réponse répété avant un incident — pas improvisé pendant.
5. Gouvernance démontrable
Enfin, vous devez pouvoir démontrer votre conformité : qui a accédé à quoi, quand les appareils ont été mis à jour, comment circulent les données et quelles politiques sont appliquées. Une piste d’audit générée automatiquement par la plateforme vaut plus qu’un cartable de politiques, parce qu’elle est une preuve plutôt qu’une intention.
Carte obligation-contrôle
| Obligation Loi 25 | Ce qu’elle exige | Contrôle concret |
|---|---|---|
| Minimisation des données | Ne collecter que les renseignements personnels nécessaires | Détection par agrégats; traitement à la périphérie; décomptes LoRaWAN vs imagerie |
| Résidence connue | Indiquer et encadrer où vivent les données | Plateforme à résidence canadienne; mesures de transfert documentées |
| Contrôle d’accès | Limiter l’accès par rôle, de façon révocable | Accès par rôle, identité par appareil, moindre privilège |
| Signalement d’incident | Détecter et aviser lors d’incidents visés | Journalisation, alertes, plan de réponse répété |
| Gouvernance démontrable | Prouver la conformité sur demande | Piste d’audit automatique des accès et des mises à jour |
Intégrer la conformité, ne pas la rajouter
Chaque obligation est bien moins coûteuse à satisfaire par conception qu’à rattraper. Un déploiement qui prend les agrégats par défaut, tourne sur une plateforme à résidence connue avec accès par rôle et piste d’audit, et dispose d’un plan d’incident testé, passera un audit parce que la preuve existe déjà. La discipline qui relie le tout : choisir une infrastructure qui transforme ces obligations en défauts opérationnels — voyez notre carrefour IoT pour villes intelligentes et notre pratique villes intelligentes pour voir comment cela s’inscrit dans un déploiement complet.
Cet article est de l’information générale, pas un avis juridique ; confirmez vos obligations précises avec un conseiller qualifié.
Où Fundamentum entre en jeu
Les cinq obligations deviennent des défauts opérationnels quand la plateforme est conçue pour elles. Fundamentum, notre plateforme IoT canadienne, garde les renseignements personnels avec une résidence des données canadienne, applique des politiques d’accès par rôle et génère une piste d’audit de chaque accès et mise à jour — exactement la preuve que la Loi 25 et les auditeurs d’approvisionnement demandent à voir. Elle s’interface à un nuage public seulement si votre architecture l’exige. Voir la plateforme →
Foire aux questions
La Loi 25 s’applique-t-elle aux capteurs municipaux qui ne collectent pas de noms ?
Elle s’applique dès qu’un capteur peut identifier ou isoler une personne, même sans nom — une plaque, un visage ou un identifiant d’appareil peut être un renseignement personnel. Les capteurs qui ne stockent que des agrégats anonymes (un décompte de piétons, un état d’occupation) sont bien moins à risque. La ligne de partage est l’identifiabilité, pas le stockage d’un nom.
Quelle est la façon la moins chère de réduire le risque Loi 25 dans un déploiement IoT ?
La minimisation des données. Collecter des décomptes et des états plutôt que des identités réduit d’un coup toutes les obligations en aval — il y a moins à sécuriser, moins à signaler et moins à gouverner. Privilégiez des capteurs LoRaWAN qui rapportent des agrégats, et traitez à la périphérie quand une caméra est réellement nécessaire pour que seule la mesure dérivée quitte l’appareil.
Pourquoi la résidence des données importe-t-elle pour une municipalité québécoise ?
La Loi 25 exige de savoir où les renseignements personnels sont stockés et traités et d’encadrer les transferts hors Québec. Une plateforme à résidence des données canadienne satisfait cela par défaut. Si une charge doit toucher un nuage public, l’important est de pouvoir nommer l’emplacement et les mesures de protection — ce qui se documente plutôt que de faire obstacle.
Que veut réellement voir un auditeur en matière de gouvernance ?
Des preuves, pas des intentions : une piste d’audit montrant qui a accédé à quoi et quand, quand les appareils ont été mis à jour, comment circulent les données et quelles politiques d’accès sont appliquées. Une plateforme qui génère ces artefacts automatiquement fait passer une revue de gouvernance parce que la preuve existe déjà — un cartable de politiques seul ne suffit pas.
Quand une municipalité doit-elle signaler un incident sous la Loi 25 ?
Quand un incident de confidentialité présente un risque de préjudice sérieux, la municipalité doit aviser la Commission d’accès à l’information et les personnes concernées. Comme on ne peut signaler ce qu’on ne détecte pas, journalisation, alertes et plan de réponse répété doivent être en place avant un incident — pas assemblés pendant.
À lire aussi
Parlez à un ingénieur IoT — gratuitement
Réservez un appel-conseil GRATUIT de 30 minutes avec notre équipe. Pas de diapositives, aucune obligation — une vraie séance de travail sur vos questions de connectivité, de plateforme ou de conformité.
