Nexconform
Guide secteur 12 000+ établissements

Loi 25 pour Restaurants : guide pratique 2026

Équipe Nexconform

Le secteur de la restauration au Québec est l'un des plus exposés aux exigences de la Loi 25. Chaque interaction client — qu'il s'agisse d'une réservation en ligne, d'une commande via une application, ou d'une inscription à un programme de fidélité — génère la collecte de données personnelles. Les restaurateurs doivent désormais documenter chaque traitement, obtenir des consentements valides, et garantir la sécurité des informations collectées. Avec plus de 12 000 établissements concernés, la conformité n'est plus optionnelle mais un impératif commercial et légal.

Plan de conformité Loi 25 pour restaurants : 8 étapes

1

Désigner un RPRP

15 min

Nommez un responsable de la protection des renseignements personnels et publiez ses coordonnées sur votre site et formulaires.

Actions

  • Choisir un responsable compétent
  • Publier email/téléphone RPRP
  • S'inscrire au registre CAI

Livrable

Coordonnées RPRP visibles

2

Inventaire des données

45 min

Identifiez tous les renseignements personnels collectés : clients, employés, fournisseurs. Cartographie des flux de données.

Actions

  • Lister points de collecte (caisse, web, livraison)
  • Identifier données collectées
  • Cartographier stockage et accès

Livrable

Tableau d'inventaire complet

3

Analyse des risques (ÉVR)

30 min

Évaluez les risques pour chaque traitement. Attribuez un score basé sur la sensibilité des données et la probabilité d'incident.

Actions

  • Évaluer sensibilité des données
  • Identifier menaces potentielles
  • Scorer les risques résiduels

Livrable

Matrice d'évaluation des risques

4

Registre des traitements (RP)

1h

Documentez chaque activité de traitement : finalité, base légale, catégories, destinataires, durée de conservation.

Actions

  • Documenter finalités de collecte
  • Identifier bases légales
  • Définir durées de conservation

Livrable

Registre RP complet

5

Politique de confidentialité

30 min

Rédigez une politique claire et accessible sur votre site web décrivant vos pratiques de données.

Actions

  • Rédiger politique adaptée au restaurant
  • Publier sur site et application
  • Ajouter lien dans pied de page

Livrable

Politique publiée en ligne

6

Mise en place du consentement

45 min

Implémentez des mécanismes de consentement valides : bannière cookies granulaire, cases à cocher explicites.

Actions

  • Installer bannière cookies conforme
  • Ajouter cases à cocher non pré-cochées
  • Créer registre des consentements

Livrable

Système de consentement actif

7

Sécurité et procédures

30 min

Établissez des procédures de sécurité et de réponse aux incidents : chiffrement, sauvegardes, plan d'action.

Actions

  • Chiffrer données sensibles
  • Configurer sauvegardes automatiques
  • Rédiger procédure incidents

Livrable

Mesures de sécurité actives

8

Formation du personnel

30 min

Formez tout le personnel aux bonnes pratiques de protection des données. Sensibilisation continue.

Actions

  • Former aux bonnes pratiques
  • Expliquer procédures demandes clients
  • Signer engagements confidentialité

Livrable

Attestations de formation

Obligations spécifiques pour les restaurants

1

Bannière cookies conforme

Implémenter une bannière de consentement qui respecte les 4 catégories de cookies (essentiels, fonctionnels, analytiques, marketing) avec possibilité de refus granularité. La bannière doit être présente sur toutes les pages, y compris le système de réservation en ligne.

2

Politique de confidentialité détaillée

Documenter précisément quelles données sont collectées (nom, email, téléphone, historique des commandes, préférences alimentaires), la finalité de la collecte, la durée de conservation, et les droits des clients. Cette politique doit être accessible avant toute collecte de données.

3

Gestion du programme de fidélité

Pour les programmes de points ou récompenses, obtenir un consentement distinct et documenté. Permettre aux clients d'accéder à leurs points, de les modifier, et de supprimer leur compte avec toutes les données associées.

4

Traçabilité des livraisons

Si vous gérez une flotte de livreurs ou utilisez des services de livraison, documenter les données collectées sur les clients (adresses, instructions de livraison) et assurez-vous que les partenaires respectent aussi la Loi 25 via des contrats sous-traitants.

Risques principaux et solutions

Risque

Violation de base de données clients

Conséquence

Exposition des coordonnées, préférences alimentaires, et historique d'achat de milliers de clients, entraînant perte de confiance et désinscription massive.

Solution

Chiffrement des bases de données, contrôle d'accès strict, et audit régulier des accès.

Risque

Consentement marketing invalide

Conséquence

Amende pouvant atteindre 25 000 $ pour envoi de promotions sans consentement valide, plus actions en justice de clients pour spam.

Solution

Double opt-in pour les newsletters, registre des consentements avec timestamp, et procédure de désinscription en un clic.

Risque

Fuite via plateformes tierces

Conséquence

Responsabilité conjointe avec UberEats, DoorDash ou Skip si ces partenaires ne respectent pas la Loi 25 dans le traitement des données partagées.

Solution

Contrats sous-traitants explicites, vérification des pratiques des partenaires, et limitation des données partagées au strict nécessaire.

Risque

Conservation excessive des paiements

Conséquence

Sanction de la CAI pour conservation des numéros de carte au-delà de la transaction, surtout en cas de fuite.

Solution

Tokenisation des paiements via Stripe ou PayPal, suppression immédiate des données post-transaction, et audit des systèmes de paiement.

Actifs de données à protéger

moyenne

Base clients réservations

Noms, emails, téléphones, dates de réservation, préférences (allergies, occasions spéciales), historique de visites

moyenne

Données de commande en ligne

Adresses de livraison, détails des commandes, paiements (tokenisés), instructions spéciales

élevée

Programme de fidélité

Points accumulés, récompenses préférées, fréquence de visite, dépenses moyennes, segmentation client

élevée

Fichiers employés

Contrats, NAS, coordonnées bancaires, horaires, évaluations de performance, historique de congés

standard

Caméras de surveillance

Enregistrements vidéo des clients et employés, stockés 30-90 jours selon les besoins de sécurité

Cas client : Bistro Montréal

B

Bistro Montréal

25 employés, 3 établissements

Conformité complète en 3 heures avec Nexconform. Aucune friction client, programme fidélité relancé avec 40% d'inscriptions en plus grâce à la transparence.

"Nos clients apprécient de voir clairement comment on utilise leurs données. La conformité est devenue un avantage compétitif."

Exemple de sanction réelle

Une chaîne de restaurants à Québec a écopé d'une amende de 25 000 $ en 2024 pour avoir conservé les données de cartes de crédit de 8 000 clients sans consentement valide, suite à une fuite de leur système de réservation.

Questions fréquentes

Dois-je avoir une bannière cookies si j'utilise uniquement UberEats ?

Non si vous ne collectez pas directement de données, mais oui si vous avez un site web avec tracking. De plus, vous devez vous assurer qu'UberEats respecte la Loi 25 dans le contrat sous-traitant.

Combien de temps dois-je conserver les données de mon programme de fidélité ?

Vous pouvez les conserver tant que le client est actif. En cas de désinscription ou d'inactivité prolongée (24-36 mois), vous devez anonymiser ou supprimer les données.

Ma caisse enregistreuse enregistre-t-elle des données personnelles ?

Si elle est connectée et associe des noms à des transactions, oui. Les tickets de caisse anonymes ne sont pas concernés, mais tout système de compte client l'est.

Rejoignez les Restaurants conformes

12 000+ établissements utilisent déjà Nexconform pour automatiser leur conformité.

Créer mon compte gratuitVoir une démo