/ Légal & Conformité / Loi 25 : quelles sont vos nouvelles obligations concernant les données clients dès septembre ?
Publié le 12 avril 2024

Face à la Loi 25, la panique n’est pas une stratégie. La conformité n’est pas une montagne insurmontable, mais une série d’actions pragmatiques et documentées.

  • La désignation d’un responsable (RPRP) est la première étape, mais son indépendance et ses ressources sont les clés du succès.
  • La gestion d’un incident de sécurité ne s’improvise pas; elle suit un protocole strict où chaque heure compte.
  • Le consentement n’est plus passif : vos outils marketing doivent être reconfigurés pour une transparence totale.

Recommandation : Abordez la conformité non comme une dépense, mais comme une hygiène numérique essentielle qui bâtit la confiance client. Documentez chaque décision, chaque processus, chaque incident : c’est votre meilleure assurance contre les sanctions.

L’échéance de septembre approche et, pour de nombreux propriétaires de PME au Québec, la Loi 25 ressemble à un nuage noir chargé d’amendes pouvant atteindre des millions de dollars. Vous entendez parler de « responsable de la protection des renseignements personnels », de « notification d’incident » et de « consentement explicite », et chaque terme semble ajouter une couche de complexité et d’anxiété. Vous n’êtes pas seul. La crainte d’un faux pas, d’un oubli qui pourrait coûter cher, est palpable dans le milieu des affaires.

Face à cette pression, le réflexe est souvent de chercher une simple liste de tâches à cocher, en espérant que cela suffise. On parle de mettre à jour sa politique de confidentialité, d’ajouter une bannière de cookies. Si ces actions sont nécessaires, elles ne sont que la pointe de l’iceberg. Elles traitent les symptômes sans adresser la cause profonde : la manière dont votre entreprise collecte, utilise, stocke et protège les renseignements personnels au quotidien, que ce soit ceux de vos clients ou de vos employés.

Mais si la véritable clé n’était pas de viser une conformité juridique parfaite et théorique, mais d’adopter un pragmatisme défendable ? En tant qu’avocat spécialisé dans ce domaine, je vois trop d’entrepreneurs paralysés par la peur de mal faire. Mon approche est différente : il s’agit de transformer l’obligation légale en une opportunité d’instaurer une solide hygiène numérique. Il s’agit de prendre des décisions éclairées, de les documenter rigoureusement et de pouvoir justifier chaque choix. C’est cette documentation probante qui sera votre meilleur allié en cas de contrôle.

Cet article n’est pas une simple énumération d’obligations. C’est une feuille de route stratégique, conçue pour vous, le dirigeant de PME. Nous allons décortiquer les points les plus critiques de la Loi 25, non pas sous un angle purement légal, mais à travers des décisions opérationnelles concrètes que vous devez prendre dès maintenant. De la nomination de votre pilote de la conformité à la gestion d’une crise, en passant par les pièges techniques de vos outils marketing, nous allons vous donner les moyens d’agir avec confiance.

Pour naviguer efficacement à travers ces nouvelles responsabilités, cet article est structuré pour aborder chaque défi majeur de manière claire et actionnable. Le sommaire ci-dessous vous guidera à travers les étapes cruciales de votre mise en conformité.

Sommaire : Votre plan d’action pour la conformité à la Loi 25

Délégué à la protection des données : pouvez-vous assumer ce rôle ou devez-vous sous-traiter ?

Par défaut, la Loi 25 désigne la personne ayant la plus haute autorité dans l’entreprise, c’est-à-dire vous, le PDG ou propriétaire, comme le Responsable de la protection des renseignements personnels (RPRP). Vous pouvez cependant déléguer cette fonction, en totalité ou en partie, à un employé ou à un consultant externe. La question n’est pas tant de savoir si vous *pouvez* le faire vous-même, mais si vous le *devez*. Cette décision a des implications financières, stratégiques et juridiques majeures. L’erreur serait de nommer quelqu’un sur papier sans lui donner les moyens réels d’agir.

Le rôle de RPRP (ou DPO, son équivalent européen) exige une expertise pointue, une disponibilité constante et, surtout, une indépendance fonctionnelle. Il doit pouvoir contester une campagne marketing ou un processus RH sans craindre pour son poste. Un conflit d’intérêts, par exemple si votre directeur marketing est aussi RPRP, est un signal d’alarme pour la Commission d’accès à l’information (CAI). La comparaison suivante, basée sur une analyse des coûts pour une PME québécoise, met en lumière l’arbitrage entre une solution interne et externe.

Comparaison des coûts DPO interne vs externe pour une PME québécoise
Critère DPO Interne DPO Externe
Coût mensuel moyen 2 500 − 4 000 $ (salaire + charges) 500 − 1 200 $ (forfait PME)
Expertise requise Formation continue nécessaire Expertise à jour incluse
Indépendance Risque de conflit d’intérêts Neutralité garantie
Flexibilité Temps plein obligatoire Temps partiel possible
Protection emploi Article 38 RGPD applicable Contrat commercial flexible

L’externalisation offre une expertise immédiate et une indépendance garantie à un coût souvent inférieur pour une PME. Cependant, une ressource interne, si elle est correctement formée et positionnée, aura une connaissance intime de l’entreprise. Avant de prendre votre décision, évaluez honnêtement votre capacité interne. Le plus grand risque n’est pas de choisir une option plutôt qu’une autre, mais de sous-estimer la portée et la responsabilité de cette fonction essentielle.

Quelle que soit votre décision, elle doit être formalisée par écrit et communiquée à l’ensemble de votre personnel. Le nom et les coordonnées de votre RPRP doivent également être publiés sur votre site internet, démontrant ainsi votre transparence et votre engagement.

Fuite de données : le protocole exact pour aviser la Commission d’accès à l’information (CAI)

Un « incident de confidentialité », qu’il s’agisse d’un rançongiciel, d’un courriel envoyé au mauvais destinataire ou d’un vol d’ordinateur portable, n’est plus une question de « si », mais de « quand ». La Loi 25 impose une gestion de crise rigoureuse et rapide. Votre obligation principale est de déterminer s’il existe un « risque de préjudice sérieux » pour les personnes concernées. Si c’est le cas, vous devez notifier la CAI et les individus affectés avec la plus grande diligence. L’improvisation n’est pas une option ; un protocole clair doit être prêt avant même que l’incident ne survienne.

Centre de commande de crise avec écrans de monitoring et équipe coordonnant la réponse à un incident de sécurité

Ce protocole doit agir comme un plan d’urgence. Dès la découverte d’un incident, l’horloge se met en marche. La première étape est de contenir la brèche, puis d’évaluer la nature des données compromises (ex: des noms et courriels n’ont pas le même poids qu’un numéro d’assurance sociale et des informations financières). C’est cette évaluation qui déterminera l’obligation de notification. Un registre de tous les incidents, même ceux qui ne présentent pas de risque de préjudice sérieux, doit être maintenu. Ce registre est la preuve que vous gérez activement la sécurité des données.

Simulation d’incident : PME de la Beauce victime d’un rançongiciel

Imaginons le scénario : une PME manufacturière de 50 employés découvre un lundi matin que ses serveurs sont chiffrés. H+0 : Isolement immédiat des systèmes infectés pour stopper la propagation. H+2 : L’équipe TI réalise une évaluation préliminaire. Environ 2000 dossiers clients sont compromis, incluant des numéros d’assurance sociale (NAS) et des coordonnées bancaires. Le risque de préjudice sérieux (vol d’identité, fraude) est évident. H+24 : La notification obligatoire est envoyée à la CAI via le formulaire en ligne dédié. H+48 : Des courriels de notification individuelle, clairs et sans jargon, sont envoyés aux 2000 clients. H+72 : Le registre des incidents est mis à jour avec une documentation complète de l’incident et des mesures prises. Ce respect du protocole, bien que stressant, est une défense solide contre d’éventuelles sanctions pour négligence.

La communication avec les personnes affectées est aussi cruciale que la notification à la CAI. Elle doit être transparente, empathique et utile, en fournissant des étapes concrètes que les individus peuvent suivre pour se protéger. Omettre une notification obligatoire est considéré comme une faute grave, bien plus préjudiciable que l’incident lui-même.

En somme, préparez-vous au pire en espérant le meilleur. Un protocole testé et un registre à jour ne sont pas de la bureaucratie, mais les fondations de votre résilience en matière de cybersécurité.

Cookies et formulaires : pourquoi votre case pré-cochée est désormais illégale ?

Le principe fondamental du consentement sous la Loi 25 est simple : il doit être « manifeste, libre, éclairé et donné à des fins spécifiques ». La conséquence directe de ce principe est la mort de la case pré-cochée. Qu’il s’agisse de s’inscrire à une infolettre, d’accepter les conditions générales ou d’autoriser les cookies publicitaires, le consentement doit résulter d’une action positive de l’utilisateur. Le silence ou l’inaction ne vaut plus consentement.

Cela va bien au-delà d’une simple case à décocher. Votre bannière de cookies doit désormais permettre un consentement granulaire. L’utilisateur doit pouvoir accepter les cookies analytiques tout en refusant les cookies publicitaires, par exemple. Une bannière avec un simple bouton « Tout accepter » sans alternative claire pour refuser ou personnaliser est non conforme. Le consentement doit également être aussi facile à retirer qu’à donner. Un lien « Gérer mes préférences de cookies » doit être accessible en permanence dans le pied de page de votre site.

Cette nouvelle rigueur a un impact direct sur la configuration technique de vos outils marketing. Utiliser Google Analytics, un Pixel Meta ou un tag LinkedIn sans obtenir un consentement préalable et valide, c’est collecter illégalement des renseignements personnels. Vous devez vous assurer que ces scripts ne se déclenchent qu’après que l’utilisateur a fait un choix éclairé. Cela nécessite souvent l’intervention d’un développeur ou une configuration avancée de votre plateforme de gestion du consentement (CMP).

Plan d’action : Configurer vos outils pour le consentement granulaire

Mettre vos outils en conformité est une étape technique mais non-négociable. Voici une liste d’actions concrètes à vérifier pour les plateformes les plus courantes :

  • Google Analytics 4 : Assurez-vous d’avoir activé le « Mode Consentement v2 ». Cela permet d’ajuster le comportement des balises en fonction du statut de consentement de l’utilisateur.
  • Pixel Meta (Facebook/Instagram) : L’implémentation de l’API de conversions (CAPI) côté serveur, conditionnée au consentement, devient la norme pour un suivi respectueux.
  • LinkedIn Insight Tag : Configurez-le pour qu’il fonctionne en mode anonyme par défaut, ne collectant des données personnelles identifiables qu’après un consentement explicite.
  • Mailchimp/HubSpot : Activez le double opt-in pour toutes les inscriptions et supprimez toute case d’abonnement à l’infolettre qui serait pré-cochée dans vos formulaires de contact.
  • WordPress/Shopify : Utilisez des plugins de conformité reconnus comme Complianz, CookieYes ou l’API Customer Privacy de Shopify, mais ne vous contentez pas de l’installation par défaut. Configurez-les spécifiquement pour les exigences du Québec.

En fin de compte, la transparence est payante. Un utilisateur qui comprend et contrôle l’utilisation de ses données est un client qui a davantage confiance en votre marque. C’est un investissement dans une relation à long terme.

Inventaire des renseignements : comment savoir où sont stockées les données sensibles de vos employés ?

La Loi 25 ne concerne pas uniquement vos clients. Vos obligations de protection s’appliquent avec la même rigueur aux renseignements personnels de vos employés. Or, ces données sont souvent les plus sensibles et les plus dispersées : numéros d’assurance sociale, informations bancaires, dossiers médicaux, évaluations de performance, etc. Réaliser un inventaire ou une cartographie de ces données n’est pas un simple exercice administratif ; c’est une obligation légale et la base de toute votre stratégie de conformité.

Vous ne pouvez pas protéger ce dont vous ignorez l’existence. L’objectif de l’inventaire est de répondre à trois questions pour chaque type de renseignement personnel que vous détenez : où est-il stocké ? Qui y a accès ? Et pourquoi le conservez-vous ? Cette démarche révèle souvent une prolifération de données dans des endroits inattendus : des feuilles de calcul sur des postes locaux, des archives papier dans un classeur non verrouillé, ou des applications cloud oubliées. Chaque emplacement est un point de risque potentiel.

Vue macro de systèmes de classement sécurisés avec serrures biométriques et organisation méthodique des dossiers

Le cas des données biométriques est particulièrement encadré. La loi stipule qu’une notification est obligatoire à la CAI avant tout déploiement biométrique, et ce, 60 jours avant sa mise en service. Utiliser une horodateur à empreinte digitale sans avoir réalisé une Évaluation des Facteurs relatifs à la Vie Privée (EFVP) et notifié la CAI est une violation directe de la loi.

Cartographie des données RH d’une PME de services à Montréal

Prenons une entreprise de 75 employés. L’inventaire a révélé que les données RH étaient éparpillées : le système de paie Desjardins contenait NAS et salaires ; l’assurance collective Croix Bleue détenait des informations médicales sensibles ; le logiciel RH BambooHR stockait les évaluations de performance ; un ancien horodateur Kronos avait encore des empreintes digitales en mémoire ; les dossiers CNESST étaient sur un serveur local ; et les CV et contrats de travail étaient sur SharePoint. La solution a été d’implémenter un registre centralisé documentant pour chaque système : le type de données, la base légale de la collecte, les mesures de sécurité, les accès autorisés et la durée de conservation. Cet outil est devenu le tableau de bord de la conformité RH.

Cet inventaire n’est pas un projet ponctuel. Il doit être un document vivant, mis à jour à chaque fois qu’un nouvel employé est embauché, qu’un nouveau logiciel est adopté ou qu’un processus RH est modifié. C’est le fondement de votre gouvernance des données.

Droit à l’oubli : comment s’assurer qu’un client supprimé l’est aussi dans vos backups ?

Le droit à la désindexation, ou « droit à l’oubli », est l’une des nouveautés les plus complexes de la Loi 25. Lorsqu’un client vous demande de supprimer ses renseignements personnels, vous devez vous exécuter. Cependant, cette obligation se heurte souvent à d’autres exigences légales, notamment les lois fiscales qui vous imposent de conserver les factures et les registres de transactions pendant six ans. Comment concilier ces deux impératifs ? Et comment gérer les copies de ces données qui persistent dans vos sauvegardes (backups) ?

La solution n’est pas toujours la suppression pure et simple, mais souvent l’anonymisation ou la pseudonymisation. L’anonymisation consiste à modifier les données de manière irréversible pour qu’elles ne puissent plus être liées à un individu. Une fois anonymisées, les données (par exemple, des statistiques de vente agrégées) ne sont plus considérées comme des renseignements personnels. La pseudonymisation, elle, remplace les identifiants directs (nom, courriel) par un pseudonyme (ex: « Client_12345 »), ce qui permet de continuer à traiter les données à des fins analytiques tout en réduisant les risques.

Le principal défi est d’appliquer ces techniques tout en respectant vos obligations de conservation. Une facture ne peut être supprimée, mais les informations personnelles non essentielles qu’elle contient pourraient être anonymisées une fois la transaction terminée et la période de conservation légale écoulée. C’est un arbitrage délicat.

Ce tableau illustre comment naviguer entre les obligations de suppression de la Loi 25 et les exigences de conservation de l’Agence du revenu du Canada (ARC) et de Revenu Québec, selon une analyse des différentes législations applicables.

Obligations de conservation : Loi 25 vs ARC/Revenu Québec
Type de données Loi 25 (droit suppression) ARC/Revenu Québec Solution recommandée
Factures clients Sur demande 6 ans obligatoires Anonymiser après demande
Données marketing Immédiat si demandé Non applicable Suppression complète
Dossiers employés Après fin pertinence 6 ans après départ Pseudonymisation partielle
Données bancaires Dès que possible 6 ans si transactions Chiffrement + anonymisation

Concernant les backups, une stratégie de rotation est essentielle. Les sauvegardes contenant des données supprimées doivent elles-mêmes être détruites après une période définie (ex: 90 jours). Chaque demande de suppression doit être documentée dans un registre, avec la preuve de son exécution, pour démontrer votre diligence raisonnable.

Pourquoi l’authentification à deux facteurs est non-négociable pour vos accès bancaires d’entreprise ?

La Loi 25 exige que vous preniez des « mesures de sécurité propres à assurer la protection des renseignements personnels », en tenant compte de leur sensibilité. S’il y a bien une donnée sensible, ce sont vos accès financiers et ceux de vos clients. Dans ce contexte, ne pas imposer l’authentification à deux facteurs (2FA ou MFA) sur tous les comptes critiques, à commencer par vos accès bancaires en ligne, n’est plus une simple imprudence, c’est une négligence. Une négligence qui pourrait vous coûter très cher.

Un mot de passe, même complexe, peut être volé, deviné ou hameçonné. Le 2FA ajoute une couche de sécurité essentielle en exigeant une deuxième preuve d’identité (un code depuis une application, une clé physique, une empreinte digitale) que seul l’utilisateur légitime possède. En cas de compromission du mot de passe, cette deuxième barrière empêche l’accès non autorisé à vos fonds ou à vos systèmes. Ne pas l’activer, c’est laisser la porte de votre coffre-fort ouverte avec la clé sur la serrure.

L’argument du « c’est trop compliqué pour mes employés » n’est plus recevable. Les solutions modernes sont conviviales et le risque qu’elles préviennent est immense. Le défaut de mettre en place des mesures de sécurité de base peut être directement sanctionné. La loi prévoit une amende potentielle jusqu’à 10 millions de dollars ou 2% du chiffre d’affaires mondial pour les entreprises qui ne protègent pas adéquatement les données. Face à un tel risque, le coût et l’effort de déploiement du 2FA sont dérisoires.

Votre plan d’action pour déployer le 2FA

  1. Audit des accès : Listez tous les logiciels et plateformes SaaS utilisés dans l’entreprise (comptabilité, CRM, RH, marketing, etc.) qui contiennent des données personnelles ou financières.
  2. Classification : Classez chaque accès par niveau de sensibilité : critique (accès bancaires, système de paie), élevé (CRM client), modéré (outil de gestion de projet).
  3. Déploiement prioritaire : Activez le 2FA obligatoire pour tous les accès critiques dans un délai de 7 jours. Aucune exception ne doit être tolérée.
  4. Choix de la méthode : Privilégiez les applications d’authentification (Google Authenticator, Authy, Microsoft Authenticator) aux codes par SMS, ces derniers étant plus vulnérables à l’interception.
  5. Politique interne : Mettez en place une politique de sécurité écrite qui rend le 2FA obligatoire pour tous les employés et intégrez-la dans les contrats de travail.

Cette mesure n’est pas seulement une recommandation, c’est l’une des preuves les plus tangibles de votre diligence en matière de cybersécurité. En cas d’incident, pouvoir démontrer que le 2FA était activé partout où c’était possible pèsera lourdement en votre faveur.

Lutte contre le blanchiment : l’erreur de vérification d’identité qui coûte le plus cher en amendes

Pour certaines entreprises, notamment dans les secteurs de l’immobilier, des services financiers ou juridiques, la conformité se joue sur deux fronts : la Loi 25 et la législation anti-blanchiment d’argent (gérée par le CANAFE). Ces deux cadres légaux peuvent sembler contradictoires. CANAFE vous oblige à collecter et conserver des documents d’identité très sensibles pendant plusieurs années, tandis que la Loi 25 vous enjoint à minimiser la collecte et à permettre le droit à l’oubli. L’erreur la plus coûteuse est de croire que la conformité à l’un vous exempte de l’autre.

L’erreur fondamentale est de collecter les informations pour CANAFE sans respecter les principes de la Loi 25 en amont. Avant même de demander une copie du permis de conduire ou une preuve d’adresse, vous devez obtenir un consentement éclairé de votre client. Vous devez l’informer précisément de pourquoi vous collectez ces données (pour répondre à une obligation légale de CANAFE), combien de temps vous allez les conserver (généralement 6 ans), et comment vous allez les sécuriser.

Utiliser une plateforme de vérification d’identité électronique (eIDV) est une pratique courante, mais vous devez vous assurer que ce fournisseur est lui-même conforme à la Loi 25. Où stocke-t-il les données ? Au Québec ? Au Canada ? Aux États-Unis ? Si les données traversent les frontières du Québec, vous avez l’obligation de réaliser une Évaluation des Facteurs relatifs à la Vie Privée (EFVP) pour vous assurer qu’elles bénéficieront d’une protection adéquate.

Courtier hypothécaire de Brossard : le parcours de données CANAFE vs Loi 25

Un courtier reçoit un nouveau client. Pour se conformer à CANAFE, il doit vérifier son identité. Conformité Loi 25 en amont : Avant la collecte, il fait signer au client un formulaire de consentement explicite détaillant les fins (CANAFE), la durée de conservation (6 ans) et le fait que les données seront stockées sur un serveur sécurisé. Collecte CANAFE : Il utilise ensuite une solution eIDV pour vérifier permis de conduire et preuve d’adresse. Conflit potentiel : Deux ans plus tard, le client demande la suppression de ses données. Solution : Le courtier informe le client par écrit que la suppression est légalement impossible en raison de l’obligation de conservation de CANAFE, mais il procède à l’archivage sécurisé des données et à la restriction maximale des accès. Il documente cette demande et sa réponse dans son registre, se protégeant ainsi à la fois contre une plainte à la CAI et une non-conformité à CANAFE.

La clé est la séquentialité : d’abord, obtenir le consentement et informer selon la Loi 25 ; ensuite, procéder à la collecte requise par CANAFE. Documenter chaque étape de ce processus est votre seule défense valable.

À retenir

  • La responsabilité est par défaut : En tant que dirigeant, vous êtes le RPRP jusqu’à preuve du contraire. La délégation de ce rôle doit être formelle, documentée et donner une réelle indépendance au délégué.
  • Le protocole d’incident est votre assurance : Ne pas avoir de plan de réponse à une fuite de données est une faute en soi. Votre capacité à évaluer le risque de préjudice sérieux et à notifier la CAI rapidement est essentielle.
  • Le consentement est un acte positif : Toute forme de consentement passif (case pré-cochée, inaction) est désormais illégale. Vos plateformes web et marketing doivent être revues pour un consentement actif et granulaire.

Comment répondre à une demande d’information de l’Autorité des Marchés Financiers sans paniquer ?

Recevoir une demande d’information officielle de l’Autorité des Marchés Financiers (AMF) ou de tout autre organisme réglementaire est une situation stressante. Votre instinct pourrait être de tout transmettre en vrac pour collaborer. Ce serait une erreur. Si la Loi 25 ne vous empêche pas de répondre à une demande légale d’un régulateur, elle vous impose de le faire de manière contrôlée et protectrice des renseignements personnels.

La règle d’or est la minimisation des données. Vous ne devez fournir que les renseignements strictement nécessaires pour répondre à la demande de l’AMF. Transmettre un dossier client complet alors que l’enquête ne porte que sur une transaction spécifique est une communication non autorisée de renseignements personnels non pertinents. Avant toute transmission, vous devez analyser la demande avec votre responsable de la protection des données et, si nécessaire, votre conseiller juridique pour délimiter précisément le périmètre des informations à divulguer.

Chaque communication de ce type doit être consignée dans votre registre des incidents de confidentialité ou un registre de divulgations spécifique. Vous devez y documenter la base légale qui vous autorise à transmettre les données, la date, les informations transmises et à qui elles ont été envoyées. Cette traçabilité est la preuve de votre diligence. Comme le rappelle la Commission d’accès à l’information du Québec, le cadre de la loi reste primordial.

La Loi 25 ne fait pas obstacle aux pouvoirs d’enquête des organismes de réglementation, mais impose un cadre strict de protection même dans ce contexte.

– Commission d’accès à l’information du Québec, Guide sur les obligations des entreprises

Espace de travail sécurisé avec documents organisés et systèmes de classification pour inspection réglementaire

Savoir collaborer avec les autorités tout en respectant la loi est un exercice d’équilibre. Pour y parvenir, il est essentiel de connaître la procédure à suivre pour répondre à une demande officielle sans commettre d'impair.

En résumé, ne paniquez pas. Traitez la demande avec le sérieux qu’elle mérite : analysez, délimitez, anonymisez ce qui peut l’être, transmettez de manière sécurisée et, surtout, documentez chaque étape. Votre professionnalisme dans ce processus est le reflet de la maturité de votre gouvernance des données.

Rédigé par Frédéric Bouchard, Avocat spécialisé en droit des affaires et conformité réglementaire au Québec et en Ontario. Membre du Barreau depuis 15 ans, il accompagne les PME dans la navigation des complexités législatives canadiennes, incluant la Loi 96 et la Loi 25.
Comment bâtir un historique de crédit entreprise en partant de zéro comme nouvel arrivant ?
Comment gérer les produits dangereux au Canada selon le SIMDUT 2015 sans risquer la fermeture ?
Nos derniers articles
Responsabilité des administrateurs : quand votre patrimoine personnel est-il menacé par les dettes d’entreprise ?
Inspection de l’ACIA : comment préparer votre usine alimentaire pour un score parfait ?
Médiation commerciale ou tribunal : quelle option choisir pour un litige de moins de 100k $ ?
Contrats commerciaux au Canada : pourquoi vos clauses standards sont des bombes à retardement financières
Audit de l’ARC : les 5 signaux d’alerte dans vos livres qui déclenchent une vérification
Articles similaires
Normes ESG : pourquoi votre PME devra bientôt rendre des comptes à ses banquiers ?
Licenciement sans cause : ce que la jurisprudence récente change pour les employeurs canadiens
Comment automatiser votre veille juridique sans y passer 3 heures par semaine ?
Comment répondre à une demande d’information de l’Autorité des Marchés Financiers sans paniquer ?