Qu'est-ce que la Loi 25?
La Loi 25, adoptée en septembre 2021, modernise la Loi sur la protection des renseignements personnels dans le secteur privé au Québec. Elle introduit des changements majeurs qui renforcent considérablement les droits des Québécois en matière de vie privée.
Cette loi s'inspire largement du RGPD européen et va plus loin que la LPRPDE fédérale en imposant des obligations plus strictes aux entreprises.
Entrée en vigueur progressive — les 3 phases
La Loi 25 est entrée en vigueur en trois phases :
- 22 septembre 2022 — Premières dispositions : obligation de notification d'incidents, tenue d'un registre des incidents, mise en place de politiques de gouvernance, désignation du responsable.
- 22 septembre 2023 — Obligations de transparence renforcées : consentement explicite requis, droit à la portabilité, droit à la désindexation, règles sur la prise de décision automatisée.
- 22 septembre 2024 — Phase finale : EFVP obligatoires pour tout nouveau système d'information, sanctions administratives pécuniaires pleinement opérationnelles (jusqu'à 25 M$ ou 4 % du CA mondial), encadrement des technologies de surveillance en milieu de travail.
Qui est concerné par la Loi 25?
La Loi 25 s'applique à:
- Toutes les entreprises du secteur privé qui exercent des activités au Québec
- Les organismes publics québécois (avec des dispositions spécifiques)
- Même les petites entreprises et travailleurs autonomes
Contrairement à la LPRPDE qui s'applique surtout aux grandes entreprises de compétence fédérale, la Loi 25 touche pratiquement toutes les organisations québécoises.
Nouvelles obligations pour les entreprises
1. Désignation d'un responsable
Toute entreprise doit désigner une personne responsable de la protection des renseignements personnels et publier ses coordonnées sur son site web ou dans ses politiques.
2. Politiques et pratiques de gouvernance
Les entreprises doivent établir et mettre en œuvre des politiques écrites encadrant la gestion des renseignements personnels — collecte, utilisation, conservation, destruction et communication.
3. Évaluation des facteurs relatifs à la vie privée (EFVP)
Depuis septembre 2024, toute acquisition, développement ou refonte d'un système d'information impliquant des renseignements personnels doit faire l'objet d'une EFVP préalable. L'évaluation doit analyser les risques pour la vie privée et identifier les mesures d'atténuation. Elle doit être documentée et conservée.
4. Registre des incidents de confidentialité
Toutes les organisations doivent tenir un registre de tous les incidents de confidentialité, même mineurs — une simple erreur d'envoi de courriel doit y figurer.
5. Notification des incidents à risque sérieux
En cas d'incident présentant un risque de préjudice sérieux, l'entreprise doit notifier la Commission d'accès à l'information (CAI) et les personnes concernées dans les meilleurs délais. La CAI peut ordonner des mesures correctives ou imposer des sanctions.
Vos droits renforcés
La Loi 25 vous accorde de nouveaux droits importants:
Droit à la portabilité - Vous pouvez demander qu'on vous transmette vos renseignements personnels dans un format structuré, couramment utilisé et interopérable.
Droit au déréférencement - Vous pouvez demander qu'un hyperlien menant vers un renseignement vous concernant cesse d'être affiché à la suite d'une recherche effectuée à partir de votre nom.
Droit à la désindexation - Dans certains cas, vous pouvez demander que vos renseignements personnels soient retirés d'un moteur de recherche.
Consentement libre et éclairé - Le consentement doit être demandé de façon claire et simple, et vous devez pouvoir le retirer facilement.
Sanctions et amendes
La Loi 25 introduit des sanctions administratives pécuniaires (SAP) importantes:
- Jusqu'à 10 millions $ ou 2% du chiffre d'affaires mondial pour certaines infractions
- Jusqu'à 25 millions $ ou 4% du chiffre d'affaires mondial pour les infractions les plus graves
Ces amendes sont parmi les plus sévères en Amérique du Nord et visent à inciter fortement les entreprises à prendre leurs obligations au sérieux.
Transfert de données hors Québec
La Loi 25 impose des obligations strictes pour le transfert de renseignements personnels hors Québec:
- Obligation d'informer clairement la personne concernée
- Mesures de protection équivalentes doivent être mises en place
- Les contrats avec les fournisseurs doivent inclure des clauses de protection
La Commission d'accès à l'information (CAI)
La CAI est l'organisme québécois responsable de l'application de la Loi 25. Elle a des pouvoirs renforcés:
- Enquêter sur les plaintes et de sa propre initiative
- Imposer des sanctions administratives pécuniaires
- Ordonner des mesures correctives
- Effectuer des vérifications de conformité
Site web de la CAI: www.cai.gouv.qc.ca
Différences avec la LPRPDE
Principales différences entre la Loi 25 et la LPRPDE fédérale:
| Aspect | Loi 25 (Québec) | LPRPDE (Canada) |
|---|---|---|
| Amendes maximales | 25M$ ou 4% CA mondial | Aucune amende administrative |
| Responsable obligatoire | Oui, avec coordonnées publiques | Non obligatoire |
| EFVP | Obligatoire pour projets à risque | Non exigée |
| Portée | Toutes entreprises au Québec | Compétence fédérale principalement |
| Autorité | CAI (pouvoirs coercitifs) | Commissariat (ombudsman) |
Comment se conformer
Étapes essentielles pour se conformer à la Loi 25:
- Désigner un responsable de la protection des renseignements personnels
- Faire l'inventaire des renseignements personnels détenus
- Réviser et mettre à jour les politiques de confidentialité
- Mettre en place un registre des incidents
- Établir des procédures pour répondre aux demandes d'accès
- Évaluer les risques et réaliser des EFVP si nécessaire
- Former le personnel
- Réviser les contrats avec les fournisseurs et sous-traitants
🏢 Votre site web est-il conforme à la Loi 25?
Utilisez l'outil gratuit de ConformitéPME pour vérifier en quelques minutes si votre site web répond aux exigences de la Loi 25. Conçu spécialement pour les PME québécoises, cet outil analyse votre site et vous indique les points à améliorer.
Ressources et outils
Pour vous aider à comprendre et appliquer la Loi 25 :
- Consultez notre article sur la LPRPDE fédérale pour comparer avec le cadre provincial
- Découvrez notre article sur la Loi 19 (secteur public)
- Lisez notre article sur le RGPD européen dont s'inspire la Loi 25
- Formation gratuite de la CAI : formations.cai.gouv.qc.ca
- Guide officiel de la CAI pour les entreprises : cai.gouv.qc.ca