La Loi 25 n'est pas qu'un problème québécois — toute entreprise canadienne qui touche aux données québécoises est concernée
La Loi 25 du Québec ne s'applique pas qu'aux entreprises québécoises. Toute organisation traitant les renseignements personnels de résidents québécois est visée — y compris celles établies en Colombie-Britannique, en Ontario et en Alberta.
Le malentendu qui coûtera cher aux entreprises canadiennes
Il existe une croyance répandue parmi les entreprises canadiennes hors Québec selon laquelle la Loi 25 — la loi québécoise modernisée sur la protection de la vie privée dans le secteur privé, officiellement la Loi 25 modifiant la Loi sur la protection des renseignements personnels dans le secteur privé — serait un problème québécois. Le raisonnement est le suivant : nous sommes établis à Toronto, ou à Vancouver, ou à Calgary, donc la loi québécoise sur la protection de la vie privée ne nous concerne pas.
Ce raisonnement est faux, et les conséquences d'y donner suite sont importantes. La Loi 25 s'applique à toute personne qui exploite une entreprise au Québec, et elle s'applique à toute organisation qui recueille, détient, utilise ou communique des renseignements personnels concernant des résidents québécois — peu importe le lieu de constitution ou le siège social de cette organisation.
Si votre boutique en ligne a des clients à Montréal, la Loi 25 s'applique à la façon dont vous traitez leurs renseignements personnels. Si votre plateforme SaaS compte des abonnés établis au Québec, vous êtes assujetti aux obligations de la Loi 25. Si votre cabinet de services professionnels a des clients au Québec, leurs données sont assujetties à la loi. Ce n'est pas une subtilité technique — c'est la portée explicite de la législation.
Ce que la Loi 25 a réellement changé
Le Québec disposait d'une législation sur la protection de la vie privée avant la Loi 25. L'ancienne Loi sur la protection des renseignements personnels dans le secteur privé était en vigueur depuis 1994. La Loi 25 constitue une modernisation importante — à certains égards, elle rapproche le Québec des normes du RGPD davantage que ne le fait la LPRPDE.
La loi est entrée en vigueur en trois phases. La première phase est entrée en vigueur en septembre 2022 : nouvelles règles de notification des incidents de confidentialité, évaluations des facteurs relatifs à la vie privée obligatoires pour les projets technologiques à risque élevé, nouvelles exigences pour la communication de renseignements personnels à l'extérieur du Québec.
La deuxième phase est entrée en vigueur en septembre 2023 : le droit à la portabilité des données (le droit de recevoir ses renseignements personnels dans un format structuré), le droit à l'oubli (le droit de demander le déréférencement de renseignements susceptibles de vous causer préjudice), des exigences de consentement élargies, et l'obligation de désigner une personne responsable de la protection des renseignements personnels dans chaque entreprise.
La troisième phase est entrée en vigueur en septembre 2024 : les mesures d'application. La Commission d'accès à l'information (CAI), l'autorité québécoise en matière de protection de la vie privée, a désormais le pouvoir d'imposer des sanctions administratives pécuniaires pouvant atteindre 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial pour les violations graves — selon le montant le plus élevé. Cette structure de sanctions est comparable à celle du RGPD et nettement plus élevée que les maximums actuels de la LPRPDE.
Les exigences qui prennent les entreprises hors Québec au dépourvu
L'exigence du responsable de la protection des renseignements personnels. Chaque entreprise assujettie à la Loi 25 doit désigner une personne responsable de la protection des renseignements personnels. Pour les petites organisations, il s'agit généralement du chef de la direction ou d'un employé cadre désigné. Cette information doit être publiée sur votre site Web ou rendue accessible par vos moyens de communication habituels. Si vous avez des clients québécois et que votre site Web ne désigne pas de personne-ressource en matière de protection de la vie privée, vous êtes déjà en situation de non-conformité.
La transparence de la politique de confidentialité. La Loi 25 exige que votre politique de confidentialité soit rédigée en termes simples et clairs et qu'elle soit facilement accessible aux personnes dont vous recueillez les renseignements. Elle doit expliquer comment les renseignements personnels sont recueillis, pourquoi ils sont utilisés et à qui ils sont communiqués. Elle doit décrire comment les personnes peuvent exercer leurs droits. Une politique passe-partout rédigée pour la conformité à la LPRPDE peut ne pas satisfaire aux exigences de précision de la Loi 25.
Les mécanismes de consentement. La Loi 25 exige que le consentement soit manifeste, libre et éclairé. Un consentement obtenu au moyen de cases précochées, de clauses enfouies ou d'un langage confus ne satisfait pas à cette norme. Si vous recueillez des renseignements personnels auprès de résidents québécois par l'entremise d'un formulaire quelconque — processus de paiement, inscriptions à une infolettre, formulaires de contact — votre mécanisme de consentement doit être révisé.
Les transferts transfrontaliers. Si vous faites appel à un fournisseur de services qui traite des renseignements personnels à l'extérieur du Québec — ce qui inclut la plupart des outils SaaS établis aux États-Unis — vous devez réaliser une évaluation des facteurs relatifs à la vie privée avant que cette communication n'ait lieu. Vous devez également prévoir une clause contractuelle garantissant que les renseignements bénéficient d'une protection équivalente. Cette exigence vise la vaste majorité des entreprises canadiennes qui utilisent des GRC, des plateformes de courriel ou du stockage infonuagique établis aux États-Unis.
Le droit à l'oubli. En vertu de la Loi 25, une personne peut demander à une organisation de cesser de diffuser ses renseignements personnels et de déréférencer tout hyperlien associé à son nom. Pour la plupart des PME, cela signifie concrètement disposer d'un processus permettant de retirer une personne de vos listes de marketing, de désactiver son compte et de supprimer toute information publique la concernant.
L'approche d'application de la CAI
La Commission d'accès à l'information a été plus active en 2025 et 2026 qu'elle ne l'était sous l'ancien régime. La CAI a le pouvoir de mener des audits, d'enquêter sur les plaintes et d'imposer des sanctions administratives — et elle a déclaré publiquement son intention d'appliquer la loi à l'égard d'organisations de toutes tailles, et non seulement des grandes entreprises.
Le processus de plainte de la CAI est accessible. Un résident québécois qui estime que ses droits à la vie privée ont été violés peut déposer une plainte directement par l'entremise du site Web de la CAI. La plainte déclenche une obligation de réponse de la part de votre organisation et, potentiellement, une enquête. L'enquête peut donner lieu à des ordonnances de modification des pratiques, à des ordonnances de destruction de renseignements détenus illégalement et à des sanctions pécuniaires.
Une tendance ressort des premières mesures d'application de la Loi 25 : la CAI accorde une attention particulière aux transferts transfrontaliers de données qui n'ont pas fait l'objet d'une évaluation adéquate, et aux organisations qui ont recueilli des renseignements personnels sans consentement véritable. Ce sont précisément les domaines où les organisations hors Québec sont les plus susceptibles d'avoir des lacunes.
Une liste de vérification pratique de préparation à la Loi 25 pour les entreprises hors Québec
Si vous avez des clients ou des utilisateurs québécois, passez ces points en revue avant de présumer que vous êtes couvert :
Votre site Web désigne-t-il clairement une personne responsable de la protection des renseignements personnels? Existe-t-il un moyen de joindre cette personne?
Votre politique de confidentialité explique-t-elle comment le consentement est obtenu, quelles données sont recueillies, où elles aboutissent et comment les personnes peuvent exercer leurs droits en vertu de la Loi 25 précisément?
Vos mécanismes de consentement respectent-ils la norme manifeste, libre et éclairée — pas de cases précochées, pas de consentements groupés, langage clair?
Avez-vous recensé chaque fournisseur de services qui reçoit des renseignements personnels de résidents québécois? Avez-vous réalisé une évaluation des facteurs relatifs à la vie privée pour les transferts à l'extérieur du Québec?
Disposez-vous d'un processus pour répondre aux demandes de droit à l'oubli provenant de résidents québécois?
Disposez-vous d'un processus de notification des incidents de confidentialité conforme aux exigences de la Loi 25, y compris la notification à la CAI et aux personnes touchées dans les délais prescrits?
Aucune de ces exigences n'est techniquement complexe. Toutes exigent un effort délibéré. Les organisations qui ont parcouru cette liste — même imparfaitement — sont dans une bien meilleure posture que celles qui ont présumé que la Loi 25 était le problème de quelqu'un d'autre.
La conformité IA et vie privée, simplifiée.
Valdra aide les entreprises canadiennes à gouverner l’IA et à respecter PIPEDA et la Loi 25 — hébergé au Canada.
Découvrir Valdra