CanucktAI

Guide de conformité à la Loi 25 du Québec (projet de loi 64) — cours gratuit

Tous les cours·Guide de la Loi 25
0/8 terminés
Module 1 sur 825 min

Qu'est-ce que la Loi 25 ?

Qu'est-ce que la Loi 25 ?

La Loi 25 (anciennement projet de loi 64) est la refonte majeure de la loi québécoise sur la protection des renseignements personnels dans le secteur privé, dont le titre officiel est *Loi modernisant des dispositions législatives en matière de protection des renseignements personnels* (LMDLPRP).

La Loi 25 réécrit en profondeur la *Loi sur la protection des renseignements personnels dans le secteur privé* (LPRPSP) de 1994 — la loi fondatrice du Québec en matière de protection de la vie privée dans le secteur privé. Elle modifie également la *Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels*, qui régit le secteur public.

Source officielle : Commission d'accès à l'information — Loi 25

Pourquoi la Loi 25 a été adoptée

La loi québécoise de 1994 sur la protection de la vie privée a été rédigée avant l'usage généralisé d'Internet, des médias sociaux, de l'infonuagique et des courtiers en données. Au début des années 2020, elle était manifestement insuffisante pour l'économie moderne des données. Le gouvernement Legault a présenté le projet de loi 64 afin de :

  • Aligner le Québec sur des protections de niveau RGPD — pour que les données puissent circuler entre le Québec et l'UE sans restrictions
  • Encadrer les systèmes d'IA et la prise de décision automatisée concernant les individus
  • Exiger une transparence active et un consentement granulaire — et non des conditions d'utilisation enfouies
  • Instaurer une véritable responsabilité financière au moyen de lourdes sanctions
  • Établir une culture de « protection de la vie privée dès la conception » dans toutes les organisations

La Loi 25 est largement reconnue comme la loi sur la protection de la vie privée dans le secteur privé la plus stricte au Canada et l'une des plus complètes en Amérique du Nord.

Mise en œuvre en trois phases

La Loi 25 a été mise en œuvre en trois phases annuelles afin de laisser aux organisations le temps de s'adapter :

PhaseDatePrincipaux changements
Phase 122 septembre 2022Responsable de la protection des renseignements personnels obligatoire, registre des incidents de confidentialité, notification des incidents à la CAI, obligations de confidentialité
Phase 222 septembre 2023Évaluations des facteurs relatifs à la vie privée (ÉFVP), ententes de confidentialité avec les tiers, règles de transfert hors Québec, exigences relatives à la politique de confidentialité, transparence du suivi sur les sites Web
Phase 322 septembre 2024Droit à la portabilité des données, droit à la déindexation (droit à l'oubli), divulgation de la prise de décision automatisée, normes technologiques de consentement plus strictes

Qui doit se conformer ?

La Loi 25 s'applique à toute entreprise qui recueille, détient, utilise ou communique des renseignements personnels concernant une personne physique — quels que soient sa taille, son chiffre d'affaires ou son secteur — si cette entreprise :

  • Est établie au Québec, ou
  • Recueille des renseignements personnels concernant des personnes situées au Québec, même si l'entreprise n'a aucune présence physique dans la province

Cette portée extraterritoriale est déterminante : une jeune entreprise de Toronto comptant 1 000 clients québécois doit se conformer à la Loi 25. Une entreprise de commerce électronique américaine qui expédie au Québec doit se conformer à la Loi 25.

Il n'existe aucune exemption pour les petites entreprises. Toutefois, la CAI a reconnu que les attentes en matière de conformité sont proportionnelles à la taille, à la nature et à la sensibilité des activités de traitement des données.

Sanctions financières

La Loi 25 a introduit les sanctions les plus importantes en matière de protection de la vie privée au Canada :

TypeImposée parMaximum
Sanction administrative pécuniaireCAI (Commission d'accès à l'information)Le plus élevé de 2 % du chiffre d'affaires mondial ou 10 M$ CAD
Sanction pénaleTribunauxLe plus élevé de 4 % du chiffre d'affaires mondial ou 25 M$ CAD

Les sanctions pénales visent les manquements les plus graves — la non-divulgation délibérée d'incidents, l'entrave aux enquêtes de la CAI, la collecte de renseignements sans fondement légal pour une fin prohibée.

La Commission d'accès à l'information (CAI)

La CAI est l'autorité indépendante du Québec en matière de protection de la vie privée — équivalente dans sa fonction au CPVP au fédéral, mais dotée de pouvoirs d'application plus étendus et de la capacité d'imposer directement des sanctions administratives sans passer par les tribunaux.

Coordonnées et orientations : www.cai.gouv.qc.ca

La CAI publie :

  • Des orientations pratiques sur chaque obligation de la Loi 25
  • Des modèles de politiques de confidentialité et de formulaires de consentement
  • Des précédents décisionnels issus d'enquêtes antérieures
  • Des orientations sur l'évaluation de l'adéquation des transferts hors Québec

Quiz du module

1. En quelle année la phase 3 de la Loi 25 — droits à la portabilité et divulgation des décisions automatisées — est-elle entrée en vigueur ?

2. Quel organisme applique la Loi 25 au Québec ?

3. Une entreprise dont le siège social est en Ontario et qui compte 5 000 clients québécois doit se conformer à la Loi 25.

Tous les modules

Notre propre conformité

Nous gérons notre propre programme de conformité dans Valdra — le produit que nous vendons. Nos programmes SOC 2, ISO 27001 et ISO 42001 sont en cours; nous ne revendiquons aucune certification que nous ne détenons pas encore.

Badge de conformité Valdra — cliquez pour vérifier
  • LPRPDE
  • Loi 25 (Québec)
  • LCAP
  • Données hébergées au Canada 🇨🇦
  • Gouvernance de l’IA
Voir notre centre de confiance

Auto-déclaré, et non audité par un tiers. Cliquez sur le badge pour vérifier son authenticité et voir ce qu’il couvre.

Guide de la Loi 25 du Québec — cours gratuit sur la protection de la vie privée | Canuckt AI