Guide de conformité à la Loi 25 du Québec (projet de loi 64) — cours gratuit
Qu'est-ce que la Loi 25 ?
Qu'est-ce que la Loi 25 ?
La Loi 25 (anciennement projet de loi 64) est la refonte majeure de la loi québécoise sur la protection des renseignements personnels dans le secteur privé, dont le titre officiel est *Loi modernisant des dispositions législatives en matière de protection des renseignements personnels* (LMDLPRP).
La Loi 25 réécrit en profondeur la *Loi sur la protection des renseignements personnels dans le secteur privé* (LPRPSP) de 1994 — la loi fondatrice du Québec en matière de protection de la vie privée dans le secteur privé. Elle modifie également la *Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels*, qui régit le secteur public.
Source officielle : Commission d'accès à l'information — Loi 25
Pourquoi la Loi 25 a été adoptée
La loi québécoise de 1994 sur la protection de la vie privée a été rédigée avant l'usage généralisé d'Internet, des médias sociaux, de l'infonuagique et des courtiers en données. Au début des années 2020, elle était manifestement insuffisante pour l'économie moderne des données. Le gouvernement Legault a présenté le projet de loi 64 afin de :
- Aligner le Québec sur des protections de niveau RGPD — pour que les données puissent circuler entre le Québec et l'UE sans restrictions
- Encadrer les systèmes d'IA et la prise de décision automatisée concernant les individus
- Exiger une transparence active et un consentement granulaire — et non des conditions d'utilisation enfouies
- Instaurer une véritable responsabilité financière au moyen de lourdes sanctions
- Établir une culture de « protection de la vie privée dès la conception » dans toutes les organisations
La Loi 25 est largement reconnue comme la loi sur la protection de la vie privée dans le secteur privé la plus stricte au Canada et l'une des plus complètes en Amérique du Nord.
Mise en œuvre en trois phases
La Loi 25 a été mise en œuvre en trois phases annuelles afin de laisser aux organisations le temps de s'adapter :
| Phase | Date | Principaux changements |
|---|---|---|
| Phase 1 | 22 septembre 2022 | Responsable de la protection des renseignements personnels obligatoire, registre des incidents de confidentialité, notification des incidents à la CAI, obligations de confidentialité |
| Phase 2 | 22 septembre 2023 | Évaluations des facteurs relatifs à la vie privée (ÉFVP), ententes de confidentialité avec les tiers, règles de transfert hors Québec, exigences relatives à la politique de confidentialité, transparence du suivi sur les sites Web |
| Phase 3 | 22 septembre 2024 | Droit à la portabilité des données, droit à la déindexation (droit à l'oubli), divulgation de la prise de décision automatisée, normes technologiques de consentement plus strictes |
Qui doit se conformer ?
La Loi 25 s'applique à toute entreprise qui recueille, détient, utilise ou communique des renseignements personnels concernant une personne physique — quels que soient sa taille, son chiffre d'affaires ou son secteur — si cette entreprise :
- Est établie au Québec, ou
- Recueille des renseignements personnels concernant des personnes situées au Québec, même si l'entreprise n'a aucune présence physique dans la province
Cette portée extraterritoriale est déterminante : une jeune entreprise de Toronto comptant 1 000 clients québécois doit se conformer à la Loi 25. Une entreprise de commerce électronique américaine qui expédie au Québec doit se conformer à la Loi 25.
Il n'existe aucune exemption pour les petites entreprises. Toutefois, la CAI a reconnu que les attentes en matière de conformité sont proportionnelles à la taille, à la nature et à la sensibilité des activités de traitement des données.
Sanctions financières
La Loi 25 a introduit les sanctions les plus importantes en matière de protection de la vie privée au Canada :
| Type | Imposée par | Maximum |
|---|---|---|
| Sanction administrative pécuniaire | CAI (Commission d'accès à l'information) | Le plus élevé de 2 % du chiffre d'affaires mondial ou 10 M$ CAD |
| Sanction pénale | Tribunaux | Le plus élevé de 4 % du chiffre d'affaires mondial ou 25 M$ CAD |
Les sanctions pénales visent les manquements les plus graves — la non-divulgation délibérée d'incidents, l'entrave aux enquêtes de la CAI, la collecte de renseignements sans fondement légal pour une fin prohibée.
La Commission d'accès à l'information (CAI)
La CAI est l'autorité indépendante du Québec en matière de protection de la vie privée — équivalente dans sa fonction au CPVP au fédéral, mais dotée de pouvoirs d'application plus étendus et de la capacité d'imposer directement des sanctions administratives sans passer par les tribunaux.
Coordonnées et orientations : www.cai.gouv.qc.ca
La CAI publie :
- Des orientations pratiques sur chaque obligation de la Loi 25
- Des modèles de politiques de confidentialité et de formulaires de consentement
- Des précédents décisionnels issus d'enquêtes antérieures
- Des orientations sur l'évaluation de l'adéquation des transferts hors Québec
Quiz du module
1. En quelle année la phase 3 de la Loi 25 — droits à la portabilité et divulgation des décisions automatisées — est-elle entrée en vigueur ?
2. Quel organisme applique la Loi 25 au Québec ?
3. Une entreprise dont le siège social est en Ontario et qui compte 5 000 clients québécois doit se conformer à la Loi 25.
Tous les modules
Rédigé et tenu à jour par Vivek Chakravarthy, fondateur de Canuckt.
Articles connexes
Approfondissez avec ces analyses du blogue Canuckt.
La Loi 25 n'est pas qu'un problème québécois — toute entreprise canadienne qui touche aux données québécoises est concernée
La Loi 25 du Québec ne s'applique pas qu'aux entreprises québécoises. Toute organisation traitant les renseignements personnels de résidents québécois est visée — y compris celles établies en Colombie-Britannique, en Ontario et en Alberta.
LireLoi 25 du Québec et outils d'IA : Ce que toute entreprise opérant au Québec doit savoir
La Loi 25 du Québec s'applique à toute entreprise qui collecte des données de résidents québécois — y compris l'utilisation d'outils d'IA. Voici ce que la conformité exige réellement en 2026 et où la plupart des entreprises échouent.
Lire