Qu'est-ce que la Loi 25?
La Loi 25, officiellement nommée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est une réforme majeure adoptée par l'Assemblée nationale du Québec en septembre 2021. Elle modifie en profondeur la Loi sur la protection des renseignements personnels dans le secteur privé ainsi que la Loi sur l'accès aux documents des organismes publics.
Son objectif : renforcer la protection des renseignements personnels des citoyens québécois à l'ère numérique, en imposant de nouvelles obligations aux entreprises et organismes qui collectent, utilisent ou conservent des données personnelles.
Issue du projet de loi 64, la Loi 25 est entrée en vigueur progressivement en trois phases, entre septembre 2022 et septembre 2024. Depuis septembre 2024, l'ensemble de ses dispositions sont en vigueur. Pour en savoir plus sur les différentes phases, consultez notre article sur l'historique et le calendrier d'application de la Loi 25.
Qui est visé par la Loi 25?
La Loi 25 s'applique à toute entreprise qui recueille, détient, utilise ou communique des renseignements personnels au Québec — peu importe sa taille, son secteur d'activité ou qu'elle soit à but lucratif ou non.
Les principales obligations de la Loi 25
La Loi 25 impose plusieurs obligations majeures aux entreprises. Voici un résumé des plus importantes :
Désigner un responsable de la protection des renseignements personnels (RPRP)
Chaque entreprise doit nommer une personne responsable de veiller à la conformité. Par défaut, c'est la personne ayant la plus haute autorité dans l'organisation.
En savoir plus sur le RPRP →Adopter une politique de confidentialité
Une politique claire et accessible doit décrire les pratiques de l'entreprise en matière de collecte, d'utilisation et de protection des renseignements personnels.
Comment rédiger votre politique →Obtenir un consentement valide
Le consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques. Les règles sont plus strictes pour les renseignements sensibles et les mineurs.
Comprendre le consentement →Réaliser des évaluations des facteurs relatifs à la vie privée (EFVP)
Avant tout nouveau projet impliquant des renseignements personnels, une évaluation des risques doit être réalisée.
Notifier les incidents de confidentialité
Tout incident impliquant des renseignements personnels doit être consigné dans un registre. Si le risque de préjudice est sérieux, la CAI et les personnes concernées doivent être notifiées.
Respecter les droits des personnes
Les individus ont le droit d'accéder à leurs renseignements, de les faire rectifier et, dans certains cas, de les faire supprimer (droit à l'effacement).
Former les employés
Les membres du personnel qui traitent des renseignements personnels doivent être sensibilisés et formés à leurs obligations.
Formation des employés →Pour une liste complète et détaillée, consultez notre guide sur les obligations des entreprises sous la Loi 25.
Les sanctions et amendes
La Loi 25 prévoit des sanctions parmi les plus sévères au Canada :
Administratives
10 M$
ou 2 % du CA mondial
Pénales
25 M$
ou 4 % du CA mondial
Droit privé
Recours
Dommages-intérêts
La Commission d'accès à l'information du Québec (CAI) est l'organisme responsable de la surveillance et de l'application de la loi. Pour plus de détails, consultez notre article sur les sanctions et amendes de la Loi 25.
Le calendrier d'application de la Loi 25
La Loi 25 est entrée en vigueur en trois phases pour laisser le temps aux entreprises de se préparer :
Désignation du RPRP, obligation de signaler les incidents, registre des incidents.
Politique de confidentialité, EFVP, nouvelles règles de consentement, sanctions administratives.
Droit à l'effacement, portabilité complète. Toutes les dispositions sont en vigueur.
Pour un aperçu complet de l'évolution de la loi, consultez notre page sur l'historique et le calendrier d'application de la Loi 25.
Comment se conformer à la Loi 25
La mise en conformité peut sembler imposante, mais elle peut être abordée étape par étape :
Pour un plan d'action détaillé, consultez notre guide de conformité Loi 25.
Où en êtes-vous avec la Loi 25?
Évaluez votre situation en 2 minutes et obtenez un plan d'action personnalisé.
Évaluer ma conformité gratuitement →La formation des employés : une obligation clé
La Loi 25 exige que les membres du personnel qui traitent des renseignements personnels soient adéquatement formés. Cette obligation concerne la grande majorité des employés dans une entreprise — du service à la clientèle aux ressources humaines, en passant par les équipes techniques et la direction.
Une formation efficace doit être :
Adaptée au rôle
Un comptable n'a pas les mêmes risques qu'un développeur.
Continue
Une seule formation par année ne suffit pas.
Documentée
Pour prouver votre conformité à la CAI.
C'est précisément ce que Loi25Simple offre : une formation personnalisée par rôle, avec certificats, formation continue et suivi complet. Découvrez comment notre solution peut vous aider dans notre article sur la formation des employés à la Loi 25.
Foire aux questions sur la Loi 25
Oui. La Loi 25 s'applique à toutes les entreprises du Québec, peu importe leur taille. Qu'il s'agisse d'un travailleur autonome, d'une PME ou d'une grande entreprise, dès qu'elle collecte des renseignements personnels, elle est assujettie à la loi.
La Loi 25 est la loi québécoise sur la protection des renseignements personnels, tandis que le RGPD est le règlement européen. Les deux visent des objectifs similaires, mais la Loi 25 s'applique spécifiquement aux organisations qui traitent des données au Québec. Certaines entreprises peuvent être assujetties aux deux.
Tout renseignement qui permet d'identifier directement ou indirectement une personne physique : nom, adresse, courriel, numéro de téléphone, données de localisation, informations financières, données biométriques, adresse IP, etc.
La CAI est l'organisme québécois responsable de la surveillance et de l'application de la Loi 25. Elle peut mener des enquêtes, imposer des sanctions administratives et publier des lignes directrices pour les entreprises.
La Loi 25 exige de former les « membres du personnel qui collectent, utilisent, communiquent, conservent ou détruisent des renseignements personnels ». En pratique, cela concerne la grande majorité des employés dans une entreprise.