L'origine : le projet de loi 64
La Loi 25 trouve son origine dans le projet de loi 64, déposé à l'Assemblée nationale du Québec en juin 2020. Ce projet visait à moderniser le cadre législatif québécois en matière de protection des renseignements personnels, qui n'avait pas été significativement mis à jour depuis les années 1990.
Le projet de loi a été adopté le 22 septembre 2021 sous le titre officiel Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Il modifie principalement la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l'accès aux documents des organismes publics.
Pourquoi cette réforme?
Plusieurs facteurs ont motivé cette modernisation :
- L'explosion des données numériques et la multiplication des points de collecte
- Des incidents de sécurité majeurs touchant des entreprises et organismes québécois (Desjardins, Capital One, etc.)
- Le besoin d'harmoniser le cadre québécois avec les standards internationaux (RGPD en Europe, CCPA en Californie)
- Des sanctions insuffisantes dans l'ancien régime qui ne décourageaient pas les mauvaises pratiques
- Des droits limités pour les citoyens en matière de contrôle sur leurs données
Le calendrier en trois phases
Pour donner le temps aux entreprises de se préparer, la Loi 25 est entrée en vigueur progressivement en trois phases sur une période de trois ans.
Premières obligations majeures pour toutes les entreprises :
- Désignation du RPRP — nommer un responsable de la protection des renseignements personnels
- Notification des incidents — obligation de signaler les incidents de confidentialité à la CAI et aux personnes touchées
- Tenue d'un registre des incidents
- Communication sans consentement pour la recherche — nouvelles règles encadrant la communication de renseignements à des fins de recherche
L'essentiel des nouvelles obligations entre en vigueur :
- Politique de confidentialité — obligation de publier une politique de confidentialité claire et accessible
- EFVP obligatoires — évaluations des facteurs relatifs à la vie privée avant tout nouveau projet
- Nouvelles règles de consentement — consentement manifeste, libre, éclairé et spécifique
- Droit à la désindexation (droit à l'oubli limité)
- Encadrement du profilage et des décisions automatisées
- Sanctions administratives — la CAI peut imposer des amendes
- Droit privé d'action — les individus peuvent poursuivre en cas d'atteinte
Entrée en vigueur des dernières dispositions :
- Droit à la portabilité des données — les individus peuvent demander le transfert de leurs données dans un format structuré
- Droit à l'effacement complet — suppression des renseignements dont la collecte n'est plus nécessaire
- Toutes les dispositions de la loi sont désormais en vigueur
Où en sommes-nous aujourd'hui?
Depuis septembre 2024, l'ensemble des dispositions de la Loi 25 sont en vigueur. Toutes les entreprises du Québec doivent être pleinement conformes. La CAI est habilitée à mener des enquêtes et à imposer des sanctions pouvant atteindre 25 millions de dollars.
Si votre entreprise n'a pas encore complété sa mise en conformité, il est recommandé d'agir rapidement. Consultez notre guide de conformité pour un plan d'action étape par étape.