C'est quoi le RGPD?
Le RGPD (Règlement général sur la protection des données) est le cadre européen sur la protection des données personnelles. Adopté en 2016, il s'applique depuis le 25 mai 2018 dans l'ensemble de l'Union européenne. Il encadre la façon dont les organisations collectent, utilisent, conservent et communiquent les données des personnes.
Sa particularité : une portée extraterritoriale. Le RGPD peut s'appliquer à une entreprise située hors de l'Europe lorsqu'elle offre des biens ou des services à des personnes dans l'Union européenne, ou qu'elle suit leur comportement. Une PME québécoise qui vend en ligne à des clients européens peut donc, dans certains cas, être concernée par le RGPD en plus de la Loi 25.
Formation Loi 25 pour votre équipe
Chaque employé reçoit un lien, complète sa formation, obtient son certificat.
C'est quoi la Loi 25?
La Loi 25 est le nom usuel de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ex-projet de loi 64), sanctionnée en 2021. Elle modernise notamment la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c. P-39.1). Elle est entrée en vigueur en trois phases (22 septembre 2022, 2023 et 2024) et est pleinement en vigueur depuis septembre 2024.
La Loi 25 encadre les renseignements personnels traités par les entreprises qui exercent leurs activités au Québec. C'est la Commission d'accès à l'information du Québec (CAI) qui en assure la surveillance. Pour comprendre l'ensemble du dispositif, consultez notre guide complet de la Loi 25.
Principales différences entre le RGPD et la Loi 25
Les deux régimes poursuivent le même but, mais diffèrent sur la portée, l'autorité de surveillance et certains mécanismes. Le tableau ci-dessous résume les points de comparaison les plus utiles pour une PME.
| Critère | RGPD (Europe) | Loi 25 (Québec) |
|---|---|---|
| Portée géographique | Union européenne, avec une portée extraterritoriale visant les organisations qui ciblent des personnes dans l'UE | Entreprises qui exercent des activités au Québec et traitent des renseignements personnels |
| Autorité de surveillance | Autorités de protection des données de chaque État membre (coordonnées au niveau européen) | Commission d'accès à l'information du Québec (CAI) |
| Consentement | Requis dans plusieurs cas, parmi d'autres bases légales de traitement; doit être libre, éclairé et spécifique | Consentement libre, éclairé, donné à des fins précises; renforcé pour les renseignements sensibles |
| Sanctions financières | Jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial (selon le palier d'infraction) | Administratives jusqu'à 10 M$ ou 2 %; pénales jusqu'à 25 M$ ou 4 % du CA mondial |
| Responsable désigné | Délégué à la protection des données (DPO), obligatoire dans certains cas | Responsable de la protection des renseignements personnels (RPRP), par défaut la personne ayant la plus haute autorité; fonction délégable |
| Droits des personnes | Accès, rectification, effacement, opposition, portabilité, limitation du traitement | Accès, rectification, retrait du consentement, et portabilité (communication dans un format technologique structuré) |
| Notification d'incident | Notification à l'autorité et, le cas échéant, aux personnes concernées en cas de violation de données | Avis à la CAI et aux personnes concernées lorsqu'un incident présente un risque de préjudice sérieux; tenue d'un registre des incidents |
Ce tableau présente des grandes lignes à titre informatif. Les seuils, les exceptions et les conditions exactes figurent dans les textes officiels. Pour le détail des montants côté Québec, consultez notre page dédiée aux sanctions et amendes de la Loi 25.
Quels sont les points communs?
Au-delà des différences, le RGPD et la Loi 25 reposent sur une philosophie semblable. Une organisation qui maîtrise l'un dispose déjà de bonnes fondations pour l'autre. Les principes partagés incluent :
- La transparence : informer clairement les personnes sur l'utilisation de leurs renseignements
- La limitation des finalités : ne collecter que ce qui est nécessaire, pour des fins déterminées
- Le consentement comme pierre angulaire dans de nombreuses situations
- Des droits reconnus aux personnes (accès, rectification, retrait)
- Des mesures de sécurité proportionnées pour protéger les renseignements
- Une obligation de réagir aux incidents de confidentialité
- Une responsabilisation de l'organisation, qui doit pouvoir démontrer sa conformité
Côté consentement, les exigences se rejoignent largement. Notre page sur le consentement selon la Loi 25 détaille les conditions d'un consentement valide, utiles dans les deux contextes.
Une entreprise peut-elle être soumise aux deux?
Oui. Une entreprise québécoise est soumise à la Loi 25 parce qu'elle exerce ses activités au Québec. Elle peut aussi être concernée par le RGPD si elle offre des biens ou des services à des personnes situées dans l'Union européenne, ou si elle suit leur comportement (par exemple via un site marchand ou des outils de suivi en ligne).
Dans ce cas, les deux régimes s'appliquent en parallèle : il faut respecter les obligations de la Loi 25 envers la CAI et, sur le volet européen, celles du RGPD. En pratique, une PME bâtit souvent un socle commun de gouvernance (registre, politiques, gestion des incidents, formation du personnel) et l'ajuste aux exigences propres à chaque cadre.
Comme chaque situation dépend de l'activité réelle de l'entreprise, l'analyse précise de l'applicabilité du RGPD se fait au cas par cas.
Ce que cela change pour la formation du personnel
La Loi 25 impose des mesures de gouvernance et de sécurité raisonnables et une sensibilisation du personnel qui collecte, utilise, communique, conserve ou détruit des renseignements personnels; la formation est un moyen reconnu d'y répondre. Le RGPD repose lui aussi sur des équipes qui comprennent les règles : un employé bien formé est la première ligne de protection des données.
La bonne nouvelle : comme les principes se recoupent, une formation solide sur les bonnes pratiques (transparence, consentement, sécurité, réflexes en cas d'incident) sert les deux cadres à la fois. Une PME concernée par le RGPD et la Loi 25 a donc tout intérêt à former l'ensemble de son personnel sur un tronc commun, puis à préciser les particularités selon les marchés desservis.
Loi25Simple propose des modules courts (environ 30 minutes) en français québécois, avec certificats nominatifs et tableau de bord de suivi, à partir de 5 $ par employé par mois (plan annuel). Pour en savoir plus, consultez notre page sur la formation des employés à la Loi 25.