La Loi 25, de A à Z.

Le guide maison, en profondeur, de la loi qui a redéfini la protection des renseignements personnels au Québec. Ce qu'elle exige, pourquoi, et comment vous y conformer sans casse-tête.

La Loi 25 en bref

À retenir

  • En vigueur depuis le 22 septembre 2024, au terme de trois phases d'application.
  • S'applique à toute organisation qui traite des renseignements personnels de personnes au Québec.
  • Impose le consentement clair, la transparence, un responsable de la protection et la gestion des incidents.
  • Sanctions jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial.

Qu'est-ce que la Loi 25 ?

La Loi 25 est le nom courant de la loi qui modernise en profondeur la protection des renseignements personnels au Québec. Adoptée en septembre 2021 (elle portait alors le nom de projet de loi 64), elle met à jour les règles applicables au secteur privé comme au secteur public.

Son objectif : redonner aux Québécois le contrôle de leurs renseignements personnels et forcer les organisations à en prendre soin par défaut, avec transparence et responsabilité.

Elle s'inspire des standards les plus exigeants au monde, dont le RGPD européen, et fait du Québec un chef de file en Amérique du Nord. C'est la Commission d'accès à l'information (CAI) qui surveille son application et peut imposer des sanctions.

Qui doit s'y conformer ?

La Loi 25 s'applique à toute entreprise qui recueille, détient, utilise ou communique des renseignements personnels au Québec. Peu importe sa taille, son secteur, ou qu'elle soit à but lucratif ou non.

Un renseignement personnel, c'est toute information qui concerne une personne physique et permet, directement ou indirectement, de l'identifier : un nom, un courriel, une adresse IP, un identifiant de témoin, un historique d'achat.

Ce qui déclenche la loi, c'est la présence de personnes au Québec, pas seulement l'emplacement de votre entreprise. Une boutique en ligne établie ailleurs mais qui sert des clients québécois est visée.

Le calendrier d'entrée en vigueur

La loi est entrée en application progressivement, sur trois ans. Depuis septembre 2024, tout est en vigueur.

Phase 1

22 septembre 2022

Les fondations

  • Nomination du responsable de la protection
  • Obligation de signaler les incidents de confidentialité
  • Tenue d'un registre des incidents
  • Encadrement des renseignements biométriques

Phase 2

22 septembre 2023

Le cœur de la loi

  • Nouvelles règles de consentement
  • Politiques de gouvernance et transparence
  • Évaluations des facteurs relatifs à la vie privée
  • Encadrement des décisions automatisées
  • Transferts hors Québec et confidentialité par défaut
  • Droit à la désindexation et entrée en vigueur des sanctions

Phase 3

22 septembre 2024

La portabilité

  • Droit à la portabilité des données
  • Communication des renseignements dans un format technologique structuré
  • Toutes les dispositions désormais en vigueur

Les grandes obligations des entreprises

Voici, une à une, les obligations concrètes que la loi impose aux organisations.

1. Nommer un responsable de la protection

Par défaut, c'est la personne ayant la plus haute autorité dans l'entreprise qui assume ce rôle. Son titre et ses coordonnées doivent être publiés. La fonction peut être déléguée par écrit, en tout ou en partie.

2. Se doter de politiques de gouvernance

Encadrer par des règles internes la conservation et la destruction des renseignements, les rôles et responsabilités du personnel, ainsi que le traitement des plaintes.

3. Publier une politique de confidentialité claire

Rédigée en termes simples et publiée sur votre site web : ce que vous recueillez, pourquoi, avec qui c'est partagé et comment exercer ses droits.

4. Obtenir un consentement valide

Le consentement doit être manifeste, libre et éclairé, et donné pour des fins précises. Il est distinct de toute autre information, explicite pour les renseignements sensibles, et parental pour les moins de 14 ans.

5. Informer au moment de la collecte

Dire à la personne les fins visées, les moyens utilisés, ses droits d'accès et de rectification, les tiers qui recevront ses renseignements et toute communication à l'extérieur du Québec.

6. Gérer les incidents de confidentialité

Tenir un registre des incidents et, dès qu'un incident présente un risque sérieux de préjudice, aviser la Commission d'accès à l'information ainsi que les personnes touchées.

7. Réaliser des évaluations des facteurs relatifs à la vie privée (EFVP)

Avant tout projet d'acquisition, de développement ou de refonte d'un système d'information impliquant des renseignements personnels, et avant de les communiquer hors Québec.

8. Appliquer la confidentialité par défaut

Tout produit ou service technologique offert au public doit offrir, par défaut, le plus haut niveau de confidentialité, sans que la personne ait à intervenir.

9. Encadrer les décisions automatisées

Lorsqu'une décision est fondée exclusivement sur un traitement automatisé, informer la personne, lui permettre de faire corriger les renseignements utilisés et de présenter ses observations à un être humain.

10. Encadrer les transferts hors Québec

Évaluer si le renseignement bénéficiera d'une protection adéquate à destination et conclure une entente écrite avant de le communiquer à l'extérieur du Québec.

11. Déclarer les renseignements biométriques

La création d'une banque de caractéristiques ou de mesures biométriques doit être déclarée à la Commission au moins 60 jours avant sa mise en service, avec le consentement des personnes concernées.

12. Détruire ou anonymiser les renseignements devenus inutiles

Une fois les fins accomplies, les renseignements doivent être détruits, ou anonymisés selon les meilleures pratiques si vous souhaitez les conserver à des fins sérieuses et légitimes.

Le consentement, au cœur de la loi

Sous la Loi 25, un consentement mou ne vaut rien. Pour être valide, il doit cocher chacune de ces cases.

  • Manifeste : la personne pose un geste clair et positif. Pas de case pré-cochée, pas de silence qui vaut accord.
  • Libre : on ne peut pas conditionner un service à un consentement qui n'est pas nécessaire à sa prestation.
  • Éclairé : la personne comprend à quoi elle consent, expliqué en langage simple.
  • Pour des fins précises : un consentement par finalité, jamais un consentement fourre-tout.
  • Distinct : demandé séparément de toute autre information communiquée à la personne.
  • Renforcé pour le sensible : santé, biométrie et autres renseignements sensibles exigent un consentement explicite.
  • Encadré pour les mineurs : le consentement d'un parent ou tuteur est requis pour les moins de 14 ans.
  • Révocable : la personne peut le retirer en tout temps, aussi simplement qu'elle l'a donné.

Témoins, bannières et suivi en ligne

C'est ici que la plupart des sites accrochent. Les témoins (cookies) et autres traceurs sont directement visés.

  • Les témoins strictement nécessaires au fonctionnement du site ne demandent pas de consentement.
  • Les témoins d'analyse, de publicité ou de profilage exigent un consentement préalable de la personne.
  • Aucun traceur non essentiel ne devrait se déposer avant que la personne ait fait son choix.
  • La confidentialité par défaut impose que les fonctions qui identifient, localisent ou profilent soient désactivées au départ.
  • Refuser doit être aussi facile qu'accepter, et la personne doit pouvoir changer d'avis en tout temps.

Les droits des personnes

En face des obligations des entreprises, la loi donne aux individus des droits concrets sur leurs renseignements.

Accès

Consulter les renseignements qu'une organisation détient sur soi, et savoir d'où ils viennent.

Rectification

Faire corriger un renseignement inexact, incomplet ou équivoque.

Retrait du consentement

Revenir sur son consentement en tout temps, aussi simplement qu'il a été donné.

Désindexation

Exiger qu'on cesse de diffuser un renseignement ou qu'on retire un lien qui y donne accès, lorsque la diffusion cause un préjudice.

Portabilité

Récupérer ses renseignements dans un format technologique structuré, ou les faire transférer ailleurs.

Révision humaine

Être informé d'une décision automatisée, faire corriger les données et présenter ses observations à une personne.

Des sanctions qui ont du mordant

La conformité n'est plus une option. La Loi 25 donne à la Commission d'accès à l'information de vrais pouvoirs de sanction.

10 M$

Sanctions administratives

Jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial, le montant le plus élevé s'appliquant.

25 M$

Sanctions pénales

Jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour les infractions les plus graves.

1 000 $

Dommages punitifs

Minimum qu'une personne peut réclamer en cas d'atteinte intentionnelle ou de faute lourde, en plus des dommages réels.

Les amendes peuvent être doublées en cas de récidive. La Commission peut aussi ordonner des mesures correctrices, et les personnes lésées peuvent poursuivre au civil. Au-delà des montants, c'est la confiance de vos clients qui est en jeu.

Comment se mettre en conformité

La conformité n'est pas un projet d'un jour, mais elle se découpe en étapes claires.

  1. 1Nommez votre responsable de la protection et publiez ses coordonnées.
  2. 2Cartographiez les renseignements que vous recueillez et pourquoi.
  3. 3Rédigez et publiez votre politique de confidentialité.
  4. 4Installez une bannière de consentement qui bloque vraiment les traceurs.
  5. 5Mettez en place un registre de consentement et un registre des incidents.
  6. 6Prévoyez un processus pour répondre aux demandes d'accès, de rectification et de retrait.
  7. 7Formez votre équipe et révisez vos pratiques régulièrement.

Comment Consorm vous aide

On ne peut pas nommer votre responsable à votre place, mais on couvre toute la partie web de la Loi 25, sans code.

Bannière qui bloque vraiment

Les traceurs non essentiels restent bloqués tant que le visiteur n'a pas consenti, exactement comme la loi l'exige.

Scanner de conformité

On analyse votre site et on repère les traceurs et les manquements avant que la Commission ne le fasse.

Registre de consentement

Chaque choix est horodaté et conservé, prêt à présenter en cas de vérification.

Hébergé au Québec

Vos données de consentement restent ici, sans transfert vers des serveurs étrangers.

Questions fréquentes

La Loi 25 s'applique-t-elle à ma petite entreprise ?

Oui. La loi vise toute entreprise qui recueille des renseignements personnels au Québec, peu importe sa taille ou son secteur. Les obligations sont proportionnées, mais elles existent dès le premier client.

Suis-je concerné si mon entreprise est à l'extérieur du Québec ?

Oui, si vous traitez des renseignements personnels de personnes qui se trouvent au Québec. C'est la localisation des personnes qui compte, pas seulement celle de l'entreprise.

La Loi 25, c'est comme le RGPD européen ?

Elles partagent la même philosophie et beaucoup de principes, mais ce sont deux régimes distincts. Être conforme au RGPD aide, sans garantir la conformité à la Loi 25, qui a ses propres règles et échéances.

Ai-je vraiment besoin d'une bannière de consentement ?

Dès que votre site dépose des témoins non essentiels (analyse, publicité, profilage), oui. Le consentement doit être obtenu avant le dépôt, et le refus doit être aussi facile que l'acceptation.

Qu'est-ce qu'un renseignement personnel sensible ?

Un renseignement qui, par sa nature ou son contexte, suscite un haut degré d'attente en matière de vie privée : santé, données biométriques, orientation, situation financière. Il exige un consentement explicite.

Depuis quand la loi est-elle pleinement en vigueur ?

Toutes les dispositions sont en vigueur depuis le 22 septembre 2024, au terme d'une entrée en application progressive amorcée en 2022.

Ce guide est fourni à titre informatif et vulgarisé. Il ne constitue pas un avis juridique. Pour votre situation précise, consultez la Commission d'accès à l'information ou un conseiller juridique.

Le choix de confiance des organisations d’ici.

Installez Consorm en cinq minutes et soyez vraiment conforme à la Loi 25. Sans casse-tête, fait au Québec.