La Loi 25, officiellement la Loi modernisant des dispositions legislatives en matiere de protection des renseignements personnels, a transforme le cadre de protection de la vie privee au Quebec. Adoptee en septembre 2021 et deployee en trois phases (septembre 2022, septembre 2023 et septembre 2024), elle a considérablement renforcé les obligations des entreprises qui collectent des renseignements personnels aupres de residents quebecois. Plus stricte que la loi federale PIPEDA sur de nombreux points, la Loi 25 aligne le Quebec sur les standards internationaux les plus eleves en matiere de protection des donnees. Ce guide presente les obligations essentielles que toute entreprise operant au Quebec doit connaitre.
Contexte et champ d’application
La Loi 25 modifie deux lois existantes : la Loi sur la protection des renseignements personnels dans le secteur prive et la Loi sur l’acces aux documents des organismes publics. Elle s’applique a toute entreprise qui recueille, detient, utilise ou communique des renseignements personnels de residents quebecois, qu’elle soit etablie au Quebec ou non.
Portee extraterritoriale. Une entreprise basee a Toronto, New York ou Paris qui offre des produits ou services a des consommateurs quebecois ou qui collecte leurs donnees est soumise a la Loi 25. Cette portee extraterritoriale rapproche la loi quebecoise du RGPD europeen.
Interaction avec PIPEDA. Pour les activites commerciales intra-provinciales au Quebec, la Loi 25 remplace PIPEDA (la loi federale canadienne). Cependant, PIPEDA continue de s’appliquer aux activites interprovinciales et internationales. Les entreprises qui operent a la fois au Quebec et dans d’autres provinces doivent se conformer aux deux cadres reglementaires. Pour comprendre les obligations federales, consultez notre guide complet PIPEDA.
Designation d’un responsable de la protection des renseignements personnels
Depuis septembre 2022, toute entreprise assujettie a la Loi 25 doit designer un responsable de la protection des renseignements personnels (RPRP). Par defaut, cette responsabilite incombe a la personne ayant la plus haute autorite dans l’organisation (PDG, president).
Delegation. La fonction peut etre deleguee par ecrit a un employe ou a un tiers. L’identite et les coordonnees du RPRP doivent etre publiees sur le site web de l’entreprise.
Role. Le RPRP supervise la conformite de l’entreprise, approuve les pratiques de protection des renseignements personnels, agit comme point de contact pour les plaintes et les demandes d’acces, et veille a ce que les obligations legales soient respectees. Ce role est comparable a celui du DPO (Data Protection Officer) sous le RGPD europeen.
Obligation de consentement renforce
La Loi 25 a renforce significativement les exigences de consentement par rapport au regime precedent.
Consentement manifeste, libre et eclaire. Le consentement doit etre donne pour des fins specifiques et demande de maniere distincte pour chaque fin. Les formulaires qui regroupent plusieurs fins dans une seule case a cocher ne sont plus conformes.
Consentement distinct pour chaque fin. Si vous collectez des renseignements pour traiter une commande ET pour envoyer des infolettres marketing, vous devez obtenir deux consentements distincts. Le consentement pour la transaction ne vaut pas consentement pour le marketing.
Consentement des mineurs. Pour les enfants de moins de 14 ans, le consentement doit etre donne par le titulaire de l’autorite parentale. Pour les 14-17 ans, le consentement du mineur suffit, mais il doit etre donne conformement aux exigences de clarte et de specificite.
Interdiction du consentement comme condition de service. Vous ne pouvez pas refuser un service ou imposer des conditions discriminatoires a une personne qui refuse de consentir a la collecte de renseignements non necessaires a la fourniture du service.
Politique de confidentialite et transparence
La Loi 25 impose des exigences precises en matiere de politique de confidentialite.
Contenu obligatoire. Votre politique doit inclure :
- Les coordonnees du responsable de la protection des renseignements personnels
- Les types de renseignements recueillis
- Les fins de la collecte
- Les moyens de collecte
- Les droits des personnes concernees et les modalites d’exercice
- Les informations sur le transfert de renseignements a l’exterieur du Quebec
- Les politiques et pratiques de conservation et de destruction
Accessibilite. La politique doit etre redigee en termes clairs et simples et publiee sur le site web de l’entreprise. La Commission d’acces a l’information du Quebec (CAI) a souligne que les politiques trop longues, redigees en jargon juridique, ne satisfont pas l’exigence de clarte.
Avis au moment de la collecte. Au-dela de la politique generale, vous devez fournir un avis specifique au moment de la collecte indiquant les fins visees, les moyens utilises, les droits de la personne et, le cas echeant, les transferts hors Quebec.
Evaluation des facteurs relatifs a la vie privee (EFVP)
Depuis septembre 2023, une evaluation des facteurs relatifs a la vie privee (EFVP) est obligatoire avant :
- Tout projet d’acquisition, de developpement ou de refonte d’un systeme d’information impliquant des renseignements personnels
- Toute communication de renseignements personnels a l’exterieur du Quebec
L’EFVP doit analyser les risques pour la vie privee et proposer des mesures de mitigation. Elle n’a pas a etre publiee, mais doit etre documentee et disponible pour la CAI sur demande.
Droits des personnes
La Loi 25 accorde aux individus plusieurs droits fondamentaux :
Droit d’acces. Toute personne peut demander l’acces aux renseignements personnels que vous detenez a son sujet. Vous devez repondre dans un delai de 30 jours.
Droit de rectification. Les personnes peuvent demander la correction de renseignements inexacts ou incomplets.
Droit a la desindexation (droit a l’oubli). Lorsque la diffusion de renseignements personnels contrevient a la loi ou a une ordonnance judiciaire, la personne peut exiger la cessation de la diffusion, la desindexation par un moteur de recherche, ou la suppression du lien donnant acces au renseignement.
Droit a la portabilite. Depuis septembre 2024, les personnes peuvent demander la communication de leurs renseignements personnels dans un format technologique structure et couramment utilise, ou leur transfert a une autre organisation.
Droit de retrait du consentement. Toute personne peut retirer son consentement a tout moment. Le retrait prend effet pour le futur, sans affecter la legalite du traitement anterieur.
Declaration obligatoire des incidents de confidentialite
La Loi 25 impose une declaration obligatoire des incidents de confidentialite (acces, utilisation ou communication non autorises de renseignements personnels, ou perte de renseignements personnels).
A la CAI. Vous devez declarer tout incident presentant un risque de prejudice serieux pour les personnes concernees a la Commission d’acces a l’information du Quebec.
Aux personnes touchees. La notification doit etre prompte et inclure une description de l’incident, les renseignements en cause, les mesures que la personne peut prendre pour se proteger, et les coordonnees d’un contact dans votre organisation.
Registre des incidents. Vous devez tenir un registre de tous les incidents de confidentialite, meme ceux qui ne presentent pas de risque de prejudice serieux. Ce registre doit etre conserve pendant au moins cinq ans.
Sanctions et application
La Loi 25 a introduit des sanctions administratives pecuniaires (SAP) et des sanctions penales significatives :
Sanctions administratives pecuniaires. La CAI peut imposer des SAP allant jusqu’a 10 millions de dollars ou 2 % du chiffre d’affaires mondial de l’exercice precedent, selon le montant le plus eleve. Ces sanctions sont imposees par la CAI directement, sans passer par les tribunaux.
Sanctions penales. Les infractions penales peuvent entrainer des amendes de 15 000 a 25 millions de dollars ou 4 % du chiffre d’affaires mondial. Ces montants alignent la Loi 25 sur l’echelle des sanctions du RGPD europeen.
Droit prive d’action. Les individus peuvent intenter des poursuites civiles pour dommages resultant d’une violation de la Loi 25. Le tribunal peut accorder des dommages-interets punitifs d’au moins 1 000 dollars lorsque l’atteinte est intentionnelle ou resulte d’une faute lourde.
Transferts de renseignements hors Quebec
La Loi 25 encadre strictement les transferts de renseignements personnels a l’exterieur du Quebec. Avant tout transfert, vous devez :
- Realiser une EFVP
- S’assurer que la juridiction de destination offre une protection adequatement equivalente
- Conclure une entente contractuelle encadrant le transfert
- Publier l’information sur le transfert dans votre politique de confidentialite
Cette approche est comparable au mecanisme des clauses contractuelles types (CCT) du RGPD. Pour une comparaison detaillee avec le cadre europeen, consultez notre article PIPEDA vs RGPD.
Quatre approches pour se conformer a la Loi 25
Engager un avocat specialise
Cout : 5 000 a 15 000 $ CA pour un programme de conformite complet. Delai : 4 a 8 semaines.
Pour les entreprises avec des flux de donnees complexes ou des transferts internationaux, un avocat quebecois specialise en protection de la vie privee reste l’option la plus complete.
Utiliser un outil d’IA generique
Cout apparent : 0 $. Cout reel : les lacunes specifiques a la Loi 25 qu’il ne couvrira pas.
Les outils d’IA generiques ne connaissent pas les exigences specifiques de la Loi 25 (RPRP, EFVP, portabilite, desindexation) et produisent des politiques qui satisfont peut-etre PIPEDA mais pas la loi quebecoise.
Copier un modele gratuit
Cout : 0 $. Risque : eleve.
Les modeles gratuits sont generalement rediges pour PIPEDA ou le RGPD, pas pour la Loi 25. Ils omettent les exigences specifiques quebecoises.
Utiliser un generateur specialise de documents legaux
Cout : 19,90 € à 49,90 €. Delai : moins de 10 minutes.
Un generateur specialise qui integre les exigences de la Loi 25 produit des politiques de confidentialite adaptees au cadre quebecois, incluant les mentions obligatoires du RPRP, les droits de portabilite et de desindexation.
Conclusion
Vérifiez votre conformité à la Loi 25 grâce à notre scanner de conformité gratuit qui couvre les réglementations canadiennes.
La Loi 25 a place le Quebec a l’avant-garde de la protection des renseignements personnels en Amerique du Nord. Avec des sanctions pouvant atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial, les consequences du non-respect sont potentiellement devastatrices. La designation d’un RPRP, la mise a jour de votre politique de confidentialite, la realisation d’EFVP et la mise en place de procedures de declaration d’incidents ne sont plus des options — ce sont des obligations legales. Chaque jour sans conformite est un jour d’exposition inutile au risque reglementaire.