Évaluation gratuite
Évaluation gratuite
Retour vers le haut

La Loi 25 est intervenue comme la réponse du gouvernement du Québec à l’ère technologique.

72% des Québécois sont préoccupés par la protection de leurs données personnelles, selon une étude de l’Office de la protection du consommateur.

Statistique indiquant que 72 % des québécois sont préoccupés par la protection de leurs données personnelles, selon l'Office de la protection du consommateur.

On n’a peut-être pas de 25e coupe Stanley… Mais au moins on a la Loi 25 🔥

Son objectif? Promouvoir la transparence, la confidentialité, et offrir aux individus un contrôle accru sur leurs données personnelles.

Les experts de notre agence Loi 25 vous montrent ici tout ce que vous devez savoir sur la Loi 25 au Québec!

Nous allons explorer cette loi essentielle, de sa création à ses dernières nouveautés en 2025, tout en vous guidant vers une conformité sereine. 

Prêt à naviguer dans les eaux (glaciales) de la protection des données au Québec avec nous?

Pssst… Pas de bug ici 😇 Le rapport complet vient d’atterrir dans votre boîte courriel. 

Qu’est-ce que la Loi 25?

La Loi 25 est une loi modernisant des dispositions législatives en matière de protection des informations personnelles des utilisateurs, adoptée au Québec en 2021.

Elle oblige les entreprises à être transparentes sur la manière dont elles collectent, utilisent et protègent ces données.

@kavenriel Connais-tu les détails de la loi 25 ? 📜🔍 Ne reste pas dans le flou, informe-toi maintenant pour être en conformité ! #Loi25 #Informations #Conformité #entreprise #entreprisequebec #agence #confidentialité ♬ son original – Kaven Riel

La Loi 25 au Québec exige un consentement clair de l’utilisateur avant toute utilisation de ses informations et impose aux entreprises de notifier rapidement les utilisateurs en cas de fuite de données.

Définition en termes simples de la Loi 25 au Québec

La Loi 25, c’est un peu comme le gardien vigilant de nos précieux secrets numériques. Elle est à nos données ce que le coffre-fort est à nos biens les plus précieux. 

Cette loi québécoise, également connue sous le nom de loi sur la gouvernance des renseignements personnels, encadre méticuleusement comment les entreprises collectent, utilisent et partagent nos renseignements personnels

Cette loi est là pour s’assurer que nos données ne se retrouvent pas entre de mauvaises mains ou utilisées à mauvais escient, garantissant ainsi la confiance des Québécois dans la gestion de leurs informations. 

Sacré boulot, n’est-ce pas? 

La Commission d’Accès à l’Information du Québec est désignée comme l’autorité veillant à la mise en œuvre de cette loi, assurant ainsi que les entreprises respectent des normes élevées en matière de protection des données.

Elle instaure un cadre juridique robuste, tout en renforçant la transparence, la confidentialité et la sécurité des renseignements personnels. 

Et pour ceux déjà en train de songer à jouer avec le feu, sachez qu’elle prévoit des sanctions et poursuites pénales pour toute entreprise qui contrevient à la loi ou à une ordonnance de celle-ci ⛔

Quel était le besoin urgent de cette nouvelle législation?

La Loi 25 a pour objectif de positionner le Québec à l’avant-garde de la protection des renseignements personnels, en réponse aux défis croissants posés par les nouvelles technologies en matière de sécurité des données personnelles.

 Nos informations circulent aujourd’hui à la vitesse de la lumière.

Imaginez vos renseignements personnels (votre adresse postale, votre courriel, votre numéro d’assurance maladie…) affichés sur un écran géant à Times Square! Pas très rassurant, n’est-ce pas?

C’est là que la Loi 25 intervient. 

Elle a été conçue pour répondre à ces préoccupations grandissantes liées à la protection des renseignements personnels dans notre ère technologique. 

Cette nouvelle loi impose aux organismes publics et aux entreprises privées de:

  1. Mettre en place des politiques de confidentialité claires 
  2. Mettre à jour leur inventaire des renseignements

Elles font place à la transparence, à la rigueur… et à un brin d’introspection organisationnelle. Que vous le vouliez ou non, ça vous concerne: vous, vos proches, vos clients. La Loi 25, c’est pour (presque) tout le monde.

Pourquoi votre entreprise devrait-elle prêter attention à la Loi 25?

La Loi 25 vous concerne encore plus. Non seulement parce que vos propres données perso sont en jeu, mais aussi parce que vous en collectez.

Ignorer ses exigences, c’est risquer des amendes salées… et la confiance de vos clients.

Quels sont les enjeux majeurs de la Loi 25 pour votre entreprise?

Les entreprises devraient accorder une attention particulière à la Loi 25 sur la protection des renseignements personnels.

Avec l’avancée de l’Intelligence artificielle et la numérisation croissante des données, les incidents de confidentialité impliquant des renseignements personnels sont devenus de plus en plus courants. Les PME doivent donc mettre en place des mesures de protection adéquates pour éviter les incidents de confidentialité et se conformer aux exigences de la loi.

Les renseignements personnels peuvent être ceux de vos clients, mais aussi de vos fournisseurs, des visiteurs de votre site web, vos prospects.

Définition de ce que sont les renseignements personnels: Nom, numéro de téléphone, adresse courriel, mot de passe, adresse IP.

Alors, que vous soyez travailleur autonome, entreprise, coopérative ou encore organisme à but non lucratif, si vous devez recueillir les renseignements personnels lorsque vous gérez votre activité, vous devez vous conformer à la Loi 25!


Perdu dans le labyrinthe de la loi 25?   

Qu’arrive-t-il si vous ignorez l’application de la loi?

La non-conformité à la Loi 25 peut entraîner des conséquences légales et financières significatives pour les entreprises. 

Les entreprises qui ne respectent pas cette loi peuvent être soumises à des amendes considérables, qui peuvent atteindre des millions de dollars.

De plus, un incident de confidentialité peut entraîner la perte de la confiance des clients et causer des dommages importants à la réputation de l’entreprise. 

En cas de non-conformité, la Loi 25 ne définit pas de gradation officielle (mineur, modéré, grave, très grave) pour la faute à laquelle s’exposent les utilisateurs. 

Elle distingue plutôt deux types de sanctions financières:

  • Administratives (par la CAI)
  • Pénales (par la Cour du Québec)

 …et applique des plafonds différents selon que l’auteur est une personne physique ou une organisation.

Voilà à quoi ça ressemble:

Type de sanctionPersonne physiqueEntreprise / organisme public
Sanction administrative (CAI)Jusqu’à 50 000 $Jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial (le plus élevé)
Sanction pénale (Cour du Québec)5 000 $ à 100 000 $15 000 $ à 25 000 000 $ ou 4 % du chiffre d’affaires mondial (le plus élevé)

*La CAI a précisé qu’elle adoptera d’abord une approche éducative, mais les sanctions seront bel et bien appliquées en cas de manquement grave ou répété.

Meme drôle de Carlos dans Bob l'Éponge pour illustrer les sommes encourues en cas de non respect de la loi 25.

La Commission d’Accès à l’Information du Québec (CAI) est chargée d’évaluer les facteurs liés à la protection des renseignements personnels, de traiter les plaintes et d’assurer le respect des droits d’accès des individus.

Elle évalue, entre autres, chaque manquement en fonction de critères comme:

  • Le caractère répétitif et la durée du manquement
  • La sensibilité des renseignements concernés par le manquement
  • Le nombre de personnes concernées par le manquement
  • Le risque de préjudice sérieux auquel ces personnes sont exposées (particulièrement si les renseignements sont de nature sensible)
  • Les mesures prises par la personne ou l’entreprise en défaut pour remédier au manquement ou en atténuer les conséquences

La proactivité est récompensée: Si une entreprise prend les devants pour se conformer à la Loi 25, les sanctions devraient être plus légères.

Comment décrypter les obligations de la Loi 25?

Pour comprendre les obligations qui découlent de la Loi 25, il est essentiel de se familiariser avec les dispositions législatives et les exigences fixées par cette loi 💡

Quand votre entreprise doit-elle commencer à se conformer?

L’entrée en vigueur de la Loi 25 est échelonnée sur plusieurs années. Certains articles sont déjà en vigueur depuis septembre 2022, tandis que d’autres dispositions seront applicables à partir de septembre 2024. 

Cette approche progressive permet aux organisations de se conformer progressivement à ces nouvelles exigences. 

Voici un aperçu simplifié des principales obligations relatives à la Loi 25 pour les entreprises:

Ligne du temps horizontale rouge illustrant le calendrier d’application de la Loi 25 Québec : 22 septembre 2021 adoption de la loi (icône poignée de main), 22 septembre 2022 premières mesures (icône horloge), 22 septembre 2023 mesures complémentaires et pénalités en vigueur (icône loupe et symbole dollar), 22 septembre 2024 dernière mesure (icône horloge). Logo Digitad en bas à gauche.

Depuis le 22 septembre 2022:

  • Désignation d’un responsable: chaque entreprise doit désigner une personne chargée de la protection des renseignements personnels. Ses coordonnées doivent être accessibles, idéalement sur le site web de l’entreprise
  • Gestion des incidents: en cas de fuite de données, l’entreprise doit prendre des mesures raisonnables pour minimiser les risques et informer la Commission ainsi que les personnes concernées. Un registre des incidents doit également être tenu

N’hésitez pas à télécharger notre exemple de registre des incidents de confidentialité des renseignements personnels si vous souhaitez vous en inspirer 😉

En réalité, même si les entreprises et les organisations affichent une volonté de respecter la nouvelle législation, nombreuses rencontrent des retards dans son application à cause de sa complexité.

Depuis le 22 septembre 2023:

Politique de gouvernance: Les entreprises doivent établir une politique claire sur la collecte des renseignements personnels et la rendre accessible sur leur site internet.

Ce document doit être rédigé en termes simples et comprendre:

  • Les coordonnées pour joindre une personne-ressource à l’interne
  • Le type de renseignements collectés sur le site et à quelles fins ils le sont
  • La durée de conservation de ces données et comment leur sécurité est assurée

Vous pouvez vous aider d’un outil comme ce générateur de politique de confidentialité, même si cela ne remplace pas l’autorité et la fiabilité d’un juriste ou spécialiste légal!

Évaluation des risques: avant de communiquer un renseignement personnel à l’extérieur du Québec, une évaluation des facteurs relatifs à la vie privée est nécessaire (elles encadrent aussi l’ utilisation de renseignements personnels concernant un mineur, qui requiert le consentement parental).

Consentement et transparence: de nouvelles règles sur le consentement à la collecte de données sont mises en place. 

  • Si vous utilisez Google Analytics ou un pixel Facebook, notre agence Analytics vous rappelle qu’il vous faut à tout prix aviser les utilisateurs de votre site web qu’ils consentent à donner leurs informations. Tant qu’ils n’ont pas fait leurs choix concernant ce consentement, vous ne devriez donc pas collecter ces données
  • Si un utilisateur fait une demande pour retirer son consentement, vous devez supprimer ses informations personnelles dans un délai de 30 jours

Destruction des renseignements: une fois la finalité de la collecte de données atteinte, les entreprises doivent détruire ou anonymiser ces données.

Le délai de conservation des renseignements personnels devra être défini au préalable par l’entreprise.

💡 L’anonymisation d’un renseignement personnel consiste à le modifier de façon à ce qu’il soit impossible d’en retracer l’origine. Même avec tous les efforts du monde, on ne peut plus savoir à qui il appartient. Cela garantit non seulement l’anonymat des données des utilisateurs… mais aussi celle de leur identité.

Depuis le 22 septembre 2024 (et c’est là qu’il faut être attentif!):

  • Portabilité des renseignements personnels: les citoyens peuvent demander la communication de leurs renseignements personnels, ainsi que la possibilité d’effectuer des corrections sur ces données

Les droits d’accès et de modification de leurs données personnelles sont un enjeu pour les propriétaires de sites web car la communication de renseignements personnels devra se faire de manière sécurisée. Il faudra aussi que les sites web aient accès aux renseignements personnels.

Consultez ici notre checklist de conformité à la Loi 25 pour voir si vous êtes conformes ⬇️

Checklist complète de conformité à la loi 25 en 2025.

Quels sont les changements clés à connaître?

Pour récapituler, la Loi 25 introduit plusieurs changements clés qui auront un impact considérable sur les entreprises de toutes tailles:

  • La Loi 25 élargit le champ d’application de la protection des renseignements personnels en incluant les organismes publics et les entreprises privées. Cela signifie que toutes les organisations devront respecter les dispositions législatives de la loi concernant la collecte, l’utilisation, la communication et la destruction de renseignements personnels
  • La loi exige des entreprises qu’elles tiennent un inventaire des renseignements personnels qu’elles détiennent en évaluant les facteurs relatifs à la confidentialité
  • Les organisations doivent également mettre à jour leur politique de confidentialité et s’assurer que leur gouvernance des renseignements est solide
  • En cas d’incident de confidentialité impliquant une perte, un accès non autorisé ou une divulgation des renseignements personnels, les entreprises devront rapidement signaler cet incident à la Commission d’accès à l’information du Québec. Elles devront également mettre en place des mesures pour prévenir de tels incidents à l’avenir

Voici un petit résumé pour les lecteurs un peu plus visuels:

Les changement clés à connaître concernant la loi 25.

Des obligations bien concrètes, mais comment se comparent-elles à celles du RGPD?

Quelle est la différence entre la Loi 25 et le RGPD?

La Loi 25 au Québec et le Règlement Général sur la Protection des Données (RGPD) en Europe ont le même objectif, à savoir la protection des renseignements personnels, mais il existe quelques différences entre les deux. 

Passons tout ça sous la loupe 👀 : 

AspectLoi 25 RGPD 
Lieu d’applicationS’applique uniquement au QuébecS’applique à tous les pays membres de l’Union européenne et à toute organisation qui traite les données des résidents de l’UE, peu importe son emplacement
SanctionsPrévoit des sanctions financières pour non-conformitéAmendes pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial, en cas de violation
Obligations des entreprisesIntroduction de nouvelles obligations, comme la désignation d’un responsable de la protection des renseignements personnelsObligations très strictes incluant la nécessité de mesures de protection adaptées et la tenue de registres détaillés des activités de traitement des données
Consentement et droits des individusRend les règles de consentement plus strictes et augmente les droits des individus (accès, correction, suppression des données)Insiste sur un consentement clair et bien informé pour l’utilisation des données; droits étendus, incluant le droit d’être oublié, de limiter l’utilisation des données, et de s’opposer à leur utilisation

L’un est plus strict, l’autre plus récent… mais dans les deux cas, comment se mettre en règle?

Comment être conforme à la Loi 25 sur la protection des renseignements personnels?

La Loi 25 s’inscrit dans les obligations législatives en matière de protection des renseignements personnels au Québec. Grosso modo, vous y conformer demande de cartographier vos données, revoir vos pratiques internes et documenter vos processus.

Et pour ça, il vous faut un bon pilote. La réussite du projet en dépend. Alors, comment bien le choisir?

Qui devrait être en charge de la conformité au sein de votre entreprise?

Selon la Loi 25 sur la protection des renseignements personnels, chaque entreprise est tenue de désigner une personne responsable de la protection des renseignements personnels. 

Cette personne devrait être en charge de veiller à la conformité de l’entreprise en prenant les mesures nécessaires pour se mettre à jour avec les dispositions législatives et réglementaires en matière de protection des renseignements personnels.

Memes sur la nomination d'une personne responsable de la protection des renseignements personnels en entreprise pour être conforme à la loi 25.

Il est important que cette personne ait une connaissance approfondie de la loi et des pratiques recommandées en matière de protection des renseignements personnels. Elle devrait être en mesure d’élaborer et de mettre en œuvre des politiques et des procédures appropriées pour garantir la confidentialité des renseignements personnels collectés et traités par l’entreprise.

De plus, la Loi 25 prévoit que le titre et les coordonnées de la personne responsable de la protection des renseignements personnels doivent être publiés sur le site web de l’entreprise

Cela permet aux individus de communiquer directement avec la personne responsable en cas de questions ou de préoccupations concernant leurs renseignements personnels.

Selon la Loi 25, le consentement valide de la collecte de renseignements personnels doit être obtenu de manière claire, libre, éclairée et spécifique

S’assurer que le consentement est correctement obtenu

Les organisations sont tenues d’informer les individus des fins précises pour lesquelles leurs renseignements personnels sont collectés, utilisés ou communiqués. 

Comment faire? À travers une politique de confidentialité clairement accessible, qui explique:

  • Les fins de la collecte de données
  • L’utilisation prévue des renseignements 
  • Les mesures de sécurité mises en place pour protéger ces renseignements 

Pour cela la première étape est tout simplement de lister tous les renseignements personnels que vous pouvez collecter!

⚠️ Attention, il y a certaines exceptions où le consentement explicite n’est pas nécessaire:

  1. Lorsque les renseignements personnels sont nécessaires à l’exécution d’un contrat (livraison d’un produit ou d’une prestation par exemple)
  2. Lorsque les renseignements personnels sont utilisés à des fins de recherche, d’étude ou de statistique et qu’ils sont rendus anonymes
  3. Lorsqu’il est nécessaire de communiquer des renseignements personnels sans le consentement de la personne à un avocat ou à son équipe (pour assurer la défense des droits d’une personne)

Bref, une fois la personne désignée et les bases en place, reste à anticiper les risques.

C’est là que l’évaluation des facteurs relatifs à la vie privée entre en jeu.

Qu’est-ce qu’une évaluation des facteurs relatifs à la vie privée et pourquoi est-elle cruciale?

Une évaluation des facteurs relatifs à la vie privée (EFVP) est cruciale dans le cadre de la Loi 25 au Québec, en particulier pour les petites et moyennes entreprises (PME). 

Cette évaluation consiste à identifier, évaluer et gérer les risques potentiels pour la vie privée associés à un projet ou à une initiative. Elle vise à s’assurer que les renseignements personnels sont protégés conformément aux lois et réglementations en vigueur.

L’EFVP est cruciale, car elle permet:

  • De démontrer que votre organisation se préoccupe des enjeux de la vie privée
  • D’assurer la mise en œuvre des stratégies et des moyens pour protéger les renseignements personnels
  • D’informer les hautes autorités de votre organisation des résultats de l’EFVP, afin qu’elles puissent accepter les conclusions de votre analyse et cautionner les risques qui subsistent, malgré les moyens déployés pour les atténuer

Réaliser une EFVP comprend 6 étapes, que vous pouvez retrouver en détail dans le guide d’accompagnement mis à jour en 2024 de la Commission d’accès à l’information du Québec.

Voici les lignes directrices:

Les étapes d'une évaluation des Facteurs Relatifs à la vie privée au Québec en 2025.

Allons les voir de plus près… 👀

ÉtapesDescription
Étape 1: Déterminer si une évaluation est requiseExaminer la nécessité de l’EFVP en fonction de la nature du projet et des obligations légales
Étape 2: Définir votre projet et l’objet de l’évaluationClarifier les objectifs et le champ d’application du projet pour cibler l’évaluation
Étape 3: Préparer l’évaluationFaire l’inventaire des renseignements personnels concernés, tracer leur parcours et déterminer l’ampleur de l’EFVP nécessaire
Étape 4: Évaluer les facteurs relatifs à la vie privée et adopter les stratégies appropriéesÉvaluez si vous respectez les obligations de protection des renseignements personnels, repérez et décrivez les risques pour la vie privée engendrés par votre projet, évaluez l’impact de ces risques
Étape 5: Rédiger un rapportCe rapport doit détailler le processus d’EFVP, les risques identifiés, les mesures prises pour les atténuer et les recommandations pour la suite
Étape 6: Maintenir l’évaluation à jourRéviser et mettre à jour l’EFVP en fonction de l’évolution du projet ou de l’environnement réglementaire

Dans certains cas, cette évaluation est obligatoire pour les organismes publics et les entreprises privées qui effectuent des traitements automatisés de renseignements personnels.

Cependant, même lorsque l’évaluation n’est pas obligatoire, il est fortement recommandé pour toutes les entreprises de réaliser cette évaluation afin de garantir une protection adéquate des données personnelles.

Comment vous conformer à la Loi 25 de façon optimale?

Se conformer, c’est bien. Le faire efficacement, sans y laisser trop d’énergie (ni d’argent), c’est encore mieux. 

Pssst… Pas de bug ici 😇 Le rapport complet vient d’atterrir dans votre boîte courriel. 

Alors comment rédiger une politique de confidentialité conforme à la Loi 25 (sans y passer la journée)?

Ça passe par trois piliers: outiller la bonne personne, former les bonnes équipes… et documenter chaque étape.

Comment former votre équipe pour une meilleure conformité?

Pour assurer la conformité à la Loi 25 et aux nouvelles obligations légales concernant la protection des renseignements personnels, il est essentiel de former adéquatement votre équipe (notre guide des meilleures formations Loi 25 au Québec peut être pratique pour ça 😉).

Voici les étapes à suivre pour équiper vos équipes d’une bonne formation Loi 25:

  • Élaborez une présentation détaillée mais simple qui met en évidence les changements liés à la protection des renseignements personnels dans votre entreprise 
  • Identifiez les rôles et les responsabilités de chaque membre du personnel tout au long du cycle de vie des renseignements personnels
  • Sensibilisez votre équipe à l’importance de ces changements, aux principes clés de la Loi 25 et aux conséquences d’un non-respect
  • Détaillez à l’équipe les politiques et pratiques de l’entreprise en matière de protection des renseignements personnels et assurez-vous qu’elles soient comprises, appliquées et suivies
  • Identifiez les éventuelles lacunes dans les comportements des employés et ajustez votre communication interne en conséquence
  • Tenez l’équipe informée des évolutions: Gardez votre équipe au courant des changements de la loi et des meilleures pratiques

En investissant dans une formation approfondie et continue, vous établirez une culture solide de protection des renseignements personnels au sein de votre organisation. 

Si vous avez besoin d’aide pour mettre en place cette formation et pour vous conformer aux exigences légales, contactez-nous pour vous accompagner dans cette démarche!

Petit guide: les astuces et outils technologiques qui peuvent vous aider

Les entreprises peuvent utiliser plusieurs outils technologiques pour se conformer aux exigences de la Loi 25 à l’égard des renseignements personnels. 

Plongeons en voir quelques exemples: 

1. Le Système de Gestion des Renseignements Personnels (SGRP)

Opter pour un SGRP vous permet d’assurer une gestion efficace des renseignements personnels de leur création à leur suppression. 

Voici quelques références:

  • OneTrust: Une plateforme de gestion de la confidentialité qui offre des solutions pour la cartographie des données, le chiffrement, le contrôle d’accès et la journalisation
  • TrustArc: Une autre plateforme populaire qui aide les entreprises à gérer, partager et protéger les données personnelles

2. Un Système de gestion des consentements

Sert à recueillir, gérer et documenter les consentements des individus quant à l’utilisation de leurs renseignements personnels. Ce type d’outil facilite également la révocation du consentement et assure une transparence accrue dans la gestion des données:

👉 Consent Manager est une solution en ce sens.

3. Des portails sécurisés

Qui permettent aux individus d’accéder à leurs données, demander des corrections ou exercer leur droit à l’oubli (par exemple avec Salesforce Customer 360).

⚠️ Si vous souhaitez en savoir plus sur les outils de la Loi 25, nous avons un article dédié!

Que se passe-t-il concernant la gestion des cookies sur votre site web ?

Meme illustrant de façon humoristique les cookies à manger versus les cookies marketing, montrant à gauche un cookie aux pépites de chocolat partiellement croqué avec des miettes et à droite un doigt pointant la barre d’adresse d’un navigateur.

Nous vous suggérons de:

  1. Évaluer tous les cookies tiers et leurs alternatives (que vous collectez) et les catégoriser (essentiels, performance, personnalisation, publicitaire)
  2. Installer une bannière de cookies permettant d’aviser un utilisateur que des cookies sont collectés. Il/Elle pourra ainsi accepter les cookies de la catégorie souhaitée, et aucune donnée ne devra être collectée avant cela
  3. Consigner et dater le consentement des utilisateurs dans un registre numérique, et établissez une durée de conservation maximale de tout renseignement personnel

En d’autres termes, réfléchissez à votre politique de droit à l’oubli. 

Vous devez permettre aux utilisateurs de demander la suppression de leurs renseignements personnels (en mettant en place un formulaire sur votre site web, par exemple).

Un dernier conseil pour la route?

Gardez un œil attentif sur qui détient quelles informations, en interne comme à l’externe! Pour cela, révisez de façon régulière les accès octroyés à chacun et assurez-vous qu’ils soient bien légitimes

Veillez à retirer tout accès aux anciens employés ou prestataires.

Utiliser un gestionnaire de mot de passe comme LastPass peut vous aider en ce sens!

Résumé de tout ce que vous devez savoir sur l’entrée en vigueur de la Loi 25

La conformité à la Loi 25 au Québec sur la protection des renseignements personnels nécessite une approche globale, combinant à la fois des outils technologiques adaptés, des formations continues et une vigilance constante.

Adopter une telle démarche permet non seulement de respecter la réglementation, mais aussi de renforcer la confiance de vos clients et partenaires.

5 règles pour se conformer à la Loi 25 au Québec : comprendre les enjeux juridiques, anticiper les coûts, adopter les bons outils, former ses équipes, obtenir un consentement éclairé pour les données.

Si vous vous sentez encore perdus dans tout cela, notre agence spécialisée en Loi 25 vous accompagne avec plaisir!

Vous pouvez aussi faire appel aux services de notre agence Axeptio si vous souhaitez mettre en place un bandeau de cookies sur le site internet de votre entreprise.


Perdu dans le labyrinthe de la loi 25?   

FAQ sur la Loi 25

La Loi 25, également connue sous le nom de Loi sur la gouvernance des renseignements personnels, vise à protéger les données personnelles des individus au Québec. Elle établit un cadre juridique pour la collecte, l’utilisation et la communication de ces renseignements par les entreprises et les organismes publics. Cette loi a été créée en réponse aux préoccupations croissantes liées à la protection des données personnelles dans l’ère technologique.

La non-conformité à la Loi 25 peut entraîner des amendes significatives pour les PME, pouvant atteindre des millions de dollars. Les sanctions varient en fonction de la gravité de l’infraction. Les entreprises risquent également de perdre la confiance de leurs clients et de subir des dommages à leur réputation.

Dès maintenant, si ce n’est pas déjà fait. La Loi 25 est entrée en vigueur par étapes entre septembre 2022 et septembre 2024. Depuis le 22 septembre 2024, l’ensemble des dispositions de la Loi 25 s’applique.

La Loi 25 élargit le champ d’application de la protection des renseignements personnels dans le secteur public et privé. Elle exige la tenue d’un inventaire des données personnelles, une gouvernance renforcée, la notification rapide d’incidents de confidentialité et la mise en place de nouvelles règles de consentement et de portabilité des données.

Une évaluation des facteurs relatifs à la vie privée (EFVP) est cruciale pour évaluer et gérer les risques pour la vie privée associés à un projet ou à une initiative. Elle permet de démontrer l’engagement envers la protection des renseignements personnels, d’assurer la mise en œuvre de mesures de protection et d’informer les parties prenantes.

La Loi 25 impacte la collecte de données sur les sites web en exigeant que les entreprises obtiennent un consentement explicite et éclairé des utilisateurs. Les entreprises doivent informer clairement les utilisateurs des types de données collectées, des finalités de la collecte et des mesures de sécurité mises en place.

Oui, la Loi 25 s’applique à la collecte et à l’utilisation des renseignements personnels dans le secteur privé.

La Commission d’Accès à l’Information du Québec (CAI) est un organisme gouvernemental indépendant qui joue un rôle crucial dans la protection de la vie privée et la transparence de l’administration publique au Québec. Elle a deux missions principales:

  • Protection des renseignements personnels: La CAI veille à ce que les organisations, tant publiques que privées, respectent les lois en matière de protection des renseignements personnels. Elle examine les plaintes relatives à l’accès ou l’utilisation inappropriée de leurs informations personnelles, et elle peut mener des enquêtes, émettre des recommandations ou des ordonnances pour garantir la conformité aux normes établies
  • Accès à l’information publique: La CAI assure que les citoyens ont le droit d’accéder aux documents détenus par les organismes publics, conformément à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Elle évalue les demandes d’accès, aide à résoudre les différends entre les citoyens et les organismes publics, et peut rendre des décisions pour garantir que le droit à l’information soit respecté

Non, la Loi 25 n’est pas appliquée partout au Canada. La Loi 25 est une législation spécifique à la province de Québec.

Chaque province et territoire au Canada a ses propres lois en matière de protection des renseignements personnels.

Par exemple, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s’applique à l’échelle fédérale et dans les provinces du Canada qui n’ont pas de lois équivalentes. En revanche, la Loi 25 s’applique uniquement au Québec et n’a pas d’effet dans les autres provinces canadiennes.

La Loi 25, entrée en vigueur progressivement jusqu’en 2024, introduit plusieurs nouveautés importantes en matière de protection des renseignements personnels au Québec. Parmi ces nouveautés, on trouve la portabilité des renseignements personnels.

Cela signifie que les individus ont désormais le droit de demander que leurs informations personnelles soient transférées d’une organisation à une autre, dans un format technologique lisible et structuré. Ce droit permet aux citoyens de mieux contrôler leurs données et de faciliter le transfert de celles-ci, par exemple lorsqu’ils changent de service ou de fournisseur.

En vertu de la loi en vigueur, voici quelques exemples d’incidents de confidentialité et de manquements en matière de cybersécurité:

  • Altération délibérée de renseignements personnels
  • Communication accidentelle
  • Communication délibérée sans autorisation
  • Consultation non autorisée
  • Cyberattaque (virus, logiciel espion, etc.)
  • Destruction accidentelle ou volontaire sans autorisation
  • Divulgation accidentelle ou délibérée sans autorisation
  • Erreur humaine
  • Hameçonnage (phishing)
  • Perte d’accès
  • Vol de renseignements
  • Etc.

La Loi 25 encadre strictement la communication de renseignements personnels sans le consentement de la personne concernée, sauf exception prévue. Un consentement explicite, libre et éclairé est généralement requis.

Toutefois, certaines exceptions permettent de communiquer ces renseignements sans consentement, notamment:

  • Lorsqu’ils sont nécessaires à l’exécution d’un contrat conclu avec la personne concernée
  • Lorsqu’ils sont utilisés à des fins de recherche, d’étude ou de statistique, à condition qu’ils soient anonymisés
  • Lorsqu’ils sont transmis à un avocat dans le cadre d’une procédure judiciaire
  • Lorsqu’une obligation légale impose leur communication (ex: enquête policière)

Dans tous les cas, la communication doit respecter les principes de proportionnalité, de sécurité et de finalité.

Ce contenu vous a plu?
[Total: 34 Moyenne: 4.7]
Envie de propulser vos affaires sur le web?

This field is for validation purposes and should be left unchanged.
(Required)

Alexandre Corbasson

Alexandre est co-fondateur du collectif Intégral, qui regroupe 4 agences spécialisées en marketing numérique à Montréal et Paris. Ex consultant en stratégie, il fait un virage à 180 degrés en 2017 pour devenir expert numérique 360. Il se spécialise désormais en stratégie web, marketing de contenu et jokes de papa.
En lire plus

Articles similaires

outils marketing web
26 avril 2022

20 outils marketing web pour votre croissance

Ce ne sont pas les outils qui font un bon ouvrier. Mais il faut dire que les outils lui facilitent le quotidien dans sa productivité, sa précision et sa qualité. C’est pareil en marketing web! Pour faire passer votre stratégie marketing web au niveau supérieur, nous avons listé 20 outils marketing numérique pour booster votre […]

Par Alexandre Corbasson Lire l'article
optimiser budget marketing pme
20 juin 2019

6 astuces pour optimiser le budget marketing de votre PME

La moitié des PME dépensent moins de 300 dollars chaque mois dans leur marketing web. Vous savez mieux que personne que le budget marketing de votre PME doit donc être investi de façon réfléchie et surtout rentable! De nombreuses astuces existent pour augmenter votre retour sur investissement et dépenser votre budget de façon intelligente. Comment […]

Par Alexandre Corbasson Lire l'article
outils seo
8 avril 2020

+30 outils SEO Google pour améliorer votre référencement

[Défi SEO – Jour 8] Pour savoir si votre stratégie de référencement naturel fonctionne, vous pouvez rechercher vos mots-clés sur Google et observer les résultats – mais cela ne vous dira pas tout.Pour vraiment connaître les performances de votre stratégie SEO et savoir quelles optimisations entreprendre, vous devrez vous équiper des meilleurs outils SEO. Dans […]

Par Alexandre Corbasson Lire l'article
Audio Disponible
Boite à outils loi 25
3 octobre 2023

8 outils de la loi 25 que tu dois connaître 💡

La loi 25, c'est LE sujet du moment pour toute entreprise ayant une visibilité digitale.C'est aussi un vrai casse-tête administratif et il est difficile de savoir par où commencer pour se conformer à la réglementation. 🤯 Mais que diriez-vous de disposer d'une boîte à outils complète pour faciliter la mise en place de la Loi 25 au […]

Par Alexandre Corbasson Lire l'article
Tous les articles
Retour vers le haut

Discutons dès aujourd’hui!

Nous nous ferons un plaisir de vous répondre!

This field is for validation purposes and should be left unchanged.
Name(Required)