Qu'est-ce que la Loi 25?
La Loi 25, officiellement nommée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est une réforme majeure adoptée par l'Assemblée nationale du Québec en septembre 2021. Elle modifie en profondeur la Loi sur la protection des renseignements personnels dans le secteur privé ainsi que la Loi sur l'accès aux documents des organismes publics.
Son objectif : renforcer la protection des renseignements personnels des citoyens québécois à l'ère numérique, en imposant de nouvelles obligations aux entreprises et organismes qui collectent, utilisent ou conservent des données personnelles.
Issue du projet de loi 64, la Loi 25 est entrée en vigueur progressivement en trois phases, entre septembre 2022 et septembre 2024. Depuis septembre 2024, l'ensemble de ses dispositions sont en vigueur. Pour en savoir plus sur les différentes phases, consultez notre article sur l'historique et le calendrier d'application de la Loi 25.
Formation Loi 25 pour votre équipe
Chaque employé reçoit un lien, complète sa formation, obtient son certificat.
Qui est visé par la Loi 25?
La Loi 25 s'applique à toute entreprise qui recueille, détient, utilise ou communique des renseignements personnels au Québec peu importe sa taille, son secteur d'activité ou qu'elle soit à but lucratif ou non.
Les sanctions et amendes
La Loi 25 prévoit des sanctions parmi les plus sévères au Canada :
Administratives
10 M$
ou 2 % du CA mondial
Pénales
25 M$
ou 4 % du CA mondial
Droit privé
Recours
Dommages-intérêts
La Commission d'accès à l'information du Québec (CAI) est l'organisme responsable de la surveillance et de l'application de la loi. Pour plus de détails, consultez notre article sur les sanctions et amendes de la Loi 25.
Les principales obligations de la Loi 25
La Loi 25 impose plusieurs obligations majeures aux entreprises. Voici un résumé des plus importantes, avec la mesure concrète à mettre en place :
Désigner un responsable de la protection des renseignements personnels (RPRP)
Nommez une personne responsable de veiller à la conformité — par défaut, celle qui détient la plus haute autorité dans l'organisation — et publiez ses coordonnées sur votre site web.
En savoir plus sur le RPRP →Adopter une politique de confidentialité
Rédigez une politique claire, accessible et conforme qui décrit vos pratiques de collecte, d'utilisation et de protection des renseignements personnels.
Comment rédiger votre politique →Obtenir un consentement valide
Le consentement doit être manifeste, libre, éclairé et donné à des fins précises (règles plus strictes pour les renseignements sensibles et les mineurs). Révisez vos formulaires, vos témoins et vos communications marketing.
Comprendre le consentement →Réaliser des évaluations des facteurs relatifs à la vie privée (EFVP)
Avant tout nouveau projet impliquant des renseignements personnels, cartographiez vos données (lesquelles, où, qui y a accès) et évaluez les risques.
En savoir plus sur l'EFVP →Notifier les incidents de confidentialité
Consignez tout incident dans un registre, avec un processus et des gabarits de notification. Si le risque de préjudice est sérieux, avisez la CAI et les personnes concernées.
Voir toutes les obligations →Respecter les droits des personnes
Les individus peuvent accéder à leurs renseignements, les faire rectifier et, dans certains cas, les faire supprimer. Mettez en place un processus pour répondre à ces demandes.
Former les employés
La loi exige de sensibiliser les membres du personnel qui traitent des renseignements personnels; une formation adaptée, continue et documentée est un moyen reconnu d'y répondre.
Formation des employés →Pour une liste complète et détaillée, consultez notre guide sur les obligations des entreprises sous la Loi 25. Pour documenter et démontrer votre conformité, suivez notre guide de conformité et la checklist en 20 points.
Formation Loi 25 pour votre équipe
Chaque employé reçoit un lien, complète sa formation, obtient son certificat.
Le calendrier d'application de la Loi 25
La Loi 25 est entrée en vigueur en trois phases pour laisser le temps aux entreprises de se préparer :
Désignation du RPRP, obligation de signaler les incidents, registre des incidents.
Politique de confidentialité, EFVP, nouvelles règles de consentement, sanctions administratives.
Droit à l'effacement, portabilité complète. Toutes les dispositions sont en vigueur.
Pour un aperçu complet de l'évolution de la loi, consultez notre page sur l'historique et le calendrier d'application de la Loi 25.
La formation des employés : un moyen clé pour répondre à la Loi 25
La Loi 25 exige des mesures de gouvernance et de sécurité raisonnables, dont la sensibilisation des membres du personnel qui traitent des renseignements personnels : la formation est un moyen reconnu d'y répondre. En pratique, cela touche une grande partie des employés dans une entreprise du service à la clientèle aux ressources humaines, en passant par les équipes techniques et la direction.
Une formation efficace doit être :
Adaptée au rôle
Un comptable n'a pas les mêmes risques qu'un développeur.
Continue
Une seule formation par année ne suffit pas.
Documentée
Pour appuyer votre démarche et garder une trace en cas de demande de la CAI.
C'est précisément ce que Loi25Simple offre : une formation personnalisée par rôle, avec certificats, formation continue et suivi complet. Découvrez comment notre solution peut vous aider dans notre article sur la formation des employés à la Loi 25.