Version bêta — Contenu en cours de vérification

Ce guide Loi 25 est en cours de révision et peut contenir des inexactitudes. Ne l'utilisez pas seul pour prendre des décisions juridiques ou réglementaires. Pour toute décision à portée légale, consultez un avocat ou la Commission d'accès à l'information (CAI).

⚖️
Information juridique — pas un avisCe contenu est éducatif et général. Il ne constitue pas un avis juridique (art. 128, Loi sur le Barreau, RLRQ c. B-1) et ne qualifie pas votre situation particulière. Consultez un avocat ou la CAI pour toute décision.
GUIDE COMPLET · 15 CHAPITRES

Loi 25 — Guide pratique de conformité pour PME

La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, c. 25) est en vigueur depuis 2022–2024. Ce guide couvre l'ensemble des obligations — RPRP, incidents, ÉFVP, droits des personnes, sanctions — avec des outils pratiques adaptés aux PME québécoises.

Plan de conformité → Gestion des incidents

⚠️ Êtes-vous déjà en défaut?

  • Aucun RPRP désigné — le PDG l'est par défaut, souvent sans le savoir
  • Pas de registre d'incidents — obligatoire depuis sept. 2022, même pour les incidents mineurs
  • Politique de confidentialité absente ou incompréhensible — doit être publiée en termes simples
  • Fournisseurs hors Québec sans ÉFVP ni contrat conforme — Microsoft 365, AWS, Google = hors Québec

Les 15 chapitres du guide

🏢
Chapitre 1
Qui est visé?
Contexte, objectifs de la loi, aucun seuil de taille, secteurs concernés, mythe « on est trop petits ».
 📅
Chapitre 2
Chronologie 2022–2024
3 phases d'entrée en vigueur. Tout est applicable depuis sept. 2024.
 🧠
Chapitre 3
Concepts clés
RP, RP sensible, consentement valide (5 critères), décision automatisée, anonymisation vs dépersonnalisation.
 📜
Chapitre 4
Obligations de l'entreprise
Gouvernance, politique de confidentialité, transparence à la collecte, minimisation, conservation, sécurité.
 👤
Chapitre 5
Le RPRP
Désignation obligatoire, délégation écrite, responsabilités, interne vs externe, publication obligatoire.
 🔍
Chapitre 6
L'ÉFVP
Évaluation des facteurs relatifs à la vie privée — quand, comment, 7 étapes, grille de risque.
 🚨
Chapitre 7 · Priorité
Gestion des incidents
Registre obligatoire, notification CAI sous 72h, préjudice sérieux, processus 6 étapes.
 ⚖️
Chapitre 8
Droits des personnes
6 droits : accès, rectification, portabilité, désindexation, retrait du consentement, décision automatisée.
 🌐
Chapitre 9
Fournisseurs & Hors Québec
Infonuagique, ÉFVP préalable hors Québec, sous-traitance, clause contractuelle obligatoire.
 🔧
Chapitre 10
Volet technique — TI & CISO
Cartographie, MFA, chiffrement, sauvegardes 3-2-1, sécurité SaaS, plan de réponse aux incidents.
 📋
Chapitre 11
Plan de conformité
Feuille de route 90 jours / 6 mois / 12 mois avec responsables et priorités.
 📚
Chapitre 12
Études de cas québécoises
5 cas fictifs réalistes : boutique Shopify, clinique, OBNL, courtage, manufacturier rançongiciel.
 🛠️
Chapitre 13
Gabarits prêts à l'emploi
Politique de confidentialité, registre incidents, clause fournisseur, formulaire droits, avis incident.
 💰
Chapitres 14–15
Mythes & Sanctions
8 mythes déboulonnés, SAP jusqu'à 10 M$, sanctions pénales pouvant viser les dirigeants.
Chapitres 16–18
FAQ · Glossaire · Ressources
10 questions fréquentes, 14 termes définis, ressources officielles (CAI, Légis Québec).
⚠️ Avertissement légal. Ce guide est un outil de vulgarisation. Il ne constitue pas un avis juridique. Pour les décisions à risque élevé, consultez un conseiller juridique et la Commission d'accès à l'information du Québec (CAI) : cai.gouv.qc.ca.