Version bêta — Contenu en cours de vérification

Ce guide Loi 25 est en cours de révision et peut contenir des inexactitudes. Ne l'utilisez pas seul pour prendre des décisions juridiques ou réglementaires. Pour toute décision à portée légale, consultez un avocat ou la Commission d'accès à l'information (CAI).

⚖️
Information juridique — pas un avis Ce contenu est éducatif et général. Il ne constitue pas un avis juridique (art. 128, Loi sur le Barreau, RLRQ c. B-1) et ne qualifie pas votre situation particulière. Consultez un avocat ou la CAI pour toute décision.
CHAPITRE 2

Chronologie d'entrée en vigueur (2022–2024)

La Loi 25 n'est pas entrée en vigueur d'un coup. Trois phases échelonnées sur trois ans. En 2026, tout est en vigueur. Il n'y a plus de période tampon.

Phase 1 · 22 septembre 2022

Gouvernance et incidents — les fondations

  • Désignation obligatoire d'un RPRP. Par défaut, c'est la personne ayant la plus haute autorité (PDG) qui assume ce rôle, sauf délégation écrite. → Chapitre 5
  • Obligation de gérer les incidents de confidentialité : tenir un registre, aviser la CAI et les personnes concernées en cas de risque de préjudice sérieux. → Chapitre 7
  • Encadrement des transactions commerciales (fusions, ventes d'entreprise) impliquant des données personnelles.
Phase 2 · 22 septembre 2023

Politiques, consentement, transparence — la phase la plus dense

C'est la phase qui touche le plus le quotidien des PME. Elle introduit :

  • Politique de gouvernance encadrant la conservation, la destruction et les rôles internes
  • Politique de confidentialité publiée en termes simples (sur le site web)
  • Nouvelles règles de consentement : clair, libre, éclairé, à des fins déterminées, demandé séparément
  • Transparence à la collecte : informer la personne des fins, moyens, droits, communication hors Québec
  • ÉFVP obligatoire pour les nouveaux systèmes et communications hors Québec. → Chapitre 6
  • Paramètres de confidentialité par défaut au plus haut niveau (privacy by default)
  • Sanctions administratives pécuniaires (SAP) en vigueur. → Chapitre 14–15
Phase 3 · 22 septembre 2024

Portabilité, désindexation — application complète

  • Droit à la portabilité des données : communiquer les renseignements informatisés fournis par la personne, dans un format structuré et couramment utilisé. → Chapitre 8
  • Droit à la désindexation / cessation de diffusion (équivalent québécois du « droit à l'oubli »)
  • Pleine application de l'ensemble des dispositions
Tableau synthèse

Vue d'ensemble des 3 phases

PhaseDateObligations principales
Phase 122 sept. 2022RPRP, registre d'incidents, gestion incidents, transactions commerciales
Phase 222 sept. 2023Politiques, consentement, transparence collecte, ÉFVP, SAP, privacy by default
Phase 322 sept. 2024Portabilité des données, désindexation, application complète
En 2026, tout est en vigueur. Il n'y a plus de période transitoire. Chaque obligation non respectée est potentiellement sanctionnable.

✓ Checklist chronologie

  • ☐ Nos politiques (gouvernance + confidentialité) existent-elles et sont-elles à jour depuis sept. 2023?
  • ☐ Notre registre d'incidents est-il en place depuis sept. 2022?
  • ☐ Pouvons-nous répondre à une demande de portabilité ou de désindexation (depuis sept. 2024)?
← Qui est viséConcepts clés →