CHAPITRE 3

Les concepts clés de la Loi 25

Maîtriser le vocabulaire est essentiel. Une mauvaise compréhension de ces définitions est la première source d'erreurs de conformité.

3.1 · Définition centrale

Renseignement personnel — une définition très large

Un renseignement personnel est tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l'identifier.

Exemples : nom, adresse, courriel, numéro de téléphone, adresse IP, numéro de client, photo, données de géolocalisation, historique d'achats lié à un compte.

Règle pratique : Ce n'est pas la nature « sensible » de l'information qui compte, mais sa capacité à rattacher une donnée à une personne identifiable. Un numéro de dossier anodin devient un renseignement personnel s'il peut être recoupé pour identifier quelqu'un.

3.2 · Catégorie spéciale

Renseignement personnel sensible — protection renforcée

Un renseignement est sensible lorsque, par sa nature ou par le contexte de son utilisation, il suscite un haut degré d'attente raisonnable en matière de vie privée.

Exemples : données de santé, données biométriques (empreintes, reconnaissance faciale), orientation sexuelle, origine ethnique, opinions politiques, données financières détaillées.

Conséquence pratique : un renseignement sensible exige généralement un consentement exprès (et non simplement implicite) et une protection renforcée.

3.3 · Règle fondamentale

Le consentement valide — 5 critères obligatoires

Le consentement doit être :

Critère 1

Manifeste

Clair, non ambigu. Pas un consentement implicite par inaction.

Critère 2

Libre

Sans contrainte ni conditionnement abusif. La personne peut refuser sans subir de préjudice.

Critère 3

Éclairé

La personne comprend à quoi elle consent : fins, moyens, droits.

Critère 4

À des fins spécifiques

Pas un consentement « fourre-tout » pour toutes utilisations possibles.

Critère 5

Demandé distinctement

Séparé de toute autre information — pas noyé dans des conditions générales.

Le consentement dans les CGU n'est plus valide. Une case à cocher noyée dans des conditions générales ne constitue pas un consentement valide au sens de la Loi 25.

Mineurs de moins de 14 ans : le consentement est donné par le titulaire de l'autorité parentale.

3.4 · Intelligence artificielle

Décision automatisée — obligations de transparence

Lorsqu'une décision est prise exclusivement sur la base d'un traitement automatisé (algorithme qui refuse un crédit, filtre des candidatures, etc.), l'organisation doit :

Informer la personne que la décision est automatisée
Lui fournir, sur demande, les renseignements utilisés et les principaux facteurs
Lui permettre de présenter ses observations à un membre du personnel en mesure de réviser la décision

IA générative : tout système d'IA traitant des renseignements personnels ou prenant des décisions automatisées est encadré par la Loi 25.

3.5 · Distinction critique

Anonymisation vs Dépersonnalisation

Concept	Définition	Champ d'application Loi 25
Dépersonnalisation	Retrait des identifiants directs. La réidentification reste possible mais improbable.	✗ La donnée reste un renseignement personnel soumis à la loi.
Anonymisation	Modification irréversible selon les meilleures pratiques. Réidentification impossible raisonnablement.	✓ Sort du champ de la loi — utilisable librement.

Retirer uniquement le nom ne suffit pas. Si les données restent réidentifiables (par recoupement d'autres champs), il s'agit de dépersonnalisation — la loi continue de s'appliquer.

✓ Checklist concepts

☐ Avons-nous cartographié quelles données que nous détenons sont « sensibles »?
☐ Nos formulaires demandent-ils un consentement clair, distinct et à des fins spécifiques?
☐ Utilisons-nous des outils de décision automatisée? Si oui, sont-ils encadrés?
☐ Nos données « anonymisées » sont-elles vraiment irréversibles selon les meilleures pratiques?

← Chronologie Obligations de l'entreprise →