Version bêta — Contenu en cours de vérification

Ce guide Loi 25 est en cours de révision et peut contenir des inexactitudes. Ne l'utilisez pas seul pour prendre des décisions juridiques ou réglementaires. Pour toute décision à portée légale, consultez un avocat ou la Commission d'accès à l'information (CAI).

⚖️
Information juridique — pas un avisCe contenu est éducatif et général. Il ne constitue pas un avis juridique (art. 128, Loi sur le Barreau, RLRQ c. B-1) et ne qualifie pas votre situation particulière. Consultez un avocat ou la CAI pour toute décision.
CHAPITRE 8

Les droits des personnes concernées

La Loi 25 renforce considérablement les droits des individus. Votre organisation doit être capable d'y répondre dans un délai d'environ 30 jours.

8.1 · Droit fondamental

Droit d'accès

Toute personne peut demander à consulter les renseignements personnels que vous détenez à son sujet. L'organisation doit les communiquer dans un format intelligible, avec, sur demande, l'information sur leur source. Délai : environ 30 jours.

8.2 · Correction

Droit de rectification

La personne peut faire corriger un renseignement inexact, incomplet ou équivoque, ou faire supprimer un renseignement recueilli illégalement ou conservé au-delà de la période permise.

8.3 · Depuis sept. 2024

Droit à la portabilité

Sur demande, l'organisation doit communiquer à la personne les renseignements informatisés qu'elle vous a fournis, dans un format technologique structuré et couramment utilisé — ou les transmettre directement à un autre organisme désigné, lorsque c'est techniquement possible.

Important : cela s'applique aux renseignements que la personne vous a fournis, pas aux données que vous avez créées ou inférées (ex: profil comportemental que vous avez construit).
8.4 · Droit à l'oubli QC · Depuis sept. 2024

Droit à la désindexation et à la cessation de diffusion

La personne peut exiger que vous cessiez la diffusion d'un renseignement ou que vous désindexiez tout hyperlien permettant d'y accéder, lorsque :

  • La diffusion lui cause un préjudice
  • Le préjudice l'emporte sur l'intérêt du public à connaître l'information ou sur la liberté d'expression

C'est l'équivalent québécois, encadré, du « droit à l'oubli » européen.

8.5 · Consentement

Droit de retrait du consentement

La personne peut retirer son consentement à tout moment. L'organisation doit en faciliter l'exercice et cesser le traitement concerné, sous réserve d'obligations légales de conservation.

8.6 · Intelligence artificielle

Droits liés à la décision automatisée

Lorsqu'une décision est fondée exclusivement sur un traitement automatisé, la personne a le droit :

  • D'en être informée
  • De connaître les renseignements utilisés et les principaux facteurs de la décision
  • De présenter ses observations à un membre du personnel en mesure de réviser la décision
8.7 · Processus

Traitement d'une demande — 6 étapes (~30 jours)

  1. Recevoir la demande via un point de contact unique (idéalement le RPRP)
  2. Vérifier l'identité du demandeur avant toute communication
  3. Identifier les renseignements visés par la demande
  4. Évaluer les exceptions applicables (droits de tiers, secret professionnel, etc.)
  5. Répondre par écrit dans le délai (≈30 jours), en motivant tout refus et indiquant les recours possibles
  6. Consigner la demande et la réponse pour preuve de diligence
DroitEn vigueur depuisDélai indicatif
AccèsPhase 2 — sept. 2023~30 jours
RectificationPhase 2 — sept. 2023~30 jours
PortabilitéPhase 3 — sept. 2024~30 jours
Désindexation / cessationPhase 3 — sept. 2024Raisonnable
Retrait du consentementPhase 2 — sept. 2023Sans délai indu

✓ Checklist droits des personnes

  • ☐ Avons-nous un point de contact unique (RPRP) pour les demandes d'exercice de droits?
  • ☐ Pouvons-nous extraire les données d'une personne dans un format portable (CSV, JSON)?
  • ☐ Vérifions-nous l'identité du demandeur avant de répondre?
  • ☐ Documentons-nous chaque demande et chaque réponse?
← Gestion des incidentsFournisseurs & Hors Québec →