Version bêta — Contenu en cours de vérification

Ce guide Loi 25 est en cours de révision et peut contenir des inexactitudes. Ne l'utilisez pas seul pour prendre des décisions juridiques ou réglementaires. Pour toute décision à portée légale, consultez un avocat ou la Commission d'accès à l'information (CAI).

⚖️
Information juridique — pas un avisCe contenu est éducatif et général. Il ne constitue pas un avis juridique (art. 128, Loi sur le Barreau, RLRQ c. B-1) et ne qualifie pas votre situation particulière. Consultez un avocat ou la CAI pour toute décision.
CHAPITRES 16–18

FAQ · Glossaire · Ressources officielles

Les 10 questions les plus fréquentes, 14 termes définis, et les sources officielles à consulter.

FAQ · 10 questions fréquentes

Réponses aux questions les plus courantes

La Loi 25 s'applique-t-elle si on n'a que quelques employés?
Oui. La loi ne prévoit aucun seuil minimal. Dès qu'une organisation détient des renseignements personnels (clients, employés), elle est généralement assujettie — peu importe sa taille. Pour confirmer votre situation précise, consultez la CAI.
Dois-je obligatoirement engager un avocat ou un consultant?
Non. Une PME peut faire l'essentiel avec des gabarits et des ressources de la CAI. Un conseiller externe reste utile pour les dossiers complexes (ÉFVP hors Québec, incidents graves, contrats).
Quelle est la différence entre la Loi 25 et la loi fédérale (LPRPDE)?
La Loi 25 régit le secteur privé au Québec. La LPRPDE (fédérale) s'applique aux activités commerciales interprovinciales et internationales. Le Québec ayant sa propre loi, c'est généralement la Loi 25 qui prime pour les activités intra-québécoises.
Le consentement implicite est-il encore permis?
Dans certains cas pour des renseignements non sensibles, oui, lorsque la finalité est évidente et raisonnablement attendue. Mais pour les renseignements sensibles et le marketing/profilage, un consentement exprès et distinct est obligatoire.
Combien de temps puis-je conserver les données?
Le temps nécessaire à la réalisation des fins, plus les durées légales applicables (fiscales, etc.). Ensuite, destruction ou anonymisation. Pas de conservation « au cas où ».
Dois-je aviser la CAI de tout incident?
Non. Tous les incidents vont au registre, mais seuls ceux présentant un risque de préjudice sérieux doivent être notifiés à la CAI et aux personnes concernées.
Un courriel envoyé au mauvais destinataire est-il un incident?
Oui, c'est une communication non autorisée. Consignez-le au registre, puis évaluez le risque de préjudice sérieux en fonction de la sensibilité des données et du contexte.
Les données collectées avant 2022 sont-elles visées?
Oui. La loi s'applique aux renseignements que vous détenez actuellement, peu importe la date de collecte originale.
Que faire si une personne demande l'effacement de ses données?
Évaluez la demande selon les droits applicables (désindexation/cessation, rectification par suppression de données illégales). Documentez votre décision et motivez tout refus en indiquant les recours (CAI).
La Loi 25 encadre-t-elle l'intelligence artificielle?
Indirectement mais réellement : dès qu'une IA traite des renseignements personnels ou prend des décisions automatisées, les obligations de transparence et le droit de contestation s'appliquent.
Glossaire · 14 termes

Définitions clés

Anonymisation
Modification irréversible d'une donnée pour qu'elle ne permette plus d'identifier une personne. Sort du champ de la loi.
CAI
Commission d'accès à l'information du Québec. Autorité de surveillance de la Loi 25. Site : cai.gouv.qc.ca
Consentement
Accord manifeste, libre, éclairé, à des fins déterminées, demandé distinctement de toute autre information.
Décision automatisée
Décision fondée exclusivement sur un traitement automatisé (algorithme, IA). Déclenche des obligations de transparence.
Dépersonnalisation
Retrait des identifiants directs. Réidentification possible mais improbable. Reste un renseignement personnel.
ÉFVP
Évaluation des facteurs relatifs à la vie privée. Analyse de risque obligatoire avant certains projets ou communications.
Incident de confidentialité
Accès, utilisation ou communication non autorisés, perte ou autre atteinte à un renseignement personnel.
Loi 25
Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25).
LPRPDE
Loi fédérale sur la protection des renseignements personnels dans le secteur privé. S'applique aux activités interprovinciales et internationales.
Minimisation
Principe de ne recueillir que les données strictement nécessaires aux fins déclarées.
Préjudice sérieux
Conséquence négative importante (vol d'identité, fraude, atteinte à la réputation) déclenchant l'obligation de notification.
Renseignement personnel (RP)
Tout renseignement permettant d'identifier directement ou indirectement une personne physique.
RPRP
Responsable de la protection des renseignements personnels. Obligatoire. PDG par défaut si non désigné.
SAP
Sanction administrative pécuniaire. Imposée directement par la CAI sans tribunal. Max. 10 M$ ou 2 % du CA mondial.
Ressources officielles

Sources de référence

  • Commission d'accès à l'information du Québec (CAI)cai.gouv.qc.ca : guides, formulaire de déclaration d'incident, cadre d'application des sanctions, modèles d'avis.
  • Gouvernement du Québecquebec.ca : information générale sur la protection des renseignements personnels.
  • Texte de la LoiLoi sur la protection des renseignements personnels dans le secteur privé telle que modifiée par la Loi 25 — accessible via Légis Québec.
⚠️ Validation recommandée. Ce guide est un outil de vulgarisation. Les montants des sanctions, les délais et les libellés peuvent être mis à jour. Avant toute décision importante, confirmez l'information à la source officielle (CAI) et, au besoin, auprès d'un conseiller juridique.
← Mythes & Sanctions