Version bêta — Contenu en cours de vérification

Ce guide Loi 25 est en cours de révision et peut contenir des inexactitudes. Ne l'utilisez pas seul pour prendre des décisions juridiques ou réglementaires. Pour toute décision à portée légale, consultez un avocat ou la Commission d'accès à l'information (CAI).

⚖️
Information juridique — pas un avis Ce contenu est éducatif et général. Il ne constitue pas un avis juridique (art. 128, Loi sur le Barreau, RLRQ c. B-1) et ne qualifie pas votre situation particulière. Consultez un avocat ou la CAI pour toute décision.
CHAPITRE 1

Qui est visé par la Loi 25?

La Loi 25 s'applique à toute entreprise qui exerce une activité au Québec et qui collecte, détient, utilise ou communique des renseignements personnels — peu importe sa taille.

1.1 · Contexte

Pourquoi une nouvelle loi en 2021?

Pendant près de 30 ans, la protection des renseignements personnels dans le secteur privé québécois reposait sur une loi adoptée en 1994 — une époque sans téléphones intelligents, sans infonuagique et sans intelligence artificielle. Les fuites massives de données, la monétisation des données personnelles et l'omniprésence du numérique ont rendu ce cadre obsolète.

La Loi 25 — adoptée le 21 septembre 2021 sous le titre officiel Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — modernise principalement la Loi sur la protection des renseignements personnels dans le secteur privé. Elle s'inspire largement du RGPD européen, ce qui fait du Québec l'une des juridictions les plus strictes d'Amérique du Nord.

Pourquoi « Loi 25 »? Ce nom vient simplement de son numéro de projet de loi à l'Assemblée nationale. Elle a d'abord été le projet de loi 64, puis est devenue le chapitre 25 des lois de 2021.
1.2 · Les 3 grands objectifs

Responsabiliser · Redonner le contrôle · Dissuader

  1. Responsabiliser les organisations. Les entreprises ne peuvent plus traiter les données personnelles comme une ressource gratuite. Elles doivent en répondre formellement.
  2. Redonner le contrôle aux citoyens. De nouveaux droits permettent à chacun de savoir, corriger, récupérer et, dans certains cas, faire effacer ses renseignements.
  3. Dissuader par des sanctions réelles. Des amendes pouvant atteindre des millions de dollars donnent du mordant à la loi (voir le chapitre 14–15).
1.3 · Portée

Qui est concerné? (Indice : probablement vous)

La Loi 25 s'applique à toute entreprise qui exerce une activité au Québec et qui recueille, détient, utilise ou communique des renseignements personnels, peu importe sa taille. Cela inclut :

  • Les PME et PMI de tous les secteurs
  • Les travailleurs autonomes et professionnels (notaires, comptables, courtiers, cliniques…)
  • Les organismes à but non lucratif (OBNL) qui exploitent une « entreprise » au sens du Code civil
  • Les commerces de détail, manufacturiers, agences, cabinets-conseils
Le mythe « on est trop petits pour être visés » est faux. Il n'existe aucun seuil minimal d'employés ou de chiffre d'affaires. Dès que vous détenez le nom et le courriel d'un client ou le dossier d'un employé, la loi s'applique.
1.4 · Loi 25 vs LPRPDE

Différence avec la loi fédérale

La LPRPDE (loi fédérale) s'applique notamment aux activités commerciales interprovinciales et internationales. Le Québec ayant adopté sa propre loi, c'est généralement la Loi 25 qui prime pour les activités intra-québécoises. Pour les entreprises qui œuvrent à l'international, les deux régimes peuvent s'appliquer simultanément.

✓ Checklist de départ

  • ☐ Notre organisation recueille-t-elle des renseignements personnels? (Réponse quasi certaine : oui)
  • ☐ Avons-nous déjà désigné un responsable de la protection des renseignements personnels (RPRP)?
  • ☐ Connaissons-nous les 3 phases d'entrée en vigueur de la loi?
  • ☐ Avons-nous évalué notre risque financier en cas de non-conformité?
← Vue d'ensembleChronologie 2022–2024 →