Loi 25 Québec — Guide entreprise Mis à jour : Juin 2026

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) est entrée en vigueur en 3 phases : Sept. 2022 (désignation RPP, incidents), Sept. 2023 (registre traitements, droits, consentement), Sept. 2024 (toutes dispositions). Elle s'inspire du RGPD et s'applique à toute organisation au Québec qui collecte des données personnelles.

Les obligations s'appliquent à toutes les entreprises, mais les modalités varient. Une entreprise de 5 employés doit désigner un RPP (peut être le propriétaire). Une PME de 50 employés doit avoir un registre des traitements documenté. Une entreprise de 500+ employés doit conduire des EFVP (Évaluations des facteurs relatifs à la vie privée) pour tout nouveau projet impliquant des données.

Le RPP doit être un membre de la direction (ou la personne ayant la plus haute autorité). Ses responsabilités : s'assurer du respect de la Loi 25, traiter les demandes d'accès/rectification, gérer les incidents, publier ses coordonnées sur le site web. Dans une PME, le RPP peut être le dirigeant lui-même avec l'aide d'un conseiller externe.

Pour chaque activité de traitement : nom et description, finalité (pourquoi on collecte), catégories de données, catégories de personnes concernées, durée de conservation, mesures de sécurité, transferts hors Québec, sous-traitants. Format : tableur ou outil dédié (OneTrust, Didomi). Le registre doit être tenu à jour et accessible à la CAI sur demande.

Définition : accès, utilisation ou divulgation non autorisée de renseignements personnels. Si l'incident présente un risque sérieux de préjudice : notifier la CAI dans les 72h, notifier les personnes concernées, tenir un registre des incidents. Préjudice sérieux : vol d'identité possible, atteinte à la réputation, discriminatoire.

L'EFVP est obligatoire avant tout projet impliquant des données personnelles (nouveau logiciel, nouveau partenaire, transfert hors Québec). Elle analyse : les risques pour la vie privée, les mesures pour les atténuer, la proportionnalité de la collecte. La CAI peut demander à examiner une EFVP en cas de plainte.

La Commission d'accès à l'information (CAI) peut imposer : avis formels, ordonnances, amendes administratives (jusqu'à 25M$ ou 4% du CA mondial). Les sanctions pénales peuvent atteindre 25M$ pour une entreprise et 100 000$ pour un individu. La coopération avec la CAI est fortement recommandée en cas d'incident.