Loi 25 : de quoi parle-t-on exactement?
Le gouvernement du Québec a adopté la Loi 25, aussi appelée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, en 2021. Depuis, il a mis en place une application progressive jusqu’à son entrée en vigueur complète en septembre 2024.
Par conséquent, cette réforme oblige les entreprises et les organismes publics à revoir leur façon de gérer les données personnelles. Elle renforce les droits des citoyens et, surtout impose un cadre clair aux organisations, dans un contexte numérique où la collecte et l’exploitation des renseignements personnels sont devenues monnaie courante.
De plus, aujourd’hui, toute organisation qui collecte, conserve ou utilise des données personnelles doit prouver que ses pratiques sont conformes à la Loi 25. Cela concerne autant les grandes entreprises que les PME, les OBNL, les travailleurs autonomes et les boutiques en ligne.
Nommer un responsable à la protection des renseignements personnels
La Loi 25 vous oblige, en tant qu’entreprise, à désigner une personne responsable de la protection des renseignements personnels.En d’autres termes, peu importe la taille de votre organisation, vous devez nommer quelqu’un pour garantir la conformité de vos pratiques en matière de confidentialité.
Vous pouvez confier ce rôle au dirigeant, à un employé ou à un consultant externe. Une fois désigné, vous devez afficher clairement son nom, son titre et ses coordonnées sur votre site web. Idéalement ces informations seront dans votre politique de confidentialité ou sur votre page de contact.
Par ailleurs, ce responsable répond aux questions du public, supervise la gestion des données et s’assure que votre entreprise respecte la Loi 25 à chaque étape : collecte, utilisation, conservation et communication des renseignements personnels.
Déclaration, registre et notification obligatoire
Le responsable de la protection des renseignements personnels veille à:
- L’application concrète des règles liées à la collecte
- L’utilisation
- La conservation
- La communication des données.
Ainsi, il s’assure que l’entreprise respecte ses obligations à chaque étape du traitement des renseignements personnels.
Par ailleurs, il répond également aux demandes du public. Notamment celles liées à l’accès, à la rectification ou au retrait du consentement.
En ce sens, si vous dirigez une petite entreprise, vous pouvez vous autoformer pour assumer ce rôle. La Commission d’accès à l’information (CAI) met à disposition un modèle de politique et plusieurs ressources utiles pour vous guider dans la mise en conformité.
La gestion des incidents de confidentialité selon la Loi 25
La Loi 25 vous oblige à gérer sérieusement tout incident de confidentialité. Dès qu’un renseignement personnel est accédé, utilisé, partagé ou supprimé sans autorisation vous devez agir. Même si c’est une erreur.
En effet, ne simple erreur, comme envoyer un courriel contenant des informations sensibles à la mauvaise personne, suffit. De plus une cyberattaque, une fuite de données ou un accès non autorisé à vos systèmes comptent aussi comme des incidents de confidentialité.
À chaque fois, traitez l’incident comme une alerte. Analysez la situation, prenez les mesures nécessaires et documentez l’événement. En réagissant rapidement, vous protégez les personnes concernées et vous démontrez votre conformité à la Loi 25.
Déclaration, registre et notification obligatoire
Dès qu’un incident de confidentialité survient, l’entreprise doit réagir immédiatement. Elle enregistre l’incident dans un registre interne, un outil essentiel pour assurer la reddition de comptes. De fait, ce registre précise ce qui s’est produit, indique la date, identifie les renseignements personnels touchés et décrit les mesures correctives appliquées. Le cas échéant, l’entreprise doit présenter ce registre à la Commission d’accès à l’information du Québec (CAI) lors d’une enquête.
Par ailleurs, si l’incident présente un risque sérieux de préjudice — comme une usurpation d’identité, une atteinte à la réputation ou une perte financière —, l’entreprise doit aviser sans délai la CAI ainsi que les personnes concernées. Cette démarche permet aux individus touchés de prendre rapidement les mesures nécessaires pour se protéger.
Pour évaluer le niveau de risque et savoir comment réagir de manière appropriée, la CAI met à disposition un guide pratique sur les incidents de confidentialité. Ce document s’avère particulièrement utile pour les PME qui ne disposent pas d’un service juridique interne.
Mettre en place une politique de confidentialité conforme
La Loi 25 vous oblige à publier une politique de confidentialité claire, à jour et facile à consulter, en particulier sur votre site web.
Dans cette politique, expliquez clairement :
Quels renseignements personnels vous recueillez;
Pourquoi vous les collectez;
Comment vous les stockez et les protégez;
Combien de temps vous les conservez;
Et comment chaque personne peut exercer ses droits (accès, rectification, retrait du consentement).
Ne vous contentez pas de copier un modèle générique. Adaptez votre politique à vos pratiques réelles. Si vous utilisez des outils comme Google Analytics, un CRM ou des formulaires en ligne, mentionnez-les. Vos visiteurs doivent savoir à quoi s’en tenir.
Pour apprendre à rédiger une politique conforme, consultez cet article complet sur la Loi 25. Il vous guide pas à pas et vous aide à inclure tous les éléments essentiels.
Le droit à la portabilité des données
La Loi 25 introduit le droit à la portabilité. Ce droit permet à chaque individu de demander une copie de ses renseignements personnels dans un format structuré, lisible et couramment utilisé.
Par conséquent, votre entreprise doit donc être en mesure d’extraire ces donnée et de les transmettre sous un format standard tel que CSV, JSON ou XML. Ces informations incluent le nom, les achats, les préférences ou tout autre renseignement pertinent.
De plus, si la technologie le permet, l’utilisateur peut aussi vous demander de transférer ses données directement à une autre entreprise. Autrement dit, ce droit facilite le changement de fournisseur et donne aux utilisateurs un vrai contrôle sur leurs données personnelles.
Toutefois, ce droit ne s’applique qu’aux renseignements collectés directement auprès de la personne concernée. En d’autres termes, vous n’êtes pas tenu de transférer les données déduites ou générées par vos propres systèmes internes. Les analyses comportementales et les scores de risque font partie des renseignements que vous n’êtes pas tenu de divulguer.
Sensibiliser vos employés à la Loi 25
La conformité ne repose pas uniquement sur vos outils ou votre politique de confidentialité. Elle passe aussi par l’humain. En effet, vos employés sont souvent les premiers à manipuler des données personnelles : réception d’un courriel, gestion d’un CRM, collecte d’informations client…
C’est pourquoi il est essentiel de former votre équipe. Assurez-vous que chacun comprenne ce qu’est un renseignement personnel, ce qu’il peut ou ne peut pas faire avec, et comment réagir en cas d’incident. Même une petite erreur humaine peut entraîner un non-respect de la Loi 25.
De plus, vous pouvez intégrer des rappels dans vos processus internes, comme une procédure simple à suivre en cas de doute. En créant une culture de la confidentialité, vous renforcez votre conformité et réduisez les risques d’erreurs.
L’importance d’un audit de conformité
Avant d’être conforme, encore faut-il savoir où vous en êtes. C’est là qu’intervient l’audit. Réaliser un audit de conformité vous permet d’avoir un portrait clair de vos pratiques actuelles en matière de données personnelles.
Il s’agit d’un diagnostic qui passe en revue votre site web, vos formulaires, vos logiciels, vos contrats et vos processus internes. Grâce à cette évaluation, vous pouvez identifier les écarts, corriger ce qui doit l’être, et documenter vos efforts — ce qui est un excellent moyen de démontrer votre bonne foi en cas de vérification.
Par ailleurs, cet audit peut être fait à l’interne si vous avez les ressources, ou confié à un expert externe pour plus d’objectivité. Dans tous les cas, c’est un outil précieux pour passer de la théorie à l’action.
Quelles sont les sanctions en cas de non-conformité à la Loi 25?
La Loi 25 prévoit des sanctions sévères pour les entreprises qui ne respectent pas leurs obligations. En effet, contrairement aux lois précédentes, où les conséquences étaient limitées, la Loi 25 marque un véritable changement. Elle accorde à la Commission d’accès à l’information (CAI) des pouvoirs accrus pour imposer des sanctions administratives et pénales.
Amendes financières et risques légaux
Si vous ne respectez pas la Loi 25, vous vous exposez à des sanctions importantes. La CAI peut imposer des amendes pouvant atteindre 10 millions de dollars ou 2 % de votre chiffre d’affaires mondial, selon le montant le plus élevé. Ces sanctions visent les infractions administratives, comme le manque de transparence ou l’absence de consentement valide.
Si vous refusez de collaborer avec la CAI ou que vous gérez les données personnelles de façon négligente, les conséquences sont encore plus lourdes. Dans ces cas plus graves, la pénalité peut grimper jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial annuel.
Ces montants sont comparables à ceux du RGPD en Europe, ce qui montre à quel point le gouvernement du Québec prend la protection de la vie privée au sérieux. La Loi 25 ne fait pas de distinction entre grandes entreprises et PME : tout le monde est concerné, et la rigueur est désormais la norme.
Les PME aussi sont concernées
Ne pensez pas que la Loi 25 vise uniquement les grandes entreprises. En réalité, la CAI rappelle régulièrement que les PME, les travailleurs autonomes et les organismes communautaires doivent eux aussi s’y conformer. Autrement dit, quelle que soit la taille de votre entreprise, vous devez appliquer les mêmes principes de transparence, de sécurité et de responsabilité dans la gestion des renseignements personnels.
Les conséquences sur la réputation
Au-delà des amendes, une mauvaise gestion de la confidentialité peut avoir des effets désastreux sur la réputation d’une entreprise. Une fuite de données, surtout si elle n’est pas déclarée ou mal gérée, peut entraîner :
Une perte de confiance des clients;
Une couverture médiatique négative;
Une diminution des ventes;
Ainsi que des litiges potentiels.
Bref, mieux vaut prévenir que guérir. Une entreprise proactive, qui met en place des mécanismes de conformité clairs, inspire confiance — et évite de devoir réagir dans l’urgence.
Comment assurer la conformité de votre entreprise à la Loi 25?
La meilleure façon de vous protéger est d’agir maintenant. Voici les premières étapes recommandées :
Faites l’inventaire des données personnelles que vous collectez
Désignez votre responsable à la protection des renseignements personnels (RPRP)
Mettez à jour ou rédigez votre politique de confidentialité
Implémentez un registre des incidents de confidentialité
Évaluez vos outils numériques et vos pratiques de collecte
Finalement, assurez-vous que vos formulaires Web, infolettres, et systèmes CRM respectent la Loi 25
Vous pouvez consulter le guide officiel de conformité pour les entreprises publié par la CAI, qui fournit une feuille de route claire.
Par ailleurs, si vous manquez de temps ou d’expertise, vous pouvez aussi faire appel à une agence spécialisée ou un consultant en cybersécurité et conformité numérique.
Conclusion : mieux vaut prévenir que payer
En conclusion, la Loi 25 transforme en profondeur la façon dont les entreprises québécoises gèrent les données personnelles. Vous ne pouvez plus vous contenter de mettre à jour votre politique de confidentialité. Vous devez adopter une culture complète de gestion responsable des renseignements personnels.
En vous conformant à la Loi 25, vous respectez la loi, vous protégez vos clients, vous renforcez leur confiance et vous évitez des coûts évitables. Ce n’est pas une simple obligation administrative. C’est un investissement stratégique dans la crédibilité et la durabilité de votre entreprise.
