La Loi 25 en bref
La Loi 25, officiellement intitulée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (P.L. 64), est entrée en vigueur par étapes entre septembre 2022 et septembre 2023. Elle modernise deux lois existantes : la Loi sur la protection des renseignements personnels dans le secteur privé (P-39.1) pour les entreprises, et la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (A-2.1) pour le secteur public.
Cette loi s'applique à toute organisation québécoise — entreprise, OBNL, municipalité ou organisme public — qui collecte, utilise, conserve ou communique des renseignements personnels. Il n'existe pas de seuil minimum : une PME de cinq employés est aussi concernée qu'une grande entreprise.
La Loi 25 place le Québec parmi les juridictions les plus exigeantes en Amérique du Nord en matière de protection de la vie privée, s'inspirant largement du RGPD européen.
Les obligations principales
Les organisations québécoises doivent satisfaire à plusieurs obligations clés :
- Responsable de la protection des renseignements personnels (RPRP) : désigner un responsable et publier ses coordonnées sur le site web de l'organisation
- Politique de gouvernance : adopter et publier une politique encadrant la gestion des renseignements personnels
- Registre des incidents : tenir un registre de tous les incidents de confidentialité (même sans notification obligatoire) et notifier la Commission d'accès à l'information (CAI) ainsi que les personnes concernées lorsqu'un risque sérieux existe
- Évaluations des facteurs relatifs à la vie privée (EFVP) : réaliser une EFVP avant tout projet impliquant des renseignements personnels, et avant tout transfert hors Québec
- Droits des personnes : honorer les demandes de désinscription, d'accès, de rectification et de portabilité des renseignements
- Gestion du consentement : obtenir un consentement valide, séparé et documenté pour chaque finalité de collecte
- Inventaire des renseignements : documenter les catégories de renseignements détenus, leur localisation et les tiers qui y ont accès
Les sanctions
La Commission d'accès à l'information (CAI) dispose de pouvoirs d'enquête et de sanction élargis depuis septembre 2023. Les pénalités administratives peuvent atteindre 25 000 000 $ ou 4 % du chiffre d'affaires mondial de l'organisation pour les infractions les plus graves, selon le montant le plus élevé.
Des sanctions pénales s'ajoutent pour certaines infractions spécifiques. Les dirigeants d'organisations peuvent être tenus personnellement responsables s'ils ont autorisé une infraction ou y ont participé.
Au-delà des amendes, les organisations s'exposent à des atteintes réputationnelles significatives dans un marché où la confiance des clients est un actif stratégique.
Étapes pratiques pour se conformer
1. Nommer un responsable
Désignez un RPRP, idéalement un membre de la direction. Ce n'est pas un rôle purement symbolique : cette personne doit comprendre vos processus et avoir l'autorité nécessaire pour appliquer les politiques.
2. Faire l'inventaire de vos renseignements
Cartographiez quels renseignements personnels vous détenez, où ils sont stockés, qui y a accès et combien de temps vous les conservez. Cet inventaire est le fondement de toutes les autres démarches.
3. Adopter une politique de gouvernance
Rédigez et publiez une politique qui couvre : les finalités de collecte, les mesures de sécurité, les règles de conservation et de destruction, et la procédure en cas d'incident.
4. Mettre en place le registre des incidents
Tout incident touchant des renseignements personnels doit être consigné, même si aucune notification n'est requise. Un registre structuré simplifie les décisions de notification et démontre votre diligence à la CAI.
5. Évaluer vos projets avant de les lancer
Pour tout nouveau projet impliquant des renseignements personnels (nouveau CRM, nouvelle intégration, nouvel outil RH), réalisez une EFVP avant de commencer. Cette évaluation identifie les risques et documente les mesures prises pour les atténuer.
Conclusion
La conformité à la Loi 25 n'est pas un projet ponctuel. C'est un programme continu qui demande de la rigueur, de la documentation et des processus adaptés à la taille de votre organisation.
Observantia a été conçu pour simplifier ce travail : gestion des incidents, évaluations des facteurs, registres et rapports, le tout dans une plateforme structurée autour des exigences réelles de la Loi 25. Essayez gratuitement pendant 14 jours.