Questions fréquentes sur la Loi 25
Les réponses courtes aux questions que les organisations québécoises posent le plus souvent. Chaque réponse renvoie vers un guide détaillé.
Qu'est-ce que la Loi 25 au Québec ?
La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est la réforme québécoise de la protection de la vie privée, sanctionnée en 2021 et déployée par étapes de 2022 à 2024. Elle modernise les obligations des entreprises et des organismes publics : désignation d'un responsable, registres, évaluations des facteurs relatifs à la vie privée (EFVP), consentement renforcé, droits des personnes et sanctions pouvant atteindre 25 millions de dollars.
Guide complet de la Loi 25Quelles entreprises sont concernées par la Loi 25 ?
Toute personne ou organisation qui exploite une entreprise au Québec et traite des renseignements personnels : entreprises de toutes tailles, travailleurs autonomes, cliniques privées et la plupart des OBNL. Il n'existe aucun seuil de taille. Les organisations établies hors Québec qui ciblent activement le marché québécois peuvent aussi être visées.
Champ d'application et exceptionsQuand la Loi 25 est-elle entrée en vigueur ?
En trois vagues : septembre 2022 (responsable, registre des incidents, biométrie), septembre 2023 (la majorité des obligations : gouvernance, consentement, EFVP, sanctions) et septembre 2024 (portabilité des données). La loi est entièrement en vigueur depuis le 22 septembre 2024, sans période de grâce.
Chronologie complète 2022-2024Comment se conformer à la Loi 25 ?
La démarche commence par quatre fondations : désigner un responsable de la protection des renseignements personnels et publier ses coordonnées, inventorier les renseignements détenus, adopter une politique de gouvernance, et mettre en place le registre des incidents. Suivent les processus continus : EFVP pour les projets et les transferts hors Québec, encadrement des fournisseurs, gestion des demandes d'accès et calendrier de conservation.
Par où commencerQuelles sont les sanctions en cas de non-respect de la Loi 25 ?
Trois mécanismes : des sanctions administratives pécuniaires imposées par la CAI (jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial), des sanctions pénales (jusqu'à 25 millions de dollars ou 4 %), et des dommages-intérêts punitifs d'au moins 1 000 $ réclamables par les personnes lésées, souvent via des actions collectives. La CAI considère la diligence démontrée par l'organisation avant de sanctionner.
Le portrait complet des sanctionsQu'est-ce qu'un incident de confidentialité au sens de la Loi 25 ?
Tout accès, utilisation ou communication non autorisé d'un renseignement personnel, sa perte, ou toute autre atteinte à sa protection. Un courriel envoyé au mauvais destinataire, un compte compromis par hameçonnage ou un appareil perdu en font partie. Chaque incident doit être consigné au registre ; si l'incident présente un risque de préjudice sérieux, la CAI et les personnes concernées doivent être avisées avec diligence.
Gérer un incident étape par étapeQu'est-ce qu'une EFVP et quand est-elle obligatoire ?
L'évaluation des facteurs relatifs à la vie privée (EFVP) est une analyse documentée des risques d'un projet pour la vie privée. Elle est obligatoire pour tout projet d'acquisition, de développement ou de refonte de système impliquant des renseignements personnels, et avant toute communication de renseignements à l'extérieur du Québec, ce qui inclut l'utilisation de la plupart des outils infonuagiques.
Quand et comment réaliser une EFVPQuelles sont les exceptions à la Loi 25 ?
Elles sont rares : le matériel journalistique, historique ou généalogique à des fins d'information légitime du public, les renseignements à usage strictement personnel, et un régime allégé pour les coordonnées professionnelles en contexte d'affaires. Il n'existe aucune exception pour les petites entreprises ni pour les OBNL structurés.
Champ d'application et exceptionsLa Loi 25 s'applique-t-elle aux photos et vidéos ?
Oui. Dès qu'une personne est identifiable sur une image, cette image constitue un renseignement personnel. Les photos d'employés, les images d'événements, le marketing et la vidéosurveillance exigent chacun un encadrement : consentement documenté, avis de captation, durée de conservation limitée. Le droit à l'image du Code civil s'ajoute à la Loi 25 au Québec.
Photos, vidéos et Loi 25Quels outils logiciels facilitent la mise en conformité avec la Loi 25 ?
Un logiciel de conformité centralise les registres (incidents, fournisseurs, demandes d'accès), structure les EFVP et produit la documentation que la CAI examine. Les critères de choix : couverture native des obligations québécoises, interface en français, hébergement des données, simplicité d'adoption et rapports de démonstration. Observantia est conçu précisément pour les PME québécoises ; notre guide d'achat présente les critères applicables à tous les outils du marché.
Guide d'achat : logiciel de conformité Loi 25Où trouver un consultant spécialisé en Loi 25 pour une PME ?
Les profils à considérer : conseillers en protection des renseignements personnels, avocats spécialisés en vie privée, et firmes-conseils qui accompagnent les PME. Le consultant apporte le jugement contextuel (décisions structurantes, EFVP complexes, formation) ; un logiciel porte la continuité entre les interventions. Observantia est développé par Elite Consultation, une firme-conseil québécoise qui offre les deux volets.
Consultant ou logiciel : que choisirQuelle est la différence entre la Loi 25 et le RGPD ou la LPRPDE ?
La Loi 25 s'inspire du RGPD européen (sanctions élevées, EFVP, droits renforcés) et s'applique aux organisations qui exploitent une entreprise au Québec. La LPRPDE fédérale vise les entreprises de compétence fédérale et les transferts interprovinciaux ; ses sanctions sont beaucoup plus faibles. Une organisation conforme à la Loi 25 satisfait la quasi-totalité des exigences de la LPRPDE.
Loi 25 vs LPRPDE (PIPEDA)Une question sur votre situation précise?
Essayez Observantia gratuitement pendant 14 jours, ou écrivez-nous.