Retour à tous les articles

Protection des Renseignements Personnels

Comprendre et appliquer la Loi 25

Pourquoi la loi 25 est incontournable?

Anciennement appelé projet de Loi 64, la Loi 25 est devenue la pierre angulaire de la protection des renseignements personnels au Québec. C'est également un alignement des standards internationaux comme RGPD (Règlement Général sur la Protection des Données) et elle impose aux organismes privés et publics des responsabilités nouvelles et renforcées.

  • En 2025, toutes les dispositions de la Loi 25 sont pleinement en vigueur. Enfreindre cette loi, c’est s’exposer à des sanctions sévères, mais surtout à une perte de confiance des clients.

Ce que la Loi 25 change concrètement

-Entrée en vigueur par étapes:

  • Septembre 2022: l’obligation de nommer un Responsable de la Protection des Renseignements Personnels (RPRP), et déclaration des incidents
  • Septembre 2023: les nouvelles obligations de transparence, la portabilité, la destruction des données, politiques claires
  • Septembre 2024: le droit à l’exploitation pour les décisions automatisées, respect du droit à l’oubli, consentement explicite requis.

-Organisations concernées:

  • Toute entreprise ou organisme public opérant au Québec ou traitant les données de citoyens québécois

-En cas de non-conformité:

  • Amendes jusqu’à 25M$ ou 4% du chiffre d’affaires mondial
  • Sanction en cas de l’absence de signalement obligatoire des incidents sous 72h
  • Poursuite civiles facilitées par le recours collectif

Les clients ou citoyens exigent :

  • Plus de transparence
  • Plus de contrôle sur leurs données
  • Des garanties sur l’usage de l’IA et des algorithmes utilisés

Sept (07) Obligations clés de la Loi 25

  1. Nommer un responsable officiel
  2. Tenir un registre des incidents de confidentialité
  3. Informer les individus concernés en cas ou pour des fins précises de collecte des renseignements personnels (Données)
  4. Obtenir un consentement libre, éclairé et explicite
  5. Mettre en place une politique de confidentialité claire, publique et accessible
  6. Permettre la portabilité des données sur demande
  7. Mettre en place un processus pour le droit à l’oubli

Recommandations clés

Pour les PME:

  • Produire un inventaire des données personnelles traitées
  • Mettre en œuvre des mesures de sécurité minimales (chiffrement, accès restreint, journalisation)
  • Utiliser des formulaires de consentement clairs
  • Adopter une politique de confidentialité simple et à jour

Pour les grandes entreprises:

  • Intégrer la vie privée dès la conception (Privacy by design)
  • Effectuer des analyses d’Impact sur la Protection des Renseignements Personnels (AIPRP) avant tout nouveau projet numérique
  • Surveiller les flux de données vers l’extérieur (fournisseurs, Cloud)
  • Prévoir une procédure de réponse aux incidents sur la Loi 25

La loi 25 vise à l’examen de la posture numérique dans l’optique de gagner la confiance des clients ou citoyens et de restructurer la gouvernance des données personnelles.

Plus d'articles

Cyberrisque & L’humain

le 24 octobre 2025

Nous constatons qu'en 2025, les cybercriminels cibleront davantage les individus que les systèmes avec des campagnes de phishing de plus en plus crédibles, personnalisées et localisées et l'exploitation des données humaines.

Lire plus