La Loi 25 du Québec : tout ce que votre entreprise doit savoir en 2026
La Loi 25, officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, impose depuis 2022 de nouvelles obligations aux entreprises québécoises. Ce guide vous explique tout ce que vous devez savoir pour vous conformer.
1. Qu'est-ce que la Loi 25 ?
La Loi 25 a été adoptée le 22 septembre 2021 par l'Assemblée nationale du Québec. Son nom complet est la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Elle modifie plusieurs lois existantes, dont la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l'accès aux documents des organismes publics.
L'objectif de la Loi 25 est de renforcer la protection des renseignements personnels des citoyens québécois en imposant de nouvelles obligations aux entreprises qui collectent, utilisent et communiquent ces données.
La mise en œuvre de la Loi 25 s'est faite en trois phases : septembre 2022, septembre 2023 et septembre 2024. Depuis septembre 2024, toutes les obligations sont en vigueur et les entreprises doivent être pleinement conformes.
2. Qui est concerné par la Loi 25 ?
Toutes les entreprises qui exercent des activités au Québec et qui collectent, utilisent, communiquent ou conservent des renseignements personnels sont visées par la Loi 25. Cela inclut :
- Les PME et travailleurs autonomes
- Les grandes entreprises et multinationales opérant au Québec
- Les organismes publics et municipalités
- Les OBNL (organismes à but non lucratif)
- Les ordres professionnels
Il n'y a aucune exemption basée sur la taille de l'entreprise. Même un travailleur autonome qui collecte les noms et courriels de ses clients est assujetti à la Loi 25.
3. Les obligations principales de la Loi 25
🔒 Politique de confidentialité
Publier sur votre site web une politique de confidentialité claire et accessible, détaillant quels renseignements vous collectez, pourquoi et comment ils sont protégés.
⚠️ Gestion des incidents
Mettre en place une procédure pour détecter, signaler et gérer les incidents de confidentialité. Tout incident présentant un risque sérieux doit être signalé à la Commission d'accès à l'information (CAI) et aux personnes concernées.
📊 Registre des incidents
Tenir un registre de tous les incidents de confidentialité, même ceux qui ne présentent pas un risque sérieux de préjudice.
✍️ Consentement
Obtenir le consentement manifeste, libre et éclairé des personnes avant de collecter, utiliser ou communiquer leurs renseignements personnels.
💾 Conservation et destruction
Établir des règles claires pour la durée de conservation des renseignements personnels et leur destruction sécurisée lorsqu'ils ne sont plus nécessaires.
📝 Traitement des plaintes
Mettre en place un processus pour traiter les plaintes et les demandes d'accès, de rectification ou de suppression des renseignements personnels.
4. Le rôle du Responsable de la Protection des Renseignements Personnels (RPRP)
Chaque entreprise doit désigner un Responsable de la Protection des Renseignements Personnels (RPRP). Par défaut, cette fonction est exercée par la personne ayant la plus haute autorité dans l'organisation (président, directeur général).
Le RPRP peut être délégué à un autre membre du personnel par écrit. Le titre et les coordonnées du RPRP doivent être publiés sur le site web de l'entreprise.
Les responsabilités du RPRP incluent : veiller à la conformité de l'entreprise, gérer les incidents de confidentialité, répondre aux demandes des citoyens et agir comme point de contact avec la CAI.
5. Les documents obligatoires pour la conformité
Pour être conforme à la Loi 25, votre entreprise doit produire et maintenir les documents suivants :
🔒 Politique de Confidentialité
Détaille comment vous collectez et protégez les données
⚠️ Gestion des Incidents
Procédure pour gérer et signaler les incidents
📊 Registre des Incidents
Consignez tous les incidents de confidentialité
💾 Politique de Conservation
Durées de conservation et destruction sécurisée
✍️ Formulaire de Consentement
Consentement explicite pour la collecte de données
📝 Traitement des Plaintes
Gérez les demandes d'accès et rectifications
Obtenez tous ces documents en un seul pack
Pack Complet Loi 25 — 149$ →6. Les sanctions en cas de non-conformité
La Commission d'accès à l'information (CAI) dispose de pouvoirs importants pour sanctionner les entreprises non conformes :
Sanctions administratives pécuniaires
- Jusqu'à 10 millions de dollars ou 2% du chiffre d'affaires mondial
- Appliquées directement par la CAI sans passer par les tribunaux
Poursuites pénales
- Amendes jusqu'à 25 millions de dollars ou 4% du chiffre d'affaires mondial
- Possibilité de poursuites individuelles contre les dirigeants
7. Les étapes pour se conformer à la Loi 25
Désigner votre RPRP
Nommez un responsable de la protection des renseignements personnels et publiez ses coordonnées.
Faire l'inventaire de vos données
Identifiez quels renseignements personnels vous collectez, où ils sont stockés et qui y a accès.
Rédiger vos documents obligatoires
Créez votre politique de confidentialité, procédure de gestion des incidents, registre et autres documents requis.
Mettre en place les processus
Implémentez les processus de consentement, gestion des incidents et traitement des plaintes.
Former votre personnel
Sensibilisez vos employés aux bonnes pratiques de protection des renseignements personnels.
Commencez votre conformité dès maintenant
Générez tous vos documents Loi 25 en quelques minutes avec Loi25Québec.