Loi 25 — Pleinement en vigueur

Guide complet sur la conformité
à la Loi 25 au Québec.

La Loi 25 (LQ 2021, c. 25) est pleinement en vigueur depuis septembre 2024. Toute entreprise traitant des renseignements personnels au Québec doit s'y conformer — sous peine d'amendes pouvant atteindre 25 000 000 $. Voici ce que vous devez savoir.

Mise à jour Avril 2026 Sources : CAI · LQ 2021, c. 25 Lecture : ~12 min
Voir la checklist Diagnostic gratuit en 10 questions →

Qu'est-ce que la Loi 25 ?

La Loi 25, officiellement la « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels » (LQ 2021, c. 25), modifie en profondeur la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) et la Loi sur l'accès aux documents des organismes publics. Elle s'inscrit dans la tendance mondiale de modernisation des cadres juridiques (RGPD européen, lois sectorielles canadiennes), avec l'ambition de redonner aux citoyens un contrôle réel sur leurs données.

L'autorité de contrôle est la Commission d'accès à l'information du Québec (CAI). Toute la documentation officielle, les guides méthodologiques et les outils sont disponibles sur cai.gouv.qc.ca.

Calendrier de mise en œuvre

Sept. 2022 Désignation du RPRP et mise en place d'une gouvernance documentée des renseignements personnels.
Sept. 2023 EFVP, déclaration d'incidents, portabilité, droit à la désindexation, consentement — phase la plus dense d'obligations.
Sept. 2024 Portabilité complète des données et droit de contester les décisions automatisées. Loi pleinement en vigueur.
Référence

Texte officiel : Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) · Autorité : Commission d'accès à l'information du Québec

Qui est concerné par la Loi 25 ?

La Loi 25 s'applique à toute entreprise ou organisation qui collecte, détient, utilise ou communique des renseignements personnels au Québec — peu importe sa taille, son secteur ou son statut juridique. Il n'existe aucun seuil minimal.

Sont notamment couverts :

  • Les PME (commerces, services, manufactures, professionnels)
  • Les travailleurs autonomes et professionnels en pratique privée
  • Les organismes à but non lucratif (OBNL) et associations
  • Les entreprises basées hors Québec qui font affaire avec des Québécois ou ciblent ce marché
  • Les filiales canadiennes d'organisations étrangères opérant au Québec
Important

Un site web accessible aux résidents québécois et qui collecte une adresse courriel (formulaire de contact, infolettre, compte utilisateur) suffit à rendre votre organisation assujettie à la Loi 25. Le critère est l'activité, pas l'établissement.

Les obligations principales de la Loi 25

La Loi 25 impose sept grandes catégories d'obligations. Les ignorer expose l'organisation à des sanctions importantes — et à un risque réputationnel réel.

01 · Désigner un RPRP

Obligatoire depuis septembre 2022. Par défaut, c'est la personne ayant la plus haute autorité dans l'organisation qui est le Responsable de la protection des renseignements personnels. Elle peut déléguer cette responsabilité, mais demeure ultimement imputable. Le nom et les coordonnées du RPRP doivent être publiés sur le site web de l'organisation.

02 · Politiques de gouvernance

Établir et publier des politiques encadrant la gouvernance des renseignements personnels : politique de confidentialité accessible sur le site, procédures internes documentées, cadre de gouvernance qui définit rôles, responsabilités et processus.

03 · Conduire des EFVP

Une Évaluation des facteurs relatifs à la vie privée (EFVP) est obligatoire depuis septembre 2023 avant tout nouveau projet impliquant des renseignements personnels — nouveau logiciel, application, CRM, restructuration organisationnelle. La méthodologie de la CAI est la référence.

04 · Déclarer les incidents de confidentialité

Tout incident présentant un « risque sérieux de préjudice » doit être déclaré à la CAI et aux personnes concernées avec diligence. L'organisation doit également maintenir un registre de tous les incidents — peu importe leur gravité.

05 · Recueillir un consentement explicite

Le consentement doit être libre, éclairé, donné pour des fins spécifiques et manifesté de façon non équivoque. Les cases pré-cochées et le consentement implicite ne sont plus valides. Les bannières de cookies, formulaires d'inscription et processus d'opt-in doivent être revus.

06 · Respecter les droits individuels

Les personnes concernées bénéficient de droits renforcés :

  • Droit d'accès à leurs renseignements (réponse dans 30 jours, extensible à 60)
  • Droit de rectification en cas d'inexactitude
  • Droit à l'effacement sous certaines conditions
  • Droit à la portabilité — recevoir les données dans un format structuré et couramment utilisé
  • Droit de contester une décision prise par traitement automatisé

07 · Encadrer les transferts hors Québec

Tout transfert de renseignements personnels à l'extérieur du Québec doit faire l'objet d'une EFVP préalable, garantir un niveau de protection équivalent à celui du Québec, et être formalisé par contrat.

Les sanctions en cas de non-conformité

Les sanctions prévues par la Loi 25 sont parmi les plus sévères au Canada en matière de protection des renseignements personnels. Elles se déclinent en deux régimes :

Administratives — CAI
10M$

Ou 2 % du chiffre d'affaires mondial — selon le plus élevé. Sanctions imposées directement par la Commission d'accès à l'information.

Pénales — Tribunaux
25M$

Ou 4 % du chiffre d'affaires mondial. Pour les individus : jusqu'à 100 000 $. Procédures intentées par le DPCP.

Au-delà des amendes, l'impact d'une non-conformité comprend : poursuites civiles (dommages-intérêts), atteinte réputationnelle (couverture médiatique, perte de confiance) et érosion de la relation client et fournisseurs.

Checklist de conformité à la Loi 25

Les dix étapes essentielles pour qu'une organisation au Québec atteigne — et maintienne — la conformité :

Désigner un RPRP et publier ses coordonnées

Obligatoire depuis septembre 2022. La personne, son rôle et un point de contact doivent figurer sur le site web.

Cartographier les renseignements personnels détenus

Quoi, pourquoi, où, qui y accède, durée de conservation, partages avec des tiers.

Rédiger et publier une politique de confidentialité

Claire, accessible, et tenue à jour. Elle doit décrire les pratiques réelles de l'organisation.

Implémenter un consentement valide

Bannières, formulaires, processus d'opt-in conformes. Aucune case pré-cochée. Granularité par finalité.

Tenir un registre des incidents de confidentialité

Procédures de notification à la CAI et aux personnes concernées dans les délais légaux.

Conduire les EFVP pour tout projet technologique

Obligatoire depuis sept. 2023. Suivre la méthodologie CAI. Documenter les mesures de mitigation.

Renforcer la sécurité technique

Chiffrement (repos/transit), MFA, accès par rôles, journalisation, sauvegardes chiffrées, plan de réponse à incident.

Former les employés

Obligations, procédures internes, reconnaissance et signalement des incidents. Formation continue.

Documenter les procédures pour les droits individuels

Accès (30 jours), rectification, effacement, portabilité — chaque processus tracé et auditable.

Effectuer des revues annuelles de conformité

La conformité est continue — pas un projet ponctuel. Une posture qui se maintient.

Comment Synéra vous accompagne

Synéra concentre toute son expertise sur la conformité aux lois de protection des renseignements personnels. Notre approche s'articule autour de quatre programmes complémentaires conçus pour répondre à chaque étape de votre parcours :

  • Synéra Check — diagnostic complet de votre posture actuelle
  • Synéra Conforme — mise en conformité clé en main
  • Synéra Vigile — gouvernance continue, veille réglementaire, revue trimestrielle
  • RPRP à la demande — un RPRP désigné, joignable, accountable — sans recruter un poste à plein temps

Pour les volets qui sortent de notre champ d'expertise (TI, conseil juridique, formation), nous orchestrons un écosystème de partenaires d'excellence — RB Avocats, Conformaze, ITGS et l'AAPI. Découvrir nos partenaires →

Vous obtenez un seul interlocuteur, plusieurs spécialistes mobilisés au besoin, et une piste d'audit défendable.

Questions fréquentes

/ 01 Mon entreprise est-elle assujettie à la Loi 25 ?
Toute entreprise ou organisation qui collecte, détient, utilise ou communique des renseignements personnels au Québec est assujettie à la Loi 25 — sans seuil minimal de taille. Cela inclut les PME, travailleurs autonomes, OBNL et entreprises hors Québec qui font affaire avec des Québécois.
/ 02 Qu'est-ce qu'un RPRP et qui doit le désigner ?
Le Responsable de la protection des renseignements personnels (RPRP) est obligatoire depuis septembre 2022. Par défaut, c'est la personne ayant la plus haute autorité dans l'organisation, mais cette responsabilité peut être déléguée. Son nom et ses coordonnées doivent être publiés sur le site web.
/ 03 Qu'est-ce qu'une EFVP ?
Une Évaluation des facteurs relatifs à la vie privée est obligatoire depuis septembre 2023 avant tout nouveau projet impliquant des renseignements personnels — nouveau logiciel, application, CRM ou restructuration. Elle doit suivre le guide méthodologique de la CAI.
/ 04 Quelles sont les sanctions en cas de non-conformité ?
Les amendes administratives peuvent atteindre 10 M$ ou 2 % du chiffre d'affaires mondial. Les amendes pénales peuvent atteindre 25 M$ ou 4 % du chiffre d'affaires mondial. Pour les individus, les amendes peuvent atteindre 100 000 $.
/ 05 Comment Synéra accompagne-t-elle les PME ?
Synéra offre un accompagnement complet : diagnostic initial, désignation du RPRP, élaboration des politiques de gouvernance, conduite des EFVP, formation des équipes et soutien continu. Quatre programmes principaux : Synéra Check, Synéra Conforme, Synéra Vigile, et le RPRP à la demande.
/ 06 Combien de temps faut-il pour être conforme ?
Pour une PME de petite taille, un parcours complet vers la conformité peut être réalisé en 4 à 8 semaines. Pour une organisation plus complexe, il faut généralement compter 3 à 6 mois. Mais la conformité est continue — c'est une posture, pas un projet ponctuel.
/ 07 Quelle est la différence entre la Loi 25 et le RGPD ?
La Loi 25 et le RGPD partagent une philosophie commune mais diffèrent sur plusieurs aspects : portée géographique, définitions, droits accordés aux personnes concernées et montants des sanctions. Une entreprise déjà conforme au RGPD a une longueur d'avance, mais doit ajuster certaines pratiques pour respecter pleinement la Loi 25.
— Prêt à démarrer ?

Démarrons votre conformité.

Diagnostic gratuit, parcours sur mesure, accompagnement humain. Une seule conversation pour savoir où vous en êtes — et ce qu'il vous reste à faire.

Évaluation gratuite 438-686-4693