Conformité québécoise — Loi 25

Guide complet sur la conformité
à la Loi 25 au Québec

La Loi 25 (LQ 2021, c. 25) est pleinement en vigueur depuis septembre 2023. Toute entreprise qui traite des renseignements personnels au Québec doit s'y conformer, sous peine d'amendes pouvant atteindre 25 000 000 $.

Mis à jour : avril 2026 · Sources : Commission d'accès à l'information du Québec (CAI) · LQ 2021, c. 25

Voir la checklist de conformité Diagnostic gratuit en 10 questions →
Sections : Qu'est-ce que la Loi 25 Qui est concerné Obligations Sanctions Checklist Notre accompagnement FAQ
Section 1

Qu'est-ce que la Loi 25?

La Loi 25, dont le titre officiel est la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (LQ 2021, c. 25), est une loi québécoise adoptée en septembre 2021 qui modernise en profondeur le cadre légal de protection des données personnelles au Québec.

Elle modifie principalement deux lois existantes : la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) et la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l'accès). La Loi 25 s'inscrit dans une tendance mondiale de renforcement des droits des individus sur leurs données personnelles, à l'image du RGPD européen.

La mise en œuvre de la Loi 25 s'est faite de façon progressive sur trois ans :

Septembre 2022

Désignation du responsable de la protection des renseignements personnels (RPRP) et gouvernance.

Septembre 2023

EFVP, déclaration des incidents, portabilité des données, droit à la désindexation, consentement.

Septembre 2024

Portabilité des données à portée complète et décision automatisée avec possibilité de contestation humaine.

La Commission d'accès à l'information du Québec (CAI) est l'organisme gouvernemental chargé de surveiller l'application de la Loi 25, d'informer le public et les organisations sur leurs droits et obligations, et d'imposer des sanctions en cas de non-conformité. La CAI publie des guides pratiques et des lignes directrices pour aider les organisations à se conformer. Pour plus d'information, consultez le site officiel de la CAI : cai.gouv.qc.ca.

Section 2

Qui est concerné par la Loi 25?

La Loi 25 a une portée très large. Elle s'applique à toute entreprise ou organisation qui collecte, détient, utilise ou communique des renseignements personnels dans le cadre de l'exercice d'une activité commerciale au Québec. Il n'y a pas de seuil minimal de taille d'entreprise ou de volume de données traité.

🏢
PME

Toutes les PME qui traitent des données de clients, employés ou fournisseurs.

👤
Travailleurs autonomes

Même les indépendants qui collectent des données clients sont assujettis.

🤝
OBNL

Les organismes sans but lucratif sont également visés s'ils traitent des données personnelles.

🌍
Entreprises hors Québec

Toute entreprise ailleurs au Canada ou à l'étranger faisant affaire avec des Québécois.

Important : Le simple fait d'avoir un site Web accessible par des résidents québécois et de collecter leurs adresses courriel via un formulaire de contact suffit à vous assujettir à la Loi 25. Si vous n'êtes pas certain que la loi s'applique à votre situation, Synéra peut vous aider à le déterminer lors d'une consultation initiale gratuite.

Section 3

Les obligations principales de la Loi 25

La Loi 25 impose sept grandes catégories d'obligations aux entreprises québécoises. Voici ce que vous devez mettre en place.

01 Désigner un responsable de la protection des renseignements personnels (RPRP)

Toute entreprise doit désigner une personne responsable de la protection des renseignements personnels. Par défaut, il s'agit de la personne ayant la plus haute autorité dans l'organisation. Elle peut déléguer ses fonctions, mais demeure ultimement responsable. Son nom et ses coordonnées doivent être publiés sur votre site Web. En vigueur depuis septembre 2022.

02 Adopter des politiques de gouvernance des renseignements personnels

Vous devez établir et publier des politiques et pratiques encadrant la gouvernance des renseignements personnels dans votre organisation. Cela inclut une politique de confidentialité accessible sur votre site Web, des procédures internes de gestion des données, et un cadre de gouvernance documenté. Ces règles doivent couvrir la collecte, l'utilisation, la communication, la conservation et la destruction des données.

03 Réaliser des Évaluations des facteurs relatifs à la vie privée (EFVP)

Avant tout nouveau projet qui implique des renseignements personnels — qu'il s'agisse d'un nouveau logiciel, d'une application, d'un outil de CRM ou d'une restructuration organisationnelle — vous devez réaliser une EFVP. Cette analyse d'impact sur la vie privée permet d'identifier les risques et de mettre en place les mesures de protection appropriées avant le déploiement. Le guide officiel de la CAI décrit la méthodologie à suivre. En vigueur depuis septembre 2023.

04 Signaler les incidents de confidentialité à la CAI

Tout incident de confidentialité qui présente un risque sérieux de préjudice pour les personnes concernées doit être déclaré à la CAI et aux personnes touchées. Vous devez également tenir un registre de tous les incidents de confidentialité, même ceux qui ne présentent pas de risque sérieux. La déclaration à la CAI doit se faire avec diligence, dès que vous avez des motifs raisonnables de croire qu'un incident s'est produit.

05 Obtenir le consentement explicite pour la collecte de données

Le consentement doit être libre, éclairé, donné à des fins spécifiques et manifesté de façon non équivoque. Pour les renseignements personnels sensibles (santé, vie privée, orientation sexuelle, etc.), le consentement doit être exprès. Cela a des implications concrètes sur la conception de vos formulaires, bannières de cookies, et processus d'inscription. L'opt-in pré-coché ne constitue pas un consentement valide.

06 Respecter les droits des individus sur leurs données

Les individus disposent de droits étendus sur leurs renseignements personnels : droit d'accès, droit de rectification, droit à l'effacement (dans certaines conditions), droit à la portabilité des données dans un format technologique structuré et couramment utilisé, et droit de contester une décision automatisée. Vous devez mettre en place des procédures documentées pour répondre à ces demandes dans les délais prévus par la loi (30 jours pour le droit d'accès, avec possibilité de prolongation à 60 jours).

07 Encadrer les transferts de données hors Québec

Avant de communiquer des renseignements personnels à l'extérieur du Québec (par exemple à un fournisseur de services en nuage américain), vous devez réaliser une évaluation des facteurs relatifs à la vie privée et vous assurer que le niveau de protection des données est équivalent à celui qui prévalait au Québec. Un contrat doit formaliser les obligations de protection applicables.

Section 4

Les sanctions en cas de non-conformité

La Loi 25 est dotée de mécanismes de sanction parmi les plus sévères au Canada. La Commission d'accès à l'information (CAI) dispose de pouvoirs étendus pour enquêter et sanctionner les manquements.

Sanctions administratives (CAI)
10 M$

ou 2 % du chiffre d'affaires mondial de l'entreprise, selon le montant le plus élevé.

Sanctions pénales
25 M$

ou 4 % du chiffre d'affaires mondial. Pour les particuliers : jusqu'à 100 000 $.

Au-delà des amendes : un incident de confidentialité non déclaré ou une violation grave peut entraîner des poursuites civiles de la part des personnes lésées, une atteinte majeure à la réputation de l'entreprise, et la perte de confiance de vos clients et partenaires d'affaires. Le coût de la non-conformité dépasse souvent largement celui de la mise en conformité.

Section 5

Checklist de conformité à la Loi 25

Voici les 10 étapes concrètes pour mettre votre entreprise en conformité avec la Loi 25. Chaque étape est obligatoire ou fortement recommandée.

1
Désigner votre RPRP et publier ses coordonnées

Nommez officiellement un responsable de la protection des renseignements personnels. Publiez son nom et son courriel sur votre site Web. Obligatoire depuis septembre 2022.

2
Cartographier vos renseignements personnels

Dressez un inventaire de toutes les données personnelles que vous collectez : quelles données, pourquoi, où elles sont stockées, qui y a accès, et combien de temps vous les conservez.

3
Rédiger et publier votre politique de confidentialité

Rédigez une politique de confidentialité claire, complète et accessible sur votre site Web. Elle doit expliquer vos pratiques de collecte, d'utilisation, de communication et de conservation des données.

4
Mettre en place un mécanisme de consentement valide

Configurez une bannière de cookies conforme, des formulaires avec consentement explicite (opt-in), et documentez les consentements obtenus. Éliminez les cases pré-cochées.

5
Créer un registre des incidents de confidentialité

Mettez en place un registre pour documenter tous les incidents. Établissez des procédures claires pour évaluer, signaler à la CAI et aviser les personnes touchées dans les délais requis.

6
Réaliser les EFVP pour vos projets technologiques

Avant tout nouveau projet impliquant des données personnelles, réalisez une EFVP selon la méthodologie de la CAI. Documentez l'évaluation et les mesures de protection retenues. Obligatoire depuis septembre 2023.

7
Implanter les mesures de sécurité techniques

Chiffrement des données au repos et en transit, authentification multifacteur (MFA), contrôles d'accès basés sur les rôles, journalisation des accès, sauvegardes chiffrées et plan de réponse aux incidents.

8
Former vos employés

Formez tous vos employés sur leurs obligations en vertu de la Loi 25, les procédures internes, la reconnaissance et le signalement des incidents de confidentialité. Documentez les formations.

9
Établir des procédures pour les droits des individus

Documentez comment vous répondez aux demandes d'accès (30 jours), de rectification, de suppression et de portabilité des données. Assurez-vous que vos équipes savent comment traiter ces demandes.

10
Effectuer des révisions annuelles de conformité

La conformité n'est pas un projet ponctuel. Révisez annuellement vos politiques, procédures et mesures de sécurité. La CAI peut publier de nouvelles lignes directrices qui nécessitent des ajustements.

Évaluer ma conformité gratuitement en 10 questions →
Section 6

Comment Synéra vous accompagne vers la conformité

Synéra est un partenaire TI québécois spécialisé dans l'accompagnement des PME vers la conformité à la Loi 25. Notre approche est structurée, pragmatique et orientée résultats. Nous combinons expertise technique et connaissance du cadre légal pour vous offrir un service complet, du diagnostic initial jusqu'à la gouvernance continue.

🔍
Audit de conformité Loi 25

Évaluation complète de votre posture actuelle face aux exigences de la Loi 25. Identification des lacunes, analyse des risques et plan d'action priorisé avec recommandations concrètes.

📝
Rédaction des politiques et procédures

Rédaction de votre politique de confidentialité, politiques de gouvernance des données, procédures de traitement des demandes d'accès, et protocoles de gestion des incidents.

🔒
Mise en place des mesures techniques

Implantation des contrôles de sécurité techniques requis : chiffrement, MFA, contrôles d'accès, journalisation, sauvegardes sécurisées et infrastructure conforme Microsoft Azure.

📊
Accompagnement EFVP

Réalisation des Évaluations des facteurs relatifs à la vie privée (EFVP) pour vos nouveaux projets, selon la méthodologie officielle de la Commission d'accès à l'information (CAI).

🎓
Formation des équipes

Formation sur mesure de vos employés et gestionnaires sur leurs obligations en vertu de la Loi 25, les bonnes pratiques de protection des données et les procédures de signalement des incidents.

🛡️
Surveillance et réponse aux incidents

Surveillance continue de votre environnement TI, détection des incidents de confidentialité, coordination de la réponse et accompagnement dans les déclarations à la CAI.

Prêt à vous conformer à la Loi 25?

Commencez par un diagnostic gratuit de votre niveau de conformité, ou contactez-nous directement pour discuter de vos besoins.

Diagnostic gratuit en 10 questions Nous contacter
FAQ — Questions fréquentes

Vos questions sur la Loi 25,
nos réponses claires

La Loi 25 s'applique-t-elle à mon entreprise? +

Oui, la Loi 25 s'applique à toute entreprise ou organisation, publique ou privée, qui collecte, détient, utilise ou communique des renseignements personnels au Québec. Cela inclut les PME, les travailleurs autonomes, les OBNL et les grandes entreprises, même si leur siège social est situé à l'extérieur du Québec.

Dès que vous faites affaire avec des résidents québécois et que vous traitez leurs données personnelles (nom, courriel, numéro de téléphone, adresse, données de navigation sur votre site Web, etc.), vous êtes assujetti à cette loi. Il n'y a pas de seuil minimal de taille ou de volume de données.

Qu'est-ce qu'un responsable de la protection des renseignements personnels? +

La Loi 25 oblige toute entreprise à désigner un responsable de la protection des renseignements personnels (RPRP). Par défaut, c'est la personne ayant la plus haute autorité dans l'organisation — généralement le PDG, le président ou le directeur général.

Cette personne peut déléguer ses fonctions à un autre employé ou à un prestataire externe, mais elle demeure ultimement responsable de la conformité de l'organisation. Le nom et les coordonnées du RPRP doivent être publiés sur le site Web de l'entreprise. Cette obligation est en vigueur depuis septembre 2022.

Synéra peut agir comme RPRP externe ou accompagner votre RPRP interne dans l'exercice de ses fonctions.

Qu'est-ce qu'une EFVP et dois-je en faire une? +

L'Évaluation des facteurs relatifs à la vie privée (EFVP) est une analyse d'impact sur la protection de la vie privée. Vous devez en réaliser une avant de lancer tout nouveau projet technologique ou organisationnel qui implique des renseignements personnels.

Les situations qui déclenchent l'obligation d'une EFVP comprennent notamment : l'implantation d'un nouveau système informatique (ERP, CRM, RH), le développement d'une application mobile, la mise en place d'un outil d'analyse Web, ou toute communication de renseignements personnels à un tiers prestataire.

La CAI a publié un guide détaillé sur la réalisation des EFVP. Cette obligation est en vigueur depuis septembre 2023. Synéra accompagne les entreprises dans la réalisation de leurs EFVP selon la méthodologie officielle de la CAI.

Quelles sont les sanctions en cas de non-conformité à la Loi 25? +

Les sanctions prévues par la Loi 25 sont parmi les plus sévères au Canada. Sur le plan administratif, la Commission d'accès à l'information (CAI) peut imposer des amendes pouvant atteindre 10 000 000 $ ou 2 % du chiffre d'affaires mondial de l'entreprise, selon le montant le plus élevé.

Sur le plan pénal, les sanctions peuvent atteindre 25 000 000 $ ou 4 % du chiffre d'affaires mondial. Pour les particuliers, les amendes pénales peuvent aller jusqu'à 100 000 $.

En plus des amendes, un incident non déclaré ou une violation grave peut entraîner des poursuites civiles et une atteinte significative à la réputation de l'entreprise. La CAI a déjà commencé à enquêter et à émettre des décisions contraignantes contre des entreprises québécoises.

Comment Synéra peut m'aider à me conformer à la Loi 25? +

Synéra offre un accompagnement complet et structuré pour la conformité à la Loi 25. Notre démarche commence par un audit de conformité pour évaluer votre situation actuelle et identifier les lacunes.

Nous rédigeons ensuite vos politiques de confidentialité et procédures internes. Notre équipe implante les mesures de sécurité techniques requises (chiffrement, MFA, contrôles d'accès) et vous accompagne dans la réalisation des EFVP et la formation de vos équipes.

Nous assurons également une surveillance continue et une réponse rapide aux incidents de confidentialité. Consultez nos programmes de conformité Loi 25 ou contactez-nous au 438-686-4693 pour une consultation initiale gratuite.

Combien de temps faut-il pour se conformer à la Loi 25? +

Le délai de mise en conformité varie selon la taille et la complexité de votre organisation. Pour une PME de moins de 50 employés avec peu de systèmes complexes, une mise en conformité de base peut être atteinte en 4 à 8 semaines.

Pour une organisation plus grande ou avec des systèmes plus complexes, le processus peut prendre de 3 à 6 mois. Certaines obligations, comme la désignation et la publication du RPRP, sont immédiates, tandis que d'autres, comme la réalisation des EFVP, s'appliquent au fur et à mesure des nouveaux projets.

Synéra établit un plan d'action priorisé en fonction de vos obligations les plus urgentes et de votre niveau de risque. L'important est de démarrer rapidement, car les obligations de base sont déjà en vigueur depuis 2022-2023.

Quelle est la différence entre la Loi 25 et le RGPD européen? +

La Loi 25 et le RGPD (Règlement général sur la protection des données) de l'Union européenne partagent plusieurs principes fondamentaux : consentement explicite, droit d'accès et de rectification, portabilité des données, minimisation des données et notification des incidents. Les deux lois reconnaissent la vie privée comme un droit fondamental.

Cependant, ils diffèrent sur plusieurs points. La Loi 25 est spécifique au Québec et s'inscrit dans le droit civil québécois. Elle introduit des concepts propres comme le droit à la désindexation. La portée territoriale est différente : le RGPD s'applique à quiconque traite des données de résidents européens, tandis que la Loi 25 protège les résidents québécois.

Si votre entreprise traite des données de résidents européens ET québécois, vous êtes soumis aux deux régimes simultanément. Synéra peut vous accompagner dans une conformité qui satisfait les exigences des deux cadres réglementaires, en évitant les dédoublements inutiles.

Sources et références officielles