Loi 25 sur les renseignements personnels : pour toutes les entreprises

Cette réforme de la Loi veut moderniser la protection des renseignements personnels. Québec devient ainsi la première province au Canada qui adapte la protection des renseignements personnels aux technologies actuelles.

Depuis le 22 septembre 2022, toute entreprise doit respecter les obligations de la Loi 25, et ne pas le faire peut coûter très cher : jusqu’à 25 millions d’amende, ou 4% du chiffre d’affaires annuel !

Informations personnelles loi 25


Que sont les renseignements personnels ?

Le gouvernement définit les renseignements personnels comme ceux qui portent sur une personne physique et permettent de l’identifier et le plus souvent, ils sont considérés comme confidentiels. Quelques exemples : les CV, les salaires, l’adresse personnelle, l’évaluation de rendement, les informations reliées à l’état de santé. Voir les exceptions plus bas.


Qui est touché ?

La Loi 25 s’applique à toute entreprise privée qui collecte des renseignements personnels, autant dire presque toutes les entreprises. Par exemple, dès qu’une entreprise a à recueillir des renseignements personnels de clients, fournisseurs, partenaires ou employés.


Quand ?

Les premières exigences sont en vigueur depuis le 22 septembre 2022, et d’autres s’ajouteront en septembre 2023 et 2024.


Quelles obligations ?

  1. Nommer un responsable de la protection des renseignements personnels, et définir ses responsabilités. Si ce n’est pas fait, la Loi considère alors que c’est la personne qui détient la plus haute autorité dans l’entreprise (ex. Président·e).
  2. Indiquer le nom, le titre et les coordonnées de cette personne sur le site web de l’entreprise.
  3. Aviser les personnes concernées des données recueillies et de leur usage (avec un droit de retrait).
  4. Avoir un plan de gestion des incidents de confidentialité *.
  5. S’il survient un de ces incidents :
    • Aviser les personnes concernées
    • Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent
    • Tenir un registre de tous les incidents, et le transmettre à la Commission si elle le demande.
  6. Si cet incident présente un risque qu’un préjudice sérieux soit causé, aviser rapidement la Commission d’accès à l’information.


* Incidents de confidentialité

La Loi les définit comme l’accès, l’utilisation ou la communication non autorisées des renseignement personnels détenus par l’entreprise, leur perte ou toute autre atteinte à leur protection.


Précisions et exceptions

  • L’entreprise conserve la responsabilité des données, même si leur conservation, leur traitement, etc. ont été confiés à une firme externe.
  • La présente loi ne s’applique pas aux éléments nécessaires au travail journalistique, historique ou généalogique à une fin d’information légitime du public.
  • Elle ne s’applique pas non plus aux renseignements personnels généraux d’une personne dans l’exercice d’une fonction au sein d’une entreprise, tel que son nom, son titre, sa fonction, ainsi que l’adresse, le courriel et le numéro de téléphone de son lieu de travail.
  • Il existe certaines exceptions à la Loi, par exemple pour effectuer des études, aider à élucider un crime, dans le cadre de certaines transactions commerciales, lois ou conventions, etc. Voir la Loi au besoin.

Pour aller plus loin

Article du Journal les Affaires : Entreprises, êtes-vous prêtes pour la loi 25?

Résumé en une page des principaux points touchés par la Loi en 2022, 2023 et 2024

Centre de ressources sur la Loi 25 par la firme d’avocats Fasken

Document de travail de la Commission d’accès à l’information – articles selon leur date d’entrée en vigueur

Le texte de la Loi 25.

Est-ce qu’on peut vous aider ?

Une membre de notre équipe spécialisée dans les Lois et règlements peut vous aider à démêler ce qui s’applique et comment appliquer la Loi. Contactez-nous !