Loi 25 Québec : Protection des renseignements personnels

Q: Qu'est-ce que la Loi 25?

La Loi 25 modernise le cadre juridique de la protection des renseignements personnels au Québec. Entrée en vigueur le 22 septembre 2022, elle impose de nouvelles obligations à toutes les organisations qui collectent, utilisent ou communiquent des renseignements personnels. Les amendes peuvent atteindre 25 millions de dollars ou 4% du chiffre d'affaires mondial.

Q: Quelles sont les conséquences d'une non-conformité à la Loi 25?

Les sanctions incluent des amendes administratives jusqu'à 10 millions de dollars ou 2% du chiffre d'affaires mondial pour certaines infractions, et jusqu'à 25 millions de dollars ou 4% du chiffre d'affaires mondial pour des infractions graves comme l'utilisation de renseignements personnels sans consentement. La CAI peut également émettre des ordonnances et suspendre des activités.

Q: Est-ce que les PME et OBNL sont concernées?

Oui, toutes les organisations québécoises sont concernées par la Loi 25, incluant les PME, les OBNL, les travailleurs autonomes et les entreprises de toute taille. Les obligations s'appliquent dès qu'une organisation collecte des renseignements personnels, peu importe sa taille.

Q: Qu'est-ce qu'un audit de la CAI?

Un audit de la Commission d'accès à l'information (CAI) est une inspection visant à vérifier la conformité d'une organisation avec la Loi 25. La CAI peut demander des documents, interroger le personnel et examiner les systèmes informatiques. L'organisation doit collaborer et fournir les informations demandées sous peine de sanctions.

Q: Qu'est-ce qu'une EFVP (évaluation des facteurs relatifs à la vie privée)?

L'EFVP est une évaluation obligatoire pour identifier et mitiger les risques liés à la vie privée lors de l'acquisition, du développement ou de la refonte d'un système d'information ou d'une prestation électronique de services impliquant des renseignements personnels. Elle doit être réalisée avant le projet et être documentée.

Q: Quels types d'incidents doivent être déclarés à la CAI?

Tout incident de confidentialité présentant un risque de préjudice sérieux doit être signalé à la CAI dans les délais prescrits. Cela inclut les brèches de sécurité, les accès non autorisés, les pertes de données et les communications non intentionnelles de renseignements personnels. Un registre de tous les incidents doit être maintenu.

Q: Dois-je nommer un responsable de la protection des renseignements personnels (RPRP)?

Oui, toute organisation doit désigner une personne responsable de la protection des renseignements personnels. Cette personne supervise la conformité à la Loi 25, répond aux demandes d'accès, gère les plaintes et assure la formation du personnel.

Q: Quelles sont les exigences pour le transfert de données à l'extérieur du Québec?

Le transfert de renseignements personnels hors Québec exige le consentement de la personne concernée ou une base légale claire. L'organisation doit s'assurer que les données bénéficient d'une protection comparable à celle offerte par la Loi 25 et informer les personnes des risques potentiels.

Guide de conformité à la Loi 25

GRATUIT

Téléchargez notre guide complet pour comprendre et appliquer la Loi 25 dans votre organisation. Un outil essentiel pour votre mise en conformité.

50+ pages d'explications détaillées

Exemples pratiques et modèles

Liste de vérification complète

Télécharger gratuitement

Pourquoi un audit de la CAI est important

Même les organisations les mieux intentionnées se heurtent à trois réalités :

Un cadre légal qui évolue vite

Loi 25, Loi 64 avant elle, exigences de la CNESST (dossiers médicaux), Règlement canadien sur la protection des données biométriques, etc.

Une multiplication des données

Télétravail, outils SaaS, caméras, dossiers SST, évaluations 360°, audits fiscaux, etc.

Des sanctions plus lourdes

Atteinte à la vie privée, déclaration tardive

Solution :

Plan d'intervention, notification CAI < 72 h

10 étapes clés pour être prêt à un audit CAI

Démarche structurée pour une préparation complète :

Désigner un responsable

Désigner officiellement un responsable de la protection des renseignements personnels avec mandat clair et courriel dédié.

Inventaire des données

Tenir un inventaire détaillé des données : type, emplacement, finalité, responsable.

Documenter les politiques

Documenter les politiques de collecte, d'accès, de conservation et de destruction.

Registre des consentements

Maintenir un registre des consentements pour employés, clients et partenaires.

Plan d'intervention

Déployer un plan d'intervention et un registre des incidents afin de pouvoir aviser la CAI sous 72 h.

Évaluations EFVP

Réaliser des évaluations des facteurs relatifs à la vie privée pour tout projet technologique ou de surveillance à risque.

Ententes avec fournisseurs

Conclure des ententes de confidentialité et des accords de traitement de données avec chaque fournisseur.

Formation du personnel

Former chaque année, avec preuve de participation, le personnel RH, TI et les gestionnaires.

Calendrier de conservation

Appliquer un calendrier de conservation et des mécanismes d'effacement automatique.

Suivi et audits

Suivre les indicateurs clés dans un tableau de bord de conformité et pratiquer des audits internes réguliers.

📋

Liste de contrôle pour mise en conformité avec la Loi 25

Voici une feuille de route suggérée :

Diagnostic initial : évaluer l'état actuel de vos pratiques, identifier les écarts vis-à-vis des exigences de la Loi 25.

Nomination du RPRP : désigner clairement cette personne et diffuser ses coordonnées.

Inventaire des données : cartographier les renseignements personnels : sources, finalités, emplacements, flux, sécurité.

Politiques et procédures : rédiger ou adapter les politiques de confidentialité, consentement, accès, incident, conservation/destruction.

Ententes fournisseur / partenaires : modifier ou concevoir des ententes contractuelles conformes (clauses de confidentialité, sécurité, notification).

Évaluations de la vie privée (EFVP) : appliquer aux projets à risque et documenter les analyses et mesures d'atténuation.

Formation du personnel : planifier et dispenser des formations adaptées (employés, gestionnaires, TI), avec preuve.

Registre des incidents / plan d'intervention : élaborer un plan de réponse aux incidents, définir le processus de notification, tester, consigner.

Mécanismes de droits des personnes : processus pour recevoir, traiter les demandes d'accès, rectification, portabilité, désindexation.

10.

Surveillance et audits : mettre en place des revues régulières internes, un tableau de bord de conformité, des indicateurs clés, des audits périodiques.

11.

Mise à l'essai / simulation : tester des scénarios d'incident, vérifier que les processus tiennent la route.

12.

Révision continue : ajuster au fil de l'évolution technologique, des menaces, des décisions de la CAI.

📞 Obtenir la liste complète : 1-866-950-3357

Bonnes pratiques vs Erreurs fréquentes

❌ Erreurs fréquentes

Ne pas tenir de registre des incidents
Impossible de déclarer à la CAI dans les 72h requises

Ne pas former les employés
Personnel non sensibilisé aux risques et obligations

Laisser les fournisseurs gérer sans entente écrite
Responsabilité non définie en cas de fuite de données

✅ Bonnes pratiques

Plan d'intervention testé
Procédure rodée et équipe formée pour les urgences

Consentements clairs et documentés
Registre à jour avec preuves de consentement valide

Mise à jour annuelle des politiques
Politiques adaptées à l'évolution légale et technologique

Points clés de la conformité Loi 25

La protection des renseignements personnels n'est plus un « plus » ; c'est une obligation légale stratégique. En anticipant les attentes de la CAI et en instaurant une gouvernance robuste, les employeurs québécois réduisent leur exposition aux litiges, renforcent la confiance des employés et se dotent d'un avantage concurrentiel durable.

Besoin d'aide ?

Exact RH accompagne déjà des centaines d'organisations — OBNL et PME — dans l'application pratique de la Loi 25 :

Diagnostics de conformité

Rédaction de politiques et gabarits de consentement

Formations ciblées pour le personnel et les gestionnaires

Soutien aux EFVP et tests de sécurité

Soutien pour identifier le niveau de risque des incidents de confidentialité

Soutien avec les communications avec la CAI

Questions fréquentes - Audit CAI & Loi 25

Tout ce que vous devez savoir pour être prêt à un audit de la Commission d'accès à l'information

Qu'est-ce que la CAI et quel est son rôle ?

La Commission d'accès à l'information (CAI) est l'autorité québécoise de surveillance :

🏛️

Mandat principal
Veiller au respect des lois sur la protection des renseignements personnels

🔍

Pouvoirs d'enquête
Audits, inspections, vérifications de conformité

⚖️

Pouvoirs de sanction
Amendes jusqu'à 25M$, ordonnances, mesures correctives

🛡️ Préparez-vous dès maintenant : 1-866-950-3357 (évaluation gratuite)

Qu'est-ce qu'un audit de la CAI ?

Un audit CAI est une vérification officielle approfondie de votre conformité :

📋 Vérification complète : Examen de vos pratiques de gestion des renseignements personnels

📊 Évaluation des processus : Collecte, traitement, conservation, destruction des données

⚠️ Identification des écarts : Non-conformités par rapport à la Loi 25

📝 Rapport officiel : Recommandations et correctifs obligatoires

🎯 Audit préventif : 1-866-950-3357 (anticipez les exigences CAI)

Quelles sont les conséquences d'une non-conformité à la Loi 25 ?

Les conséquences sont graves et multiples :

💰

Amendes administratives majeures
Jusqu'à 25M$ ou 4% du CA mondial (selon le plus élevé)

📋

Ordonnances et correctifs forcés
Mesures obligatoires sous surveillance CAI

⚖️

Poursuites civiles d'employés
Dommages-intérêts, frais d'avocats

📺

Atteinte à la réputation
Médias, perte de confiance clientèle

🚨 Évitez les risques : 1-866-950-3357 (protection immédiate)

Comment savoir si mes pratiques résistent à un audit de la CAI ?

Checklist des indicateurs clés de préparation audit CAI :

✅

Inventaire complet des données
Type, localisation, finalité, responsable pour chaque donnée

✅

Politiques écrites et à jour
Confidentialité, accès, conservation, destruction

✅

Registre des consentements
Documentation des autorisations employés/clients

✅

Plan d'intervention incidents
Procédure testée pour notification CAI < 72h

✅

Preuves de formation personnel
Attestations, signatures, programme annuel

📊 Évaluation complète : 1-866-950-3357 (diagnostic gratuit en 30 min)

Est-ce que les PME et OBNL sont concernées ?

Oui, absolument ! La Loi 25 s'applique universellement au Québec :

🏢 Toutes les organisations : PME, OBNL, organismes communautaires, solopreneurs ou travailleurs autonomes, peu importe la taille ou le statut.

📍 Critère géographique : Toute organisation qui collecte, conserve et/ou utilise des renseignements personnels appartenant à des invidivus demeurant au Québec

👥 Même sans employés : Dès qu'il y a traitement des données personnelles.

💡 Exemples concrets : Dossiers de vos employés, paie, paiements, dossiers clients / membres / patients / collaborateurs, fournisseurs, bénvoles, etc

🎯 Conseils gratuits pour PME/OBNL : 1-866-950-3357 (solutions sur mesure)

Dois-je nommer un responsable de la protection des renseignements personnels (RPRP) ?

Oui, c'est une obligation légale de la Loi 25 :

📝 Désignation officielle : Le responsable doit être nommé formellement par l'organisation

📋 Mandat clair défini : Rôles, responsabilités et pouvoirs du RPRP documentés

📞 Coordonnées accessibles : Contact public pour les demandes de renseignements personnels

🎯 Peut être interne ou externe : Employé, dirigeant ou consultant spécialisé

👤 Désignation RPRP : 1-866-950-3357 (accompagnement complet)

À quelle fréquence dois-je former mes employés sur la protection des renseignements personnels ?

Formation annuelle obligatoire avec preuves documentées :

📅 Minimum une fois par année : Formation récurrente pour tous les employés

📋 Preuve de participation obligatoire : Attestations, signatures, registres de présence

👥 Formation adaptée par équipe : Gestionnaires, RH, TI selon leurs responsabilités

🆕 Formation à l'embauche : Nouveaux employés dans les 30 jours

📚 Contenu obligatoire : Loi 25, politiques internes, procédures incidents

🎓 Programmes de formation : 1-866-950-3357 (certificats émis après la formation)

Qu'est-ce qu'une EFVP (évaluation des facteurs relatifs à la vie privée) ?

Une EFVP est une analyse de risques obligatoire pour certains projets :

🎯 Projets concernés : Nouveau fournisseur avec qui nous considérons partager des renseignements personnels par exemple, nouveaux logiciels (CRM, SIRH, base de données, etc), nouveau service de paie, plateforme d'infolettre, caméras de surveillance, systèmes biométriques, partage hors Québec, etc...

📊 Analyse préventive : Identifier les risques pour la vie privée AVANT le déploiement

⚡ À faire avant le partage de données : Réalisée en phase de conception, pas après mise en production

📝 Documentation requise : Rapport écrit avec mesures de mitigation

🔄 Mise à jour nécessaire : Révision si modifications majeures du projet

🛡️ Accompagnement EFVP : 1-866-950-3357 (outils et réponses à vos questions)

Quels types d'incidents doivent être déclarés à la CAI ?

Tous les incidents présentant un risque sérieux de préjudice sous 72h :

💾 Fuite de données : Accès non autorisé, vol d'ordinateur, piratage

🦠 Attaque de rançongiciel : Chiffrement, vol, publication de données

📧 Envoi par erreur : Courriel à mauvais destinataires avec données sensibles

🗃️ Perte physique : Documents, USB, ordinateurs portables contenant des données

👥 Accès employé non autorisé : Consultation de dossiers sans justification

⏰ Délai critique : 72 heures maximum pour aviser la CAI + registre des incidents obligatoire

🚨 Plan d'intervention : 1-866-950-3357 (urgence 24/7)

Qu'est-ce que la Loi 25 ?

La Loi 25, aussi appelée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé :

🎯 Objectif principal : Renforcer la protection des renseignements personnels au Québec

🔄 Modernisation : Mise à jour des pratiques de gestion de l'information

📋 Nouvelles obligations : Pour les organisations publiques et privées

🌍 Comparable au RGPD : Standards internationaux adaptés au contexte québécois

La Loi 25 remplace-t-elle une autre loi ?

Non, la Loi 25 ne remplace pas, elle modernise et renforce :

📚 Modifications législatives : Elle modifie la Loi sur la protection des renseignements personnels dans le secteur privé ainsi que plusieurs lois connexes

✨ Renforcement : Elle vient renforcer les droits des individus et les responsabilités des organisations

📈 Amélioration continue : Elle actualise les exigences pour répondre aux enjeux numériques actuels

Quelles sont les principales dates d'entrée en vigueur ?

La Loi 25 a été déployée en trois étapes :

📅 22 septembre 2022 : Nomination du responsable de la protection des renseignements personnels et nouvelles obligations de transparence

📅 22 septembre 2023 : Exigences accrues sur le consentement, la communication des renseignements et la gestion des incidents

📅 22 septembre 2024 : Entrée en vigueur du droit à la portabilité et de dispositions additionnelles

✅ Depuis septembre 2024 : Toutes les obligations sont désormais en vigueur

Quelles sont les différences avec la loi fédérale (PIPEDA) ou le RGPD européen ?

La Loi 25 s'inspire du RGPD tout en étant adaptée au Québec :

🇪🇺 Similitudes avec le RGPD : Droits et obligations similaires, mais adaptés au contexte québécois

✅ Exigences clés : Consentement plus clair, évaluations de risque (EFVP), encadrement des décisions automatisées, amendes sévères

🇨🇦 Différence avec PIPEDA : Application provinciale au Québec, s'applique à la majorité des organisations, même non technologiques

📍 Portée géographique : Toute organisation traitant des données de personnes au Québec

Quelles sont les responsabilités du RPRP ?

Le responsable de la protection des renseignements personnels (RPRP) a des responsabilités étendues :

📋 Supervision de la conformité : Veiller au respect de la Loi 25 dans l'organisation

📬 Gestion des demandes : Répondre aux demandes d'accès, de rectification ou de portabilité

🚨 Gestion des incidents : Gérer les incidents de confidentialité et les notifications à la CAI

🔍 Évaluations EFVP : Réaliser ou valider les évaluations de facteurs relatifs à la vie privée

🤝 Relations fournisseurs : Encadrer les relations avec les fournisseurs et partenaires

🎓 Formation : Former et sensibiliser le personnel

Dois-je tenir un inventaire des renseignements personnels ?

Oui, c'est une obligation fondamentale de la Loi 25 :

📊 Catégories de renseignements : Documenter tous les types de données personnelles traités

🎯 Finalités d'utilisation : Préciser pourquoi chaque donnée est collectée

📍 Emplacement : Identifier où les données sont stockées (serveurs, nuage, etc.)

👥 Accès : Lister les personnes qui ont accès aux données

🔒 Mesures de sécurité : Documenter les protections en place

✅ Essentiel pour la conformité : Cet inventaire est indispensable pour démontrer votre conformité à la CAI

Quelles sont les règles concernant le consentement ?

Le consentement est au cœur de la Loi 25 :

✨ Consentement valide : Doit être clair, libre, éclairé et spécifique

⏰ Moment du consentement : Obtenu AVANT la collecte ou l'utilisation des renseignements

🔄 Droit de retrait : La personne peut retirer son consentement à tout moment

📋 Information complète : Les personnes doivent comprendre les finalités de la collecte et les conséquences du consentement

👶 Mineurs : Le consentement des mineurs de moins de 14 ans doit être obtenu auprès du titulaire de l'autorité parentale

Dois-je avoir une politique de gouvernance des renseignements personnels ?

Oui, une politique écrite est obligatoire :

📋 Nature des renseignements : Préciser quelles données sont collectées

🎯 Finalités : Expliquer pourquoi les données sont utilisées

🔒 Pratiques de sécurité : Décrire la conservation, destruction et sécurité des données

👤 Rôle du RPRP : Identifier le responsable et ses coordonnées

⚖️ Droits des personnes : Expliquer le processus pour exercer les droits (accès, rectification, etc.)

🔄 Révision régulière : La politique doit être mise à jour et rendue publique

Quelles sont les obligations envers les fournisseurs ou sous-traitants ?

Les contrats avec vos fournisseurs doivent inclure des clauses spécifiques :

🔒 Confidentialité et sécurité : Clauses obligatoires sur la protection des données

🚨 Notification des incidents : Obligation d'informer rapidement en cas de fuite

🔄 Retour ou destruction : Gestion des données après la fin du mandat

✅ Vérifications de conformité : Droit d'auditer le fournisseur

🌍 Transfert hors Québec : S'assurer d'un niveau de protection équivalent avant tout transfert

Quels sont les droits des personnes concernées ?

La Loi 25 confère plusieurs droits importants aux individus :

📂 Droit d'accès : Obtenir une copie de leurs renseignements personnels

✏️ Droit de rectification : Corriger les données inexactes ou incomplètes

💾 Droit de portabilité : Recevoir leurs données sous format électronique réutilisable

🔍 Droit de désindexation : Faire retirer certaines informations diffusées publiquement

🔄 Droit de retrait : Retirer leur consentement à tout moment

🚫 Droit d'opposition : S'opposer à certaines utilisations, notamment les décisions automatisées

La CAI peut-elle faire des inspections ?

Oui, la Commission d'accès à l'information a des pouvoirs étendus :

🔍 Audits et enquêtes : La CAI peut auditer et enquêter sur vos pratiques

📋 Demande de documents : Exiger la production de politiques, registres, preuves de conformité

⚖️ Ordonnances correctives : Imposer des correctifs obligatoires

📺 Décisions publiques : Rendre publiques certaines décisions pour effet dissuasif

La taille de l'organisation influence-t-elle les obligations ?

Non, la Loi 25 s'applique universellement :

🏢 Toutes les tailles : La Loi 25 s'applique à toutes les organisations, petites ou grandes

⚖️ Mêmes obligations : Les exigences sont identiques peu importe la taille

🔧 Mise en œuvre adaptée : La mise en œuvre peut être adaptée à la taille et aux ressources disponibles

💡 Approche proportionnelle : Les mesures doivent être proportionnelles aux risques et à la nature des données

Qu'est-ce qu'un "risque sérieux de préjudice" ?

Critère déterminant pour la notification d'incidents à la CAI :

🆔 Vol d'identité : Risque d'usurpation d'identité ou de fraude

💰 Conséquences financières : Pertes monétaires potentielles pour la personne

📺 Atteinte à la réputation : Préjudice moral ou professionnel

📊 Évaluation requise : Sensibilité des données, probabilité d'utilisation malveillante, ampleur de la divulgation

Dois-je consigner les incidents mineurs ?

Oui, tous les incidents doivent être consignés :

📋 Registre complet : Tous les incidents doivent être inscrits dans le registre interne, même ceux jugés mineurs

🚨 Notification sélective : Seuls ceux présentant un risque sérieux doivent être signalés à la CAI et aux personnes touchées

📊 Traçabilité : Le registre démontre votre vigilance et votre conformité

📈 Analyse des tendances : Permet d'identifier les failles récurrentes et d'améliorer la sécurité

Que faire lorsqu'une personne retire son consentement ?

Actions obligatoires suite au retrait du consentement :

🛑 Cessation immédiate : Cesser d'utiliser les renseignements pour la finalité concernée

🗑️ Destruction ou anonymisation : Si possible, détruire ou anonymiser les données

📚 Exceptions légales : Certaines données peuvent être conservées pour des raisons légales ou administratives (ex. : dossiers comptables)

📋 Documentation : Consigner le retrait du consentement dans vos registres

Comment traiter les renseignements sensibles ou biométriques ?

Protection renforcée pour les données sensibles :

✅ Consentement explicite : Consentement clair et spécifique requis

🔒 Sécurité accrue : Mesures de protection renforcées (chiffrement, accès restreint)

📊 Évaluation préalable : EFVP obligatoire pour évaluer les risques

📝 Documentation complète : Usage et stockage doivent être documentés

💡 Exemples : Données biométriques, médicales, financières, casier judiciaire

Quelles sont les exigences pour le transfert de données à l'extérieur du Québec ?

Obligations strictes pour les transferts hors Québec :

🔍 Évaluation préalable : Vérifier si les renseignements bénéficieront d'une protection équivalente

📋 EFVP obligatoire : Documenter l'évaluation dans une évaluation des facteurs relatifs à la vie privée

📝 Clauses contractuelles : Intégrer des clauses assurant la sécurité des données

🌍 Juridictions concernées : Tout transfert hors Québec (Canada, USA, Europe, etc.)

⚖️ Responsabilité maintenue : Vous restez responsable même après le transfert

Comment la Loi 25 encadre-t-elle l'intelligence artificielle et le profilage ?

Règles spécifiques pour les systèmes automatisés :

🤖 Décisions automatisées : La personne doit être informée qu'une décision est prise uniquement par un système automatisé

❓ Droit à l'explication : La personne peut demander des explications sur le fonctionnement du système

👤 Révision humaine : Possibilité d'obtenir une intervention humaine dans la décision

📊 Profilage encadré : Toute activité de profilage doit être évaluée et justifiée

🔍 EFVP requise : Évaluation obligatoire pour tout projet d'IA impliquant des données personnelles

Comment Exact RH peut m'aider à me préparer à un audit de la CAI ?

Notre approche complète pour votre succès audit CAI :

🔍

Diagnostics de conformité à la Loi 25
Audit préventif complet de vos pratiques actuelles

📝

Rédaction de politiques et gabarits de consentement
Documents sur mesure conformes aux exigences CAI

🎓

Formations ciblées pour employés et gestionnaires
Programmes certifiés avec attestations de participation

🛡️

Soutien aux EFVP et audits internes
Accompagnement expert pour évaluations complexes

📞

Accompagnement pour gérer les communications avec la CAI
Support expert en cas d'enquête ou audit officiel

🏆 Notre engagement : Préparation complète pour passer un audit CAI avec succès

🚀 Démarrez votre préparation : 1-866-950-3357 (consultation gratuite)

Parlons de votre conformité à la Loi 25

Contactez-nous pour une évaluation gratuite ; nous vous aiderons à transformer la conformité à la Loi 25 en un avantage pour votre organisation et pour la confiance de vos clients, employés et partenaires.

Consultation gratuite 1-866-950-3357

Vos pratiques de protection des renseignements personnels résisteraient-elles à un audit de la CAI ?

Consultation gratuite

💡 TL;DR - La CAI peut auditer vos pratiques de protection des renseignements personnels