Aller au contenu
FortaRisks
Retour au blogConformité

Loi 25 : êtes-vous vraiment conforme ?

5 décembre 2025 · 4 min de lecture

Beaucoup d'organisations québécoises pensent être conformes à la Loi 25. Elles ont désigné un responsable, mis à jour leur politique de confidentialité, ajouté une bannière de cookies, et considèrent le dossier comme réglé. Puis survient un incident de confidentialité, une demande d'accès inhabituelle ou une communication de données à l'extérieur du Québec, et l'écart apparaît au grand jour.

La Loi 25 (anciennement projet de loi 64) est pleinement en vigueur. Elle ne se résume pas à un document publié sur votre site : c'est un ensemble d'obligations opérationnelles qui touchent la gouvernance, les processus, les contrats et la technologie. Voici ce qu'elle exige réellement, et où se cachent les écarts les plus fréquents.

Ce que la Loi 25 exige vraiment

Au delà de la politique de confidentialité, six domaines structurent la conformité.

  1. Gouvernance et responsabilité. Un responsable de la protection des renseignements personnels doit être désigné, et son titre ainsi que ses coordonnées publiés. Vos politiques de gouvernance encadrant la conservation, la destruction et le traitement des renseignements doivent être établies et accessibles.
  2. Consentement et transparence. Au moment de la collecte, vous devez informer les personnes des finalités, des moyens, de leurs droits et des tiers concernés. Le consentement doit être clair, libre, éclairé et demandé distinctement pour chaque finalité, avec un consentement exprès pour les données sensibles.
  3. Droits des personnes. Accès et rectification dans les délais, mais aussi le droit à la portabilité des données (en vigueur depuis septembre 2024) et le traitement des demandes de cessation de diffusion ou de désindexation.
  4. Incidents de confidentialité. Un registre des incidents tenu à jour, une procédure pour évaluer le « risque de préjudice sérieux » et, le cas échéant, aviser rapidement la Commission d'accès à l'information et les personnes concernées.
  5. Évaluations et transferts. Une évaluation des facteurs relatifs à la vie privée pour les projets de systèmes d'information, et une évaluation avant toute communication de renseignements à l'extérieur du Québec.
  6. Sécurité et cycle de vie. Des mesures de sécurité raisonnables, la confidentialité par défaut dans vos produits publics, un calendrier de conservation et de destruction, et des clauses de protection dans vos ententes avec les sous-traitants.

Les échéances sont derrière nous, pas devant

L'argument du « on a le temps » ne tient plus. Les obligations sont entrées en vigueur par étapes : septembre 2022 pour le responsable et le signalement des incidents, septembre 2023 pour la majorité des obligations (consentement, évaluations, transparence), et septembre 2024 pour la portabilité des données. Autrement dit, la période de transition est terminée.

Pourquoi l'exposition est réelle

  • Problème : la conformité est souvent traitée comme un exercice documentaire, alors qu'elle repose sur des processus vivants et de la preuve.
  • Impact : les sanctions administratives pécuniaires peuvent atteindre 10 M$ ou 2 % du chiffre d'affaires mondial, et les amendes pénales 25 M$ ou 4 % du chiffre d'affaires mondial, le montant le plus élevé s'appliquant. À cela s'ajoutent l'atteinte à la confiance et le risque contractuel avec vos clients.
  • Action : traitez la Loi 25 comme un programme continu, avec un responsable identifié, des évaluations documentées et une capacité à prouver, sur demande, que vos contrôles fonctionnent.

Les écarts que l'on sous-estime le plus

Trois angles morts reviennent constamment. D'abord, la portabilité des données : peu d'organisations sont réellement capables de fournir les renseignements informatisés dans un format structuré et couramment utilisé. Ensuite, les communications à l'extérieur du Québec : héberger des données chez un fournisseur infonuagique étranger sans évaluation ni encadrement contractuel est un écart courant. Enfin, la preuve : disposer d'un registre d'incidents et d'évaluations réellement à jour, et pas seulement d'un gabarit vide.

Faites le point en quelques minutes

Avant d'investir dans un chantier de conformité, situez votre point de départ. Notre auto-diagnostic gratuit de préparation à la Loi 25 couvre les six domaines ci dessus en 18 questions, calcule un score de maturité et met en évidence vos priorités. Aucune inscription, aucune donnée transmise : tout est calculé dans votre navigateur.

Une fois vos écarts identifiés, le module Conformité de FortaRisks transforme ces exigences en plan d'action priorisé, avec une preuve de conformité continue plutôt qu'un audit ponctuel.

La Loi 25 n'est pas un formulaire à cocher une fois. C'est une manière de démontrer, en tout temps, que vous protégez réellement les renseignements que l'on vous confie. Ce diagnostic ne remplace pas un avis juridique, mais il vous dit précisément par où commencer.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.