Qu'est-ce que la Loi 25 ?
La Loi 25, officiellement la « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels », est la réforme québécoise de la vie privée adoptée en 2021 et déployée par étapes jusqu'en 2024. Elle réécrit en profondeur les obligations des organisations du secteur privé comme du secteur public qui traitent des renseignements personnels.
Ce n'est pas une politique que l'on rédige une fois puis que l'on classe. C'est un ensemble d'obligations opérationnelles continues qui touchent la gouvernance, les processus, les contrats fournisseurs et la technologie.
Pourquoi c'est important pour votre organisation
Le non-respect de la Loi 25 expose à des sanctions administratives pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial, et à des sanctions pénales allant jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial. Au-delà de l'amende, un incident de confidentialité mal géré entame la confiance des clients et attire l'attention des assureurs et des partenaires d'affaires.
La Loi 25 déplace aussi la responsabilité vers le sommet : la gouvernance des renseignements personnels n'est plus une affaire strictement technique, elle relève désormais de la direction.
Les obligations clés
- Responsable de la protection des renseignements personnels : par défaut la personne ayant la plus haute autorité, avec possibilité de déléguer par écrit.
- Consentement clair : un consentement distinct, éclairé et donné à des fins précises, séparé des autres conditions.
- Transparence : des politiques de confidentialité compréhensibles et accessibles, publiées sur les plateformes qui recueillent des données.
- Notification des incidents : signaler à la Commission d'accès à l'information et aux personnes concernées tout incident présentant un risque de préjudice sérieux, et tenir un registre des incidents.
- Évaluation des facteurs relatifs à la vie privée (EFVP) : évaluer les risques avant certains projets d'acquisition, de développement ou de refonte de systèmes, et avant toute communication de renseignements hors du Québec.
- Droit à la portabilité et à la désindexation : permettre aux personnes d'obtenir leurs données dans un format structuré et de demander la cessation de la diffusion.
Où les organisations pèchent le plus souvent
Les écarts les plus fréquents ne sont pas dans les grands principes, mais dans l'exécution : un registre des incidents inexistant, des contrats fournisseurs qui ne prévoient pas la notification, des transferts de données hors Québec sans EFVP, ou des mécanismes de consentement noyés dans les conditions générales. La conformité se joue dans ces détails opérationnels, pas dans la politique affichée sur le site.