Aller au contenu
FortaRisks
Retour au glossaireConformité et réglementation

Loi 25

La Loi 25 est la loi québécoise qui modernise la protection des renseignements personnels. Elle impose aux organisations qui traitent des données de résidents du Québec des obligations strictes : consentement, transparence, gouvernance, notification des incidents de confidentialité et sanctions pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial.

Mis à jour le 2 juillet 2026

Qu'est-ce que la Loi 25 ?

La Loi 25, officiellement la « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels », est la réforme québécoise de la vie privée adoptée en 2021 et déployée par étapes jusqu'en 2024. Elle réécrit en profondeur les obligations des organisations du secteur privé comme du secteur public qui traitent des renseignements personnels.

Ce n'est pas une politique que l'on rédige une fois puis que l'on classe. C'est un ensemble d'obligations opérationnelles continues qui touchent la gouvernance, les processus, les contrats fournisseurs et la technologie.

Pourquoi c'est important pour votre organisation

Le non-respect de la Loi 25 expose à des sanctions administratives pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial, et à des sanctions pénales allant jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial. Au-delà de l'amende, un incident de confidentialité mal géré entame la confiance des clients et attire l'attention des assureurs et des partenaires d'affaires.

La Loi 25 déplace aussi la responsabilité vers le sommet : la gouvernance des renseignements personnels n'est plus une affaire strictement technique, elle relève désormais de la direction.

Les obligations clés

  • Responsable de la protection des renseignements personnels : par défaut la personne ayant la plus haute autorité, avec possibilité de déléguer par écrit.
  • Consentement clair : un consentement distinct, éclairé et donné à des fins précises, séparé des autres conditions.
  • Transparence : des politiques de confidentialité compréhensibles et accessibles, publiées sur les plateformes qui recueillent des données.
  • Notification des incidents : signaler à la Commission d'accès à l'information et aux personnes concernées tout incident présentant un risque de préjudice sérieux, et tenir un registre des incidents.
  • Évaluation des facteurs relatifs à la vie privée (EFVP) : évaluer les risques avant certains projets d'acquisition, de développement ou de refonte de systèmes, et avant toute communication de renseignements hors du Québec.
  • Droit à la portabilité et à la désindexation : permettre aux personnes d'obtenir leurs données dans un format structuré et de demander la cessation de la diffusion.

Où les organisations pèchent le plus souvent

Les écarts les plus fréquents ne sont pas dans les grands principes, mais dans l'exécution : un registre des incidents inexistant, des contrats fournisseurs qui ne prévoient pas la notification, des transferts de données hors Québec sans EFVP, ou des mécanismes de consentement noyés dans les conditions générales. La conformité se joue dans ces détails opérationnels, pas dans la politique affichée sur le site.

Questions fréquentes

À qui s'applique la Loi 25 ?

À toute entreprise ou organisme, au Québec ou ailleurs, qui recueille, détient, utilise ou communique des renseignements personnels de résidents du Québec, quel que soit son secteur ou sa taille. La localisation des serveurs ne change rien : c'est la résidence des personnes concernées qui compte.

Quelle est la différence entre la Loi 25 et le RGPD ?

Les deux régimes partagent les mêmes principes (consentement, minimisation, droits des personnes, notification des incidents). La Loi 25 est cependant propre au Québec, exige la nomination d'un responsable de la protection des renseignements personnels, impose une évaluation des facteurs relatifs à la vie privée pour certains projets et prévoit ses propres seuils de sanction. Être conforme au RGPD ne garantit pas la conformité à la Loi 25.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.