La Loi 25 du Québec expliquée : principales étapes de conformité pour les entreprises

Alexis Dessaints
This is some text inside of a div block.
8 minutes
August 27, 2025

Table des matières

La Loi 25 du Québec représente une refonte complète du régime de confidentialité du Québec, le mettant en conformité avec les normes mondiales telles que le RGPD de l'UE. Concrètement, cela signifie des règles de consentement plus strictes, des droits individuels élargis et des obligations plus strictes pour les entreprises. La loi est appliquée par L'organisme de réglementation de la confidentialité du Québec, officiellement connu sous le nom de Commission d'accès à l'information du Québec (Commission d'accès à l'information du Québec). Cet organisme supervise la conformité, gère les plaintes et est habilité à enquêter sur les violations et à imposer des sanctions. Les principales dispositions de la Loi 25 du Québec ont été mises en œuvre par étapes sur trois ans, et de nombreuses exigences sont entrées en vigueur à l'automne 2023. Ce guide décrit la Loi 25 (parfois appelée de façon informelle la Loi sur la confidentialité des données du Québec) en langage clair et met en évidence ce que votre organisation doit faire pour s'y conformer. Nous aborderons le champ d'application de la loi, les principales obligations (responsable de la confidentialité, politiques, PIA, notifications de violation, consentement, etc.), le calendrier de mise en œuvre, les comparaisons avec le RGPD et une liste de contrôle de conformité pratique.

Qu'est-ce que la Loi 25 du Québec ?

La Loi 25 est la nouvelle loi québécoise sur la confidentialité des données pour les secteurs privé et public. Il a été promulgué en tant que Loi visant à moderniser les dispositions législatives relatives aux renseignements personnels. Présenté à la législature en tant que Proyecto de loy 64 (souvent désigné par son titre abrégé français, Loi 25), il a été adopté le 22 septembre 2021. Bref, la Loi 25 actualise et renforce de façon drastique les règles de confidentialité du Québec. Il a été adopté en septembre 2021 et déployé sur une période de transition de trois ans. L'objectif est d'aligner les règles du Québec sur les normes modernes en matière de protection de la vie privée.

En vertu de la Loi 25, les citoyens du Québec obtiennent des droits renforcés et les entreprises sont confrontées à des obligations plus strictes. Par exemple, la Loi 25 introduit des exigences de consentement explicite, des avis de confidentialité plus clairs et de nouvelles obligations de notification des violations. Il crée également un nouveau régime d'exécution (avec le pouvoir d'infliger des amendes importantes) et accorde même aux citoyens un droit d'action privé contre les contrevenants. Il serait correct de dire que la Loi 25 apporte des principes tels que confidentialité dès la conception et minimisation des données dans la pratique quotidienne. Si vous connaissez déjà le RGPD, vous reconnaîtrez de nombreux concepts similaires, mais la Loi 25 est la version québécoise d'une solide loi sur la protection des données.

À qui s'applique la Loi 25 ?

La loi s'applique très largement. Toute organisation, y compris les entreprises et les organismes sans but lucratif, qui recueille, traite, utilise ou divulgue les renseignements personnels des résidents du Québec doit s'y conformer. Cela est vrai indépendamment de la taille, des revenus ou même de l'emplacement de l'organisation. Les organismes gouvernementaux et les opérations purement fédérales ont des règles distinctes, mais pour la plupart des entreprises, la Loi 25 s'appliquera. (En bref, la Loi 25 est parfois confondue avec la Loi 25 du Québec, mais elles sont différentes : la Loi 25 du Québec était une législation provinciale indépendante.

Principales exigences de conformité en vertu de la Loi 25

La Loi 25 du Québec impose une série de nouvelles tâches aux organisations visées. Dans la pratique, cela signifie que vous devrez mettez à jour votre programme de confidentialité à bien des égards. Vous trouverez ci-dessous les principales exigences de conformité que vous devez respecter :

Désigner un responsable de la protection des renseignements personnels

La Loi 25 impose à chaque organisation de disposer d'une personne dédiée chargée de la confidentialité. Techniquement, si vous ne nommez pas explicitement quelqu'un, le rôle défauts à votre plus haut responsable (par exemple, le PDG). Cependant, la plupart des entreprises choisissent de nommer de manière proactive un responsable de la protection de la vie privée. Cette personne, qui peut être un employé interne ou un consultant externe, supervise la conformité à la Loi 25.

Si le responsable de la protection de la vie privée n'est pas le PDG, la Loi 25 oblige l'organisation à publier le nom, le titre et les coordonnées de cette personne sur son site Web. En bref : assurez-vous que quelqu'un est responsable. De nombreuses entreprises répondent à cette exigence en faisant appel à un fournisseur de services DPO externalisé ou à un consultant dédié en matière de confidentialité pour occuper le poste de manière professionnelle.

Maintenir une politique de confidentialité à jour

La Loi 25 impose aux entreprises de publier une politique de confidentialité complète expliquant comment elles traitent les données personnelles. Cette politique doit inclure l'objectif, la portée et les types d'informations personnelles collectées et utilisées.

Il doit également décrire vos mesures de sécurité (par exemple, le cryptage et les contrôles d'accès) et les pratiques de partage de données par des tiers. Plus important encore, la politique doit être rédigée dans un langage clair et simple. Vous devez le tenir à jour et le rendre facilement accessible (par exemple, en bonne place sur votre site Web). Cela implique de revoir et de mettre à jour votre politique de confidentialité chaque fois que vous introduisez de nouvelles utilisations des données ou de nouvelles technologies, et de vous assurer qu'elle reflète toutes les exigences de la Loi 25 (par exemple, y compris les détails sur les coordonnées du responsable de la confidentialité et sur les périodes de conservation).

Confidentialité par défaut et confidentialité dès la conception

La protection de la vie privée dès la conception est inscrite dans la Loi 25. La loi exige que tout produit ou service proposé au public utilise les paramètres de confidentialité les plus élevés par défaut, de sorte qu'aucune organisation ne collecte de données personnelles inutiles à moins que l'utilisateur n'y consente. Cette règle de « confidentialité par défaut » signifie que les fonctionnalités de suivi ou de profilage ne sont pas activées par défaut dans vos applications, sites Web ou appareils.

Réaliser des évaluations d'impact sur la vie privée (PIA)/Évaluations d'impact sur la vie privée (EIVP)

La loi 25 introduit une obligation formelle d'exécution Évaluations d'impact sur la confidentialité (PIA) dans certaines situations. Un PIA est un processus qui permet d'analyser la manière dont un projet ou un système affecte la vie privée des personnes et comment atténuer les risques. En vertu de la Loi 25, vous devez effectuer un PIA lorsque vous entreprenez des activités telles que l'acquisition, le développement ou la révision d'un système qui gère des données personnelles. C'est absolument requise si des données personnelles sont destinées à être transférées hors du Québec, si vous mettez en œuvre des technologies à haut risque (IA, biométrie, etc.) ou lorsque vous utilisez des données à de nouvelles fins. Lors d'une évaluation des données, vous documentez des éléments tels que la sensibilité des données, la manière dont elles seront utilisées et les mesures de protection qui seront appliquées.

Notification de violation de données

La loi 25 renforce les règles relatives au signalement des violations de données. Si votre organisation subit un incident de sécurité impliquant des données personnelles qui crée un « risque de blessures graves » pour les individus, vous devez en informer l'organisme de réglementation de la protection de la vie privée du Québec (la Commission d'accès à l'information) et les personnes concernées dès que possible.

Exigences relatives au consentement

Le Québec a toujours été une juridiction fondée sur le consentement, mais la Loi 25 place la barre plus haut. Désormais, le consentement doit être éclairé, spécifique et explicite pour chaque objectif d'utilisation des données. Vous ne pouvez pas enterrer une déclaration de consentement générale en petits caractères. La demande de consentement doit ressortir à elle seule.

Les informations personnelles sensibles nécessitent un opt-in explicite. Par exemple, si vous collectez des données médicales ou biométriques, vous devez demander une autorisation claire en plusieurs étapes. De plus, le consentement des parents est désormais requis avant de collecter des données auprès de mineurs de moins de 14 ans.

Droits renforcés pour les individus

La Loi 25 accorde aux résidents du Québec une série de droits relatifs aux données similaires à ceux du RGPD. À compter de septembre 2023, les individus ont obtenu le droit d'être informés, d'accéder à leurs informations personnelles, de demander des corrections et de demander l'effacement de leurs données. Ils peuvent également retirer leur consentement ou restreindre le traitement de leurs données. Un nouveau droit à la portabilité des données entre en vigueur en septembre 2024, permettant aux personnes d'obtenir une copie de leurs données dans un format commun. Dans la pratique, votre organisation doit disposer de processus pour traiter ces demandes rapidement (conformément à la loi, généralement dans les 30 jours) et de manière complète.

Transparence des décisions automatisées

La loi 25 traite spécifiquement des décisions automatisées et du profilage. Si votre entreprise prend des décisions concernant des personnes en utilisant uniquement le traitement automatisé, vous devez informer les personnes concernées qu'un système automatisé a été utilisé. De même, si vos applications ou services utilisent des technologies qui identifient, suivent ou profilent les utilisateurs, vous devez le signaler et expliquer comment les utilisateurs peuvent désactiver ces fonctions.

Calendrier et mise en œuvre par étapes

La Loi 25 a été conçue avec une période de transition afin de donner aux entreprises le temps de s'adapter. Le calendrier de conformité (souvent désigné par étapes) ressemble à peu près à ceci :

  • Septembre 2022 : Les premières obligations sont entrées en vigueur, notamment la notification obligatoire des violations et l'obligation de désigner un responsable de la protection de la vie privée.
  • Septembre 2023 : La plupart des nouvelles règles sont entrées en vigueur. À cette date, les organisations devront effectuer les PIA requis, proposer des politiques de confidentialité mises à jour, s'assurer de la conformité des formulaires de consentement et accorder de nouveaux droits (tels que l'effacement et le « droit de restreindre le traitement »).
  • Septembre 2024 : Les derniers éléments sont en place, notamment le droit à la portabilité des données et toutes les exigences restantes.

Comparaison entre la Loi 25 du Québec et le RGPD

Si votre entreprise est déjà conforme au RGPD, vous trouverez de nombreux éléments familiers dans la Loi 25. Les deux lois mettent l'accent confidentialité dès la conception, de larges droits des personnes concernées, la responsabilité et des normes de consentement strictes. Les sanctions sont tout aussi sévères. La Loi 25 du Québec autorise des amendes allant jusqu'à 4 % du chiffre d'affaires mondial (soit 25 millions de dollars canadiens), tout comme le maximum du RGPD.

Il existe également des différences importantes. Par exemple, le RGPD a besoin un délégué à la protection des données pour de nombreuses organisations, alors que la Loi 25 rend le rôle de responsable de la protection de la vie privée facultatif (la direction est attribuée par défaut à la haute direction en cas de vacance). La loi 25 accorde de manière unique aux individus un droit d'action privé, ce qui signifie que les Québécois peuvent poursuivre les entreprises pour atteinte à la vie privée (un recours non disponible dans le cadre du RGPD). L'âge du consentement varie également : la Loi 25 le fixe à 14 ans, alors que le RGPD en fixe généralement 16. Et comme la Loi 25 est provinciale, elle a un contexte spécifique (par exemple, elle fonctionne parallèlement à la Charte de la langue française du Québec, qui exige des politiques françaises pour les résidents du Québec).

Si vous utilisez le même personnel, les mêmes outils et les mêmes processus pour vous conformer au RGPD, vous aurez une longueur d'avance. Mais il se peut que vous deviez ajuster certains détails. (Par exemple, vous souhaiterez peut-être documenter les différences dans le cadre de votre Services de conformité au RGPD si vous desservez à la fois les marchés de l'UE et du Québec.) Dans l'ensemble, considérez la Loi 25 comme un « RGPD allégé » adapté au Québec : de nombreux principes fondamentaux s'alignent, mais avec une touche québécoise.

Sanctions en cas de non-conformité

Le non-respect de la Loi 25 entraîne de graves conséquences. Le régulateur de la protection de la vie privée du Québec peut imposer amendes administratives jusqu'à 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu. Même les membres d'une entreprise peuvent se voir infliger une amende personnelle (de 5 000$ à 50 000$ CA) pour violation d'obligations. Au-delà des amendes, n'oubliez pas que les citoyens peuvent intenter une action civile : une personne qui subit un préjudice à la suite d'une atteinte à la vie privée peut poursuivre l'organisation en dommages et intérêts (avec une réclamation minimale de 1 000$).

Liste de contrôle de conformité à la Loi 25 du Québec

Pour vous aider à organiser vos efforts, voici une liste rapide des étapes essentielles de conformité à la Loi 25 :

  • Désignez un responsable de la confidentialité. Désignez une personne chargée de superviser la conformité à la Loi 25. Il peut s'agir d'un cadre existant ou d'un spécialiste externe. (Si ce n'est pas le cas, le poste est attribué par défaut au PDG) Envisagez de recruter services DPO externalisés si vous avez besoin d'une expertise supplémentaire.

  • Mettez à jour votre politique de confidentialité. Publiez une politique de confidentialité claire et bilingue (si nécessaire) couvrant tous les droits et utilisations des données. Rendez-le convivial et indiquez comment contacter votre responsable de la protection de la vie privée.

  • Mettez en œuvre la confidentialité dès la conception. Configurez les systèmes pour qu'ils utilisent les paramètres de confidentialité maximum par défaut. Limitez la collecte de données au strict nécessaire et limitez les périodes de conservation des documents. Cela permet de minimiser les risques dès le départ.

  • Réaliser des PIA. Pour toute initiative majeure en matière de données (nouvelle base de données, déploiement de l'IA, transfert transfrontalier, etc.), effectuez une évaluation de l'impact sur la vie privée. Identifiez les risques et corrigez-les avant le lancement.

  • Élaborez un plan de réponse aux violations de données. Créez et testez un protocole afin de pouvoir réagir rapidement aux incidents. Définissez les rôles et le flux de travail, et préparez des modèles pour informer la Commission et les particuliers.

  • Réviser les mécanismes de consentement. Assurez-vous que toutes les demandes de consentement sont dissociées et explicites. Utilisez un langage d'acceptation clair et conservez une trace du moment et de l'endroit où le consentement a été donné et retiré.

  • Préparez-vous aux demandes d'accès aux sujets. Mettez en place des processus pour traiter les demandes de droits des personnes (accès, correction, suppression, portabilité) dans le délai de 30 jours. Documentez la façon dont les demandes sont enregistrées et traitées.

  • Passez en revue les contrats et les transferts. Si vous envoyez les données des Québécois hors de la province (voire hors du Canada), mettez à jour les contrats avec des garanties appropriées. Incluez des clauses de confidentialité avec tout tiers qui traite des données personnelles.

  • Formez votre équipe. Sensibiliser le personnel aux nouvelles règles. Toute personne manipulant des données personnelles doit connaître les bases, telles que le signalement des violations et les procédures de consentement.

Cette liste de contrôle n'est pas exhaustive, mais elle couvre les principales exigences de la Loi 25 du Québec. Utilisez-le comme point de départ pour le plan de votre projet de conformité.

Bénéficiez de l'aide d'un expert en matière de conformité à la Loi 25

L'adaptation à la Loi 25 peut être un processus complexe. Faire appel à des experts peut améliorer considérablement votre processus et, en même temps, vous éviter d'éventuelles amendes. DPO Consulting est l'un des principaux acteurs du secteur, aidant les entreprises à respecter les réglementations relatives à la confidentialité. Nous fournissons services DPO externalisés, une formation sur la protection de la vie privée et des conseils sur la mise à jour des politiques. Nous proposons également des Services de conformité au RGPD si vous opérez à l'international.

Nos experts peuvent vous aider à créer ou à réviser votre plan de réponse aux violations de données, réalisez ou validez des PIA, rédigez des formulaires de consentement conviviaux et assurez-vous généralement que vous répondez à toutes les exigences. Nos consultants DPO peuvent prendre en charge la gestion des demandes de confidentialité et des dépôts réglementaires, libérant ainsi votre équipe. N'attendez pas la dernière minute ; obtenir une assistance professionnelle dès maintenant peut vous donner l'assurance que votre organisation répond pleinement à toutes les exigences Exigences de la Loi 25 du Québec.

FAQ

Qu'est-ce que la Loi 25 (Projet de loi 64), et qui doit s'y conformer ? 

La Loi 25 (le nom officiel de la nouvelle loi québécoise sur la protection de la vie privée dans le secteur privé) a été présentée sous le nom de projet de loi 64 avant son entrée en vigueur. Ce n'est pas la même chose que le projet de loi 25 du Québec (une loi différente). Si vous faites des affaires au Québec ou gérez les données personnelles de résidents du Québec, vous devez vous conformer à la Loi 25, quel que soit le siège de votre entreprise.

Quand les exigences entrent-elles en vigueur ? 

La Loi 25 est entrée en vigueur par étapes. Les principaux éléments (tels que la notification des violations et la nomination d'un responsable de la confidentialité) ont débuté en septembre 2022, la plupart des nouvelles règles sont entrées en vigueur en septembre 2023 et les dispositions finales (comme la portabilité des données) sont arrivées en septembre 2024.

Dois-je désigner un DPO ? 

Vous devez désigner quelqu'un comme responsable de la protection de la vie privée. La loi est flexible : vous pouvez désigner n'importe quelle personne qualifiée ou sous-traiter la fonction. Si vous ne le faites pas, cela revient automatiquement au plus haut dirigeant (CEO/MD). Quoi qu'il en soit, la Loi 25 exige que l'identité et les coordonnées de cette personne soient rendues publiques. De nombreuses entreprises optent pour des services de DPO externalisés pour répondre à ce besoin en douceur.

Quelles sont les sanctions en cas d'infraction à la Loi 25 ? 

La non-conformité peut être coûteuse. Les amendes réglementaires peuvent atteindre 25 millions de dollars canadiens, soit 4 % des ventes mondiales. Les membres de l'entreprise peuvent également être passibles d'amendes. Les Québécois peuvent également intenter une action en dommages et intérêts si leur droit à la vie privée est violé. Disposer d'un plan de réponse aux violations et d'un processus de gestion des consentements appropriés est le meilleur moyen d'éviter ces sanctions.

En quoi la Loi 25 diffère-t-elle du RGPD ? 

La Loi 25 partage de nombreux concepts avec le RGPD (droits, consentement, protection de la vie privée dès la conception), mais présente des caractéristiques uniques. Notamment, le rôle du responsable de la protection de la vie privée est facultatif (il revient par défaut à la haute direction), et la loi québécoise ajoute un droit d'action privé pour les citoyens. L'âge du consentement est de 14 ans en vertu de la Loi 25. De plus, la Loi 25 est provinciale, elle fonctionne donc en parallèle avec la LPRPDE fédérale du Canada et les règles linguistiques du Québec. Si vous proposez déjà des services de conformité au RGPD, appliquer des pratiques similaires à la Loi 25 constitue un bon début, en ajustant ces différences locales.

DPO Consulting : votre partenaire en matière d'IA et de conformité au RGPD

Investir dans les efforts de conformité au RGPD peut peser lourdement sur les grandes entreprises ainsi que sur les petites et moyennes entreprises (PME). Le recours à une ressource ou à une assistance externe peut alléger la charge d'un audit interne pour l'ensemble des entreprises et alléger la pression sur les finances, les capacités technologiques et l'expertise de l'entreprise.

Les auditeurs externes et les partenaires experts tels que DPO Consulting sont bien placés pour aider les organisations à gérer efficacement la nature complexe des audits du RGPD. Ces professionnels formés agissent comme une extension de votre équipe, aidant à rationaliser les processus d'audit, à identifier les domaines à améliorer, à mettre en œuvre les changements nécessaires et à garantir la conformité au RGPD.

Confier le bon partenaire offre l'avantage de l'impartialité et du respect des normes du secteur et permet de débloquer une multitude de ressources telles que des informations spécifiques au secteur, ce qui se traduit par des évaluations impartiales et une conformité réussie. Travailler avec DPO Consulting se traduit par un gain de temps précieux et allège la charge de travail du personnel interne, tout en réduisant considérablement les coûts de l'entreprise.

Nos solutions

RGPD et conformité

DPO et représentation externalisés

Formation et assistance

À lire également

See all

Liste de contrôle des audits de cybersécurité : étapes clés et contrôles essentiels pour la conformité

Une liste de contrôle d'audit de cybersécurité permet d'évaluer les contrôles de sécurité en matière de politiques, de systèmes, de réponse aux incidents et de formation.

Read more

Audit de conformité en matière de cybersécurité : qu'est-ce que c'est et comment le réaliser

Un audit de conformité en matière de cybersécurité évalue vos contrôles, politiques et pratiques de sécurité par rapport aux normes et réglementations.

Read more

L'IDTA britannique expliquée : comment utiliser l'accord international de transfert de données dans le cadre du RGPD britannique

L'IDTA est le contrat type du Royaume-Uni pour les transferts de données restreints en dehors du Royaume-Uni lorsqu'aucune décision d'adéquation ne s'applique.

Read more
Restez au courant des dernières actualités en matière de protection des données et de conformité au RGPD.
Votre adresse e-mail sera utilisée pour vous envoyer notre newsletter ainsi que des informations concernant l'activité et l'actualité de DPO Consulting. Vous pouvez vous désinscrire à tout moment en cliquant sur le lien de désinscription figurant dans les e-mails. Pour en savoir plus sur vos droits, consultez notre Politique de confidentialité.
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
À propos de nous
Notre expertise
Logiciel RGPD (myDPO)
Nous contacter
contact@dpo-consulting.com
+33 (0) 1 55 06 16 86
50, Avenue des Champs-Élysées, 75008, Paris, France
DPO ExternaliséDPO International Assistance DPOReprésentant UEReprésentant UKFormation en protection des données
Conformité des études cliniquesAudit de conformité RGPDAnalyse d'Impact sur la Vie Privée (AIPD)Transformation digitaleConformité multi-réglementaireUK GDPR, UK DPA, & DUAA
Conformité en cybersécurité
RSSI ExternaliséAudit de conformité en cybersécuritéGestion de projet IT
Conformité à l'AI Act
Audit de conformité à l'AI ActFormation à l'AI Act
DPO Consulting © 2025 Tous droits réservés |
Conditions d'utilisation
|
Politique de confidentialité
|
Politique en matière de cookies
|
Mentions légales
Créons un expérience comme remarquable en tant que votre entreprise
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
Pages principales
Pages du CMS
Utilité
Modèles
hi@byq.studio
@byqstudio
+1 600 600 000
White stylized letter B logo on a black circular background.
Hey there 🙌🏽 This is Grained Agency Webflow Template by BYQ studio
Read more
Minimize
Template details

Included in Grained

Grained Agency Webflow Template comes with everything you need

15+ pages

25+ sections

20+ Styles & Symbols

Figma file included

To give you 100% control over the design, together with Webflow project, you also get the Figma file. After the purchase, simply send us an email to and we will e happy to forward you the Figma file.

Buy template $79

Grained Comes With Even More Power

Overview of all the features included in Grained Agency Template

Premium, custom, simply great

Yes, we know... it's easy to say it, but that's the fact. We did put a lot of thought into the template. Trend Trail was designed by an award-winning designer. Layouts you will find in our template are custom made to fit the industry after carefully made research.

Optimised for speed

We used our best practices to make sure your new website loads fast. All of the images are compressed to have as little size as possible. Whenever possible we used vector formats - the format made for the web.

Responsive

Grained is optimized to offer a frictionless experience on every screen. No matter how you combine our sections, they will look good on desktop, tablet, and phone.

Reusable animations

Both complex and simple animations are an inseparable element of modern website. We created our animations in a way that can be easily reused, even by Webflow beginners.

Modular

Our template is modular, meaning you can combine different sections as well as single elements, like buttons, images, etc. with each other without losing on consistency of the design. Long story short, different elements will always look good together.

100% customisable

On top of being modular, Grained was created using the best Webflow techniques, like: global Color Swatches, reusable classes, symbols and more.

CMS

Grained includes a blog, carrers and projects collections that are made on the powerful Webflow CMS. This will let you add new content extremely easily.

Ecommerce

Grained Template comes with eCommerce set up, so you can start selling your services straight away.

Figma included

To give you 100% control over the design, together with Webflow project, you also get the Figma file.

Buy template $79