Loi 25

Qu’est-ce que la Loi 25 au Québec?

Définition de la Loi 25

La Loi 25, anciennement connue sous le nom de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est une réforme majeure de la législation québécoise sur la protection des données personnelles. Adoptée en septembre 2021, elle modifie notamment la Loi sur la protection des renseignements personnels dans le secteur privé et vise à renforcer la transparence, la responsabilité et la sécurité des organisations qui traitent des données personnelles. Cette loi s’applique à toutes les entreprises québécoises, incluant les PME et les entreprises du secteur de la construction, dès qu’elles collectent, détiennent ou utilisent des renseignements personnels.

Quels sont les objectifs de la Loi 25 ?

La Loi 25 a pour but :

• D’accroître la protection des renseignements personnels des citoyens;
• De clarifier les responsabilités des entreprises en matière de traitement des données;
• D’harmoniser les lois québécoises avec les normes internationales comme le Règlement général sur la protection des données (RGPD) de l’Union européenne.

Principales obligations pour les entreprises

Responsabilité accrue

Les entreprises doivent désormais désigner une personne responsable de la protection des renseignements personnels, généralement le dirigeant principal ou un délégué nommé officiellement.

Tenue d’un registre des incidents

Toute entreprise doit consigner les incidents de confidentialité (ex. : fuite de données) et notifier la Commission d’accès à l’information (CAI) ainsi que les personnes concernées en cas de risque sérieux de préjudice.

Consentement explicite

Le consentement pour recueillir des données doit être clair, libre, éclairé et spécifique. Il doit être obtenu pour chaque finalité distincte.

Transparence

Les entreprises doivent informer les individus des fins pour lesquelles leurs données sont collectées, des moyens de collecte, et de leur droit d’accès, de rectification ou de retrait du consentement.

Portabilité des données

Les individus auront bientôt le droit de demander leurs renseignements personnels dans un format technologique structuré et couramment utilisé.

FAQ sur la Loi 25

À qui s’applique la Loi 25?

Elle s’applique à toutes les entreprises privées opérant au Québec qui recueillent, détiennent ou utilisent des renseignements personnels, peu importe leur taille ou leur secteur d’activité.

Quand les différentes obligations sont-elles entrées en vigueur?

Les obligations sont entrées en vigueur progressivement :

• 2022 : désignation du responsable et gestion des incidents.
• 2023 : obligations sur la transparence, la minimisation des données, et les politiques internes.
• 2024 : droit à la portabilité des données.

Quelles sont les conséquences en cas de non-conformité?

Les sanctions peuvent atteindre 25 millions $ ou 4 % du chiffre d’affaires mondial pour les cas les plus graves. Des sanctions administratives et pénales sont également prévues.

Comment se conformer à la Loi 25?

Pour se conformer à la Loi 25, une entreprise doit désigner un responsable de la protection des renseignements personnels, obtenir un consentement éclairé, assurer la sécurité des données, documenter les incidents et publier une politique de confidentialité transparente.