Vous avez un site internet et pensez que la Loi 25 ne vous concerne pas?
Détrompez-vous. La Loi 25 au Québec est devenue le gardien intransigeant de nos données numériques. Ignorer ces nouvelles obligations pourrait vous coûter une fortune.
Et en tant que centre de formation en marketing digital, nous ne pouvions pas vous laisser affronter seul ce changement.
On vous a donc préparé un résumé de ce que vous devez savoir sur la Loi 25 avec les nouveautés à connaître en 2026! 🗓️
Prêt à percer les secrets de la fameuse Loi 25, qui fait jaser davantage que la dernière saison d’OD?
Si vous souhaitez établir la feuille de route des étapes essentielles pour vous conformer à la Loi 25, suivez notre formation Loi 25 en ligne.
Vous aurez toutes les clés pour collecter des données de manière sécurisée en toute légalité 🔑
Qu’est-ce que la Loi 25 et pourquoi est-elle cruciale?
Adoptée au Québec en 2021, la Loi 25 vise à renforcer la protection des renseignements personnels des citoyens. Elle oblige les entreprises à faire preuve de transparence quant à la collecte, l’utilisation, la conservation et la protection des données. La Loi 25, c’est le rempart du Québec contre les abus numériques.
Officiellement appelée « Loi sur la gouvernance des renseignements personnels », elle vient réguler méticuleusement la manière dont les entreprises privées et les organismes publics collectent et traitent nos (et vos) données personnelles.
En gros, elle est le bouclier qui évite que vos informations personnelles soient divulguées à des individus mal intentionnés 🔒
L’objectif de la Loi 25? Elle vise non seulement à empêcher la divulgation non autorisée de vos renseignements, mais aussi à renforcer la confiance des internautes québécois face à l’usage de leurs données.
La Commission d’Accès à l’Information: le gardien des données
La Commission d’accès à l’information du Québec (CAI) est un organisme public indépendant créé suite à la mise en application de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Sa mission principale est de veiller à la transparence des institutions publiques et à la protection des renseignements personnels des citoyens.
La Commission d’Accès à l’Information du Québec est responsable de la mise en œuvre de la Loi 25.
Elle s’assure, grâce aux dispositions législatives en matière de protection des renseignements personnels dans le secteur, que les entreprises respectent des critères stricts en matière de collecte de données.
Les principales responsabilités de la CAI incluent:
- Accès à l’information: la CAI traite les demandes d’accès à l’information et peut ordonner la divulgation de documents publics
- Protection des renseignements personnels: elle s’assure que les organismes publics et privés respectent les lois sur la protection des renseignements personnels
- Enquêtes et sanctions: la CAI peut mener des enquêtes sur des plaintes concernant des violations de la vie privée et imposer des sanctions en cas de non-conformité
- Sensibilisation et éducation: elle joue également un rôle éducatif en sensibilisant les citoyens et les organisations à l’importance de la protection des renseignements personnels et de la transparence
Pourquoi la Loi 25 sur la protection des renseignements personnels a-t-elle été créée?
Face à l’explosion des données en ligne, le Québec a adopté la loi modernisant des dispositions législatives en matière de protection pour garantir aux citoyens un meilleur contrôle de leurs renseignements personnels.
Vous n’avez pas envie que tout le monde puisse avoir accès à votre…
- Adresse de courrier électronique
- Numéro de cellulaire
- Numéro d’assurance sociale (NAS)
- Taille de chaussures
- Historique YouTube
- Etc.
C’est la raison pour laquelle la Loi 25 a été créée: protéger vos renseignements personnels pour qu’ils restent secrets 🔑
Qu’est-ce qu’un renseignement personnel pour la Loi 25 au Québec?
Selon la Loi 25 au Québec, un renseignement personnel est toute information qui concerne une personne physique et permet de l’identifier.
Qui doit respecter la Loi 25?
La Loi 25 s’applique à toute entreprise ou organisation, publique ou privée, qui collecte, détient, utilise ou communique des renseignements personnels au Québec.
Cela inclut les PME, les travailleurs autonomes, les OBNL et les grandes entreprises, même si leur siège social est situé à l’extérieur du Québec.
L’application de la Loi 25, c’est aussi pour les PME
Les PME doivent accorder une attention particulière à la Loi 25. Avec l’avancée de l’intelligence artificielle et la numérisation croissante des données, les mesures de sécurité doivent évoluer afin d’éviter les incidents de confidentialité.
Les petites et moyennes entreprises se doivent d’instaurer des dispositifs de sécurité pertinents comme des politiques de confidentialité.
L’objectif? Empêcher toute violation des informations des clients et assurer un niveau de confidentialité conforme à la loi.
Quelles sont les sanctions en cas de non-conformité à la Loi 25?
Voici la liste des amendes qui pourraient retomber sur votre entreprise en cas de poursuites pénales si vous ne respectez pas la Loi 25:
En cas d’infraction à la Loi 25, il n’existe pas de classification officielle du niveau de gravité (comme « mineure » ou « majeure »).
Toutefois, deux types de sanctions financières peuvent s’appliquer :
- Les sanctions administratives, imposées par la CAI
- Les sanctions pénales, déterminées par la Cour du Québec
… et différents plafonds s’appliquent, tout dépendant si l’auteur est une personne physique ou une organisation.
En voici un aperçu:
| Type de sanction | Individu | Entreprise / organisme public |
|---|---|---|
| Administrative (CAI) | Jusqu’à 50 000 $ | Jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial, selon le montant le plus élevé |
| Pénale (Cour du Québec) | 5 000 $ à 100 000 $ | 15 000 $ à 25 000 000 $ ou 4 % du chiffre d’affaires mondial, selon le montant le plus élevé |
💡 La CAI a annoncé qu’elle adoptera d’abord une posture pédagogique, mais n’hésitera pas à sanctionner les manquements graves ou répétés. Toutefois, les sanctions peuvent être imposées en vertu de la loi, même si l’infraction résulte d’une simple négligence.
Mieux vaut prévenir! Mais sachez que, même en cas d’infraction, la CAI tient compte de la bonne foi et récompense la proactivité. Une entreprise ayant entamé des démarches concrètes de conformité à la Loi 25 pourrait voir ses sanctions allégées.
Les obligations de la Loi 25: guide simplifié
La Loi 25 est entrée en vigueur progressivement à partir de septembre 2022, jusqu’à son déploiement complet le 22 septembre 2024. Et aujourd’hui… c’est officiel! Toutes ses dispositions sont maintenant en vigueur partout au Québec ✅
Mais que devez-vous faire pour vous assurer de vous y conformer?
Voici un aperçu simplifié 😉:
- Désignation d’un responsable de la protection des renseignements personnels: chaque compagnie est tenue de désigner un responsable dédié à la sécurisation des données tout au long du cycle de vie des renseignements personnels, et les informations pour le contacter devraient être disponibles facilement sur votre site web
- Gestion des incidents: en cas d’incident de confidentialité impliquant votre entreprise, vous devez réagir vite pour limiter les dégâts et prévenir l’autorité de régulation (Commission d’accès à l’information) ainsi que les personnes touchées
Cela vaut autant pour les PME que pour les grandes organisations, notamment lors d’incidents impliquant des renseignements personnels dans le secteur privé.
Les étapes à venir: soyez prêts!
L’ensemble des dispositions de la Loi 25 sont maintenant en vigueur. Donc, en date de 2026, ce sont à la fois celles de septembre 2023 et celles de septembre 2024 que vous devez vous assurer de respecter.
Voici la liste de toutes les obligations de la Loi 25:
Depuis septembre 2023
- Définissez une politique de gouvernance: cette politique doit être claire, simple et accessible sur le site web de l’entreprise
- Évaluez les risques: avant de partager des données hors Québec, une Évaluation des Facteurs Relatifs à la vie privée est nécessaire
- Obtenez le consentement préalable de vos visiteurs: si vous utilisez des outils de collecte de données sur votre site internet (ex: Google Analytics), vous devez informer les utilisateurs et obtenir leur consentement explicite (ex: via un bandeau de consentement s’affichant lors de la connexion sur votre site internet)
- Supprimez les informations personnelles: une fois la finalité de la collecte atteinte, vous devrez procéder à la destruction des renseignements personnels ou leur anonymisation
💡 L’anonymisation, c’est simplement lorsqu’on modifie un renseignement personnel de manière à ce qu’on ne puisse plus jamais remonter à la personne concernée… même avec tous les moyens du monde. Ça garantit l’irréversibilité et protège l’identité de vos utilisateurs.
Depuis septembre 2024
- Les citoyens doivent pouvoir demander l’accès à leurs renseignements personnels et corriger ces données si nécessaire, votre site web doit donc être en mesure de donner accès à ces informations (de manière sécurisée*)
- Pour vous conformer, créez un portail utilisateur sécurisé, qui permettra à vos utilisateurs de consulter et gérer leurs données personnelles en toute sécurité (il doit donner accès à des mesures d’authentification robustes)
*Assurez-vous de pouvoir les transmettre de façon chiffrée et que l’accès à ces renseignements soit restreint aux personnes autorisées.
Ce portail doit garantir l’exercice des droits des utilisateurs à l’égard des renseignements personnels concernant leur identité, leurs préférences ou leur historique de navigation.
Pour tout savoir sur la protection des renseignements personnels, inscrivez-vous à notre prochaine formation Loi 25
Les changements clés de la Loi 25: ce que vous devez retenir
Le régime de protection des renseignements personnels établi par la Loi 25 s’étend sur un large spectre. Elle englobe à la fois les organismes publics et les organisations privées. Elle exige également des entreprises qu’elles tiennent un inventaire des renseignements personnels qu’elles détiennent.
En cas de manquement, elles doivent rapidement le signaler à la Commission d’accès à l’Information du Québec et tenir à jour un registre des incidents de confidentialité.
Comment assurer la conformité de votre entreprise à la Loi 25?
Quel responsable pour la gestion de la conformité au sein de votre structure?
Selon la Loi 25, chaque entreprise doit désigner une personne responsable de la protection des renseignements personnels.
La personne chargée de cette fonction de responsable de la protection des renseignements personnels doit posséder une connaissance approfondie de la législation. Elle doit maîtriser les meilleures pratiques en matière de protection des données.
Le responsable doit être capable de prendre action pour éviter la divulgation des renseignements personnels de ses visiteurs. Ce responsable doit également mettre en place des mesures de protection adéquates pour prévenir toute fuite ou mauvaise utilisation des données.
⚠️ N’oubliez pas de vous assurer que les coordonnées de votre responsable de la protection des renseignements personnels sont accessibles sur le site web de votre entreprise, tel que l’exige la loi.
Consentement explicite: la clé de la conformité
Le consentement doit être obtenu de manière claire, libre, éclairée et spécifique. Il est aussi interdit de communiquer un renseignement personnel à un tiers sans que les conditions légales prévues soient remplies.
Les organisations doivent informer les individus des raisons précises de la collecte, de l’utilisation ou du partage de leurs données.
⚠️ Il existe toutefois quelques exceptions où le consentement explicite n’est pas requis, par exemple :
- Lorsqu’un renseignement est nécessaire à l’exécution d’un contrat (ex: livraison)
- Lorsqu’il est utilisé à des fins de recherche, d’étude ou de statistique et rendu anonyme
- Lorsqu’il est communiqué à un avocat dans le cadre de la défense des droits d’une personne
En dehors de ces exceptions, il est interdit de traiter ou de divulguer des renseignements personnels sans le consentement de la personne concernée.
👉 Consultez le site officiel de la CAI pour plus de détails spécifiques sur les exceptions à la Loi.
Évaluation des facteurs relatifs à la vie privée: un incontournable
L’Évaluation des Facteurs Relatifs à la Vie Privée (EFVP) est un élément clé de la Loi 25. Cette évaluation vous permet d’identifier, d’évaluer et de gérer les risques potentiels pour la vie privée associés à vos projets.
L’évaluation des facteurs relatifs à la vie privée est divisée en trois étapes majeures:
- Préparation des lignes directrices: avant de plonger dans l’EFVP, posez-vous les bonnes questions (Quel est l’objectif de votre projet? Quels sont les renseignements personnels impliqués?)
- Analyse: évaluez si vous respectez les obligations de protection des renseignements personnels en identifiant et décrivant les risques pour la vie privée engendrés par votre projet et le délai de conservation des renseignements personnels
- Rédaction du rapport: ce rapport doit détailler le processus d’EFVP, les risques identifiés, l’encadrement applicable pour les atténuer et les recommandations pour la suite
💡 L’EFVP doit être adaptée à la sensibilité des renseignements concernés
Pour aller plus loin
Formation de l’équipe: un maillon fort de la conformité
Pour assurer la conformité à la Loi 25, il est crucial de former votre équipe. Voici quelques étapes pour une formation efficace:
- Élaboration d’une présentation: créez une présentation détaillée, utilisant des termes simples qui met en évidence les changements liés à la protection des renseignements personnels
- Sensibilisation de l’équipe: sensibilisez votre équipe à l’importance de ces changements, aux principes clés de la Loi 25 et aux conséquences d’un non-respect comme la communication de renseignements personnels sans l’accord de vos visiteurs
- Politiques et pratiques: assurez-vous que les politiques et pratiques de l’entreprise en matière de protection et destruction de renseignements personnels soient comprises, mises en œuvre et suivies
Outils technologiques: vos alliés dans la conformité
La technologie peut être votre meilleur allié dans la conformité à la Loi 25.
Voici quelques outils:
- Système de Gestion des Renseignements Personnels (SGRP): des plateformes comme OneTrust et TrustArc peuvent vous aider à gérer efficacement les données personnelles
- Système de gestion des consentements: des outils comme Consent Manager vous permettent de gérer et documenter le consentement des individus
- Portails sécurisés: des solutions comme Salesforce Customer 360 permettent aux individus de demander l’accès aux renseignements personnels, des corrections ou d’exercer leur droit à l’oubli
Conseils pratiques pour la conformité à la Loi 25
La conformité à la Loi 25 n’est pas une mince affaire.
Ces quelques astuces peuvent vous aider à naviguer dans ce labyrinthe réglementaire:
- Gestion des cookies: avant de collecter des données par un traitement automatisé via des cookies, assurez-vous d’obtenir le consentement explicite des utilisateurs, en utilisant une bannière de cookies informative avec des termes simples, et assurez-vous de ne collecter que les renseignements nécessaires à vos analyses de données
- Droit à l’oubli: mettez en place un formulaire sur votre site web permettant aux utilisateurs de demander la destruction des renseignements collectés
- Gestion des accès: révisez régulièrement les accès accordés en interne et en externe en utilisant un gestionnaire de mots de passe pour sécuriser les accès (comme LastPass)
- Politique de confidentialité: améliorez votre politique de confidentialité rédigée au fil du temps pour qu’elle reste conforme à la Loi 25
Importance de la vigilance constante
votre équipe doit être formée en continu. Cela signifie aussi que votre cadre réglementaire de protection des renseignements personnels doit être souvent mis à jour.
Se conformer à la Loi 25 n’est pas uniquement un devoir juridique. C’est également une chance d’accroître la confiance auprès de vos clients. Une gestion des données sensibles efficace peut devenir un véritable avantage concurrentiel pour votre entreprise.
En résumé: La Loi 25, un incontournable pour les entreprises
La Loi 25 n’est pas seulement une affaire de juristes en matière de sécurité des données. Elle concerne tous ceux qui, de près ou de loin, manipulent des renseignements à caractère confidentiel dans le cadre de leur activité professionnelle.
En tant que professionnel du marketing, vous ne pouvez plus vous permettre de l’ignorer.
Alors, êtes-vous prêt à prendre les mesures nécessaires pour assurer la protection des renseignements personnels de votre clientèle?
Sinon n’hésitez pas à vous inscrire à notre cours Loi 25 en ligne 😉
Ce texte vous a-t-il éclairé sur la Loi 25 au Québec? Si vous avez des questions ou souhaitez en savoir plus, n’hésitez pas à lire le guide sur la Loi 25 de Digitad ou à nous contacter.
