auxlo
Start free assessment
Loi québécoise sur la vie privée

La conformité à la Loi 25, sans le jargon juridique.

La Loi 25 du Québec a fondamentalement transformé la façon dont les organisations du secteur privé gèrent les renseignements personnels. Nous aidons les entreprises canadiennes et internationales à satisfaire à toutes les obligations : désignation du responsable de la protection des renseignements personnels, ÉFVP, évaluations des transferts transfrontaliers, réponse aux incidents et flux de consentement, sans ralentir votre feuille de route.

Book a 30-min scoping callRun a free self-assessment
Sanctions pouvant atteindre
4 % du chiffre d'affaires mondial
Préparation typique
6 à 10 semaines
Langue
Bilingue FR / EN

Ce que la Loi 25 exige concrètement

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, mieux connue sous le nom de Loi 25, s'est mise en vigueur progressivement entre septembre 2022 et septembre 2024. Elle s'applique à toute organisation du secteur privé qui traite des renseignements personnels de résidents du Québec, où qu'elle soit dans le monde.

Les obligations principales : désigner une personne responsable de la protection des renseignements personnels, publier des politiques de gouvernance, mener des ÉFVP avant les projets à risque élevé et les transferts transfrontaliers, obtenir un consentement granulaire (distinct des conditions d'utilisation), aviser la Commission d'accès à l'information (CAI) et les personnes concernées en cas d'incident de confidentialité présentant un risque de préjudice sérieux, et respecter les nouveaux droits individuels : accès, rectification, déréférencement et portabilité des données.

Où la plupart des organisations sont exposées

Après des dizaines de revues Loi 25, nous retrouvons les mêmes lacunes :

  • Aucune discipline d'ÉFVP. Les nouveaux systèmes, changements de fournisseurs et fonctionnalités IA sont déployés sans évaluation d'impact documentée.
  • Transferts transfrontaliers non documentés. Des données qui transitent vers des fournisseurs SaaS américains ou des sociétés mères sans l'évaluation requise des protections juridiques à l'étranger.
  • Consentement intégré aux conditions d'utilisation. La Loi 25 exige un consentement clair, libre, éclairé et donné séparément pour chaque finalité.
  • Réponse aux incidents sur papier seulement. Aucun protocole testé pour l'attente de notification à la CAI dans les 72 heures.
  • Responsable de la protection des renseignements personnels de façade. Désigné, mais sans autorité déléguée, formation ni visibilité sur les changements produits.

Comment nous menons un programme Loi 25

Notre travail est piloté par des praticiens chevronnés, sans transfert à des ressources juniors. Un mandat typique :

  1. Diagnostic (semaines 1 et 2). Cartographie des données, évaluation des écarts par rapport à chaque article de la Loi 25, plan de remédiation priorisé.
  2. Mise en place de la gouvernance (semaines 2 à 4). Charte du responsable de la protection des renseignements personnels, politiques internes, gabarit d'ÉFVP, cadre de diligence raisonnable envers les fournisseurs.
  3. Corrections opérationnelles (semaines 3 à 8). Flux de consentement, avis publics, protocole de réponse aux incidents, évaluations des transferts transfrontaliers, registre des activités de traitement.
  4. Intégration (semaines 8 à 10). Formation pour les équipes produit, ingénierie et service client. Revue continue allégée.

Les livrables sont bilingues. Nous travaillons aux côtés de vos conseillers juridiques, pas en concurrence avec eux.

La Loi 25 et les systèmes d'IA

Si votre produit utilise l'IA pour prendre des décisions concernant des résidents du Québec, que ce soit pour le crédit, l'embauche, la tarification ou la modération de contenu, la Loi 25 ajoute des obligations précises de transparence : aviser la personne concernée, expliquer le raisonnement et offrir le droit de demander une révision humaine. Nous jumelons le travail Loi 25 à notre pratique de gouvernance IA (NIST AI RMF, ISO/CEI 42001, Loi européenne sur l'IA) pour que les mêmes contrôles couvrent les deux régimes.

FAQ

Common questions

À qui s'applique la Loi 25?
À toute organisation du secteur privé qui collecte, détient, utilise ou communique des renseignements personnels de résidents du Québec, peu importe où l'entreprise est établie. Cela comprend les entreprises canadiennes hors Québec et les entreprises étrangères qui servent des utilisateurs québécois.
Quelles sont les sanctions en cas de non-conformité à la Loi 25?
Les sanctions administratives pécuniaires peuvent atteindre le plus élevé de 10 millions de dollars ou 2 % du chiffre d'affaires mondial. Les amendes pénales peuvent atteindre le plus élevé de 25 millions de dollars ou 4 % du chiffre d'affaires mondial. La CAI peut également ordonner des mesures correctives, et les personnes concernées ont un droit d'action privé en dommages-intérêts.
Devons-nous nommer un responsable de la protection des renseignements personnels?
Oui. Toute organisation doit désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Web de l'entreprise. Par défaut, ce rôle revient à la personne qui détient la plus haute autorité.
Quand une évaluation des facteurs relatifs à la vie privée (ÉFVP) est-elle requise?
Avant tout projet d'acquisition, de développement ou de refonte d'un système d'information ou d'une prestation électronique de services impliquant des renseignements personnels, avant de communiquer des renseignements personnels à l'extérieur du Québec, et avant toute communication de renseignements personnels sans consentement à des fins d'étude, de recherche ou de statistiques.
Combien de temps prend généralement la conformité à la Loi 25?
Un programme de préparation ciblé s'étale sur 6 à 10 semaines pour les petites et moyennes organisations : évaluation des écarts, mise en place de la gouvernance, cadre d'ÉFVP, réponse aux incidents, revue des transferts transfrontaliers et mise à jour des avis publics. Les environnements plus grands ou à risque plus élevé prennent plus de temps.

Your next enterprise contract is waiting on this.

  • Flat fee, total cost known up front
  • Canadian data residency available on paid engagements
Book a free intro call