Loi 25 : Ce que toute entreprise québécoise doit absolument savoir

Écrit par Magali Baril

La Loi 25 : C’est quoi?

La Loi 25, aussi connue comme la loi visant à moderniser les règles encadrant la protection des renseignements personnels au Québec, renforce de façon significative les obligations des entreprises. Elle impose un cadre plus rigoureux quant à la manière dont les organisations recueillent, utilisent, partagent et conservent les données personnelles des citoyens québécois, en les rendant pleinement responsables de ces pratiques.

Depuis le 22 septembre 2024, toutes les dispositions de la Loi 25 sont en vigueur. Cette réforme majeure modernise le cadre légal entourant la protection des renseignements personnels au Québec. Adoptée en 2021 sous le nom de projet de loi 64, elle oblige désormais toutes les entreprises faisant affaire au Québec, peu importe leur taille, à revoir en profondeur leurs pratiques en matière de collecte, d’utilisation, de conservation et de transmission des données personnelles.

Une réforme inévitable

La Loi 25 a introduit une série d’obligations progressives depuis 2022, mais depuis l’automne 2024, l’ensemble des mesures sont applicables. On parle ici de changements concrets et structurants pour les organisations, avec des amendes couteuses en cas de non-conformité.

Les mesures déjà en vigueur :

Depuis 2022 :

✔️ Désigner un responsable de la protection des renseignements personnels.

✔️ Tenir un registre des incidents de confidentialité, avec un protocole de traitement.

✔️ Aviser la CAI si vous recueillez des données biométriques ou en cas d’incident.

✔️ Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP), lorsque requis.

Depuis 2023 :

✔️ Publier une politique de confidentialité claire, lisible et accessible.

✔️ Mettre en œuvre des mécanismes de gestion du consentement pour la collecte de données personnelles.

✔️ Encadrer la conservation des renseignements personnels (durée, destruction, droit à l’oubli).

Depuis 2024 :

✔️ Droit à la portabilité des données : permettre aux individus de demander la communication ou la rectification de leurs renseignements personnels dans un format structuré et couramment utilisé.

Ce que ça change pour les entreprises

L’impact de cette loi ne se limite pas aux grandes entreprises ou aux cabinets d’avocats. Les PME et les travailleurs autonomes, tous sont visés. Ce sont les données personnelles des clients, employés, partenaires, candidats, etc., qui sont protégées.

Et pour les PME, par où commencer?

Même si les exigences peuvent paraître complexes, voici un plan d’action simplifié pour débuter :

  1. Nommer officiellement une personne responsable de la protection des renseignements personnels (souvent le dirigeant ou une personne en RH).

  2. Faire l’inventaire des renseignements personnels recueillis (clients, employés, fournisseurs, etc.).

  3. Mettre à jour les politiques de confidentialité (site web, RH, marketing, etc.).

  4. Former les employés sur la manipulation sécurisée des données.

  5. Tenir un registre des incidents de confidentialité, avec un protocole de traitement afin de prévoir une procédure en cas d’incident (fuite, erreur d’envoi, vol de données, etc.).

  6. Réviser les contrats avec vos fournisseurs pour inclure des clauses de protection des données.

  7. Documenter toutes vos politiques, pratiques, évaluations de risques et décisions.

 

Le cas particulier des employés

Les dossiers RH sont aussi visés par la Loi 25 :

  • Les employés ont le droit d’accéder à leurs renseignements personnels (contrat, évaluation, mesures disciplinaires, etc.).

  • Ces données doivent être protégées contre les accès non autorisés et détruites lorsqu’elles ne sont plus nécessaires.

  • L’entreprise doit répondre à toute demande d’accès ou de correction dans un délai de 30 jours.

 

Sanctions en cas de non-conformité

La CAI (Commission d'accès à l’information) a maintenant le pouvoir d’imposer des sanctions administratives élevées. Et bien que peu de décisions aient encore été rendues, des enquêtes sont en cours. Les premières amendes devraient tomber d’ici fin 2025.

 

En conclusion

La Loi 25 marque un virage important : il ne suffit plus de respecter la vie privée, il faut pouvoir le démontrer! Pour les employeurs, les gestionnaires et les PME, il s’agit d’une occasion de revoir ses pratiques, de renforcer la sécurité des données et de bâtir une relation de confiance avec les employés et les clients.

Magali Baril
Suivant

Normes du travail au Québec et faute grave : peut-on congédier sans préavis une employée au comportement inacceptable?