Loi 25

Ce qu’est la Loi 25

La Loi 25 (« Loi modernisant des dispositions législatives en matière de protection des renseignements personnels ») est la réforme québécoise majeure de la protection des données. Elle modernise la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.

Le régulateur est la Commission d’accès à l’information du Québec (CAI), équivalent québécois de la CNIL française.

Application progressive

• 22 septembre 2022 — désignation d’un responsable de la protection des renseignements personnels obligatoire, notification d’incidents de confidentialité.
• 22 septembre 2023 — consentement éclairé, droit à la portabilité, transparence renforcée sur les décisions automatisées.
• 22 septembre 2024 — droit à la portabilité étendu, plein régime de sanctions.

Principales obligations

• Désignation d’un responsable (équivalent DPO) au plus haut niveau de l’organisation.
• Politique de gouvernance des renseignements personnels écrite et communiquée.
• Évaluation des facteurs relatifs à la vie privée (EFVP) avant tout projet impactant des renseignements personnels.
• Notification à la CAI sous un délai raisonnable des incidents de confidentialité présentant un risque sérieux de préjudice.
• Information transparente des personnes concernées.

Sanctions

Jusqu’à 25 M$ CAD ou 4 % du chiffre d’affaires mondial annuel, le plus élevé des deux. Régime comparable à celui du RGPD européen.

Loi 25 chez Hexceos

Notre point de présence québécois (Montréal) opère dans le respect de la Loi 25 et de la PIPEDA fédérale. Nous accompagnons nos clients québécois sur la mise en conformité et la documentation. Voir services audit & conformité.