Guide Loi 25

Ce guide explique, en langage clair, comment une PME québécoise peut se conformer à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels: communément appelée Loi 25 (adoptée sous le nom de projet de loi 64 en 2021, pleinement en vigueur depuis le 22 septembre 2024).

Il s'adresse aux dirigeants, responsables TI et responsables de la protection des renseignements personnels (responsables RP) de PME qui exercent une activité au Québec et qui collectent, utilisent ou communiquent des renseignements personnels, c'est-à-dire à peu près toutes les entreprises établies ici.

À qui ce guide s'adresse-t-il?#

• Dirigeants de PME : pour saisir les obligations légales, le niveau de risque et les décisions à prendre.
• Responsables TI internes : pour comprendre les contrôles techniques requis (journalisation, accès, chiffrement, sauvegarde, gestion des incidents).
• Nouveaux responsables RP : pour découvrir le rôle, ses pouvoirs et ses responsabilités, un rôle désormais obligatoire pour toute entreprise privée au Québec (art. 3.1 LPRPSP).
• Équipes juridiques ou de conformité : comme point de référence opérationnel à croiser avec les avis juridiques formels.

Sources primaires citées dans ce guide#

Ce guide ne remplace pas un avis juridique. Il s'appuie sur :

• Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1): guide officiel de la Commission d'accès à l'information (CAI), autorité québécoise chargée de l'application de la Loi.
• Commission d'accès à l'information du Québec (CAI): autorité québécoise chargée de l'application de la loi, de la surveillance et des enquêtes.
• Projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels: version sanctionnée publiée par les Publications du Québec.
• Guides, avis et décisions de la CAI: y compris les fiches d'information pour les entreprises.

Lorsque nous citons une règle précise, nous indiquons l'article correspondant de la LPRPSP pour que vous puissiez retourner au texte de loi directement.

Comment utiliser ce guide#

Les chapitres sont conçus pour être lus dans l'ordre, mais chacun est autonome. Commencez par la Portée et définitions si c'est votre première exposition à la Loi 25, ou consultez directement le chapitre qui répond à la question du moment (par exemple, « un portable a été volé, que fait-on? » → Notification de fuite).

Chaque chapitre se termine par :

• une liste de contrôle rapide des obligations,
• les erreurs fréquentes que nous voyons sur le terrain,
• les questions à poser à votre fournisseur TI ou à votre conseiller juridique.

Notre rôle : le volet TI, en collaboration avec un avocat#

Hilo Tech n'est pas un cabinet d'avocats. Nous sommes une firme de services TI gérés. Notre contribution à un projet de conformité Loi 25 couvre le volet technologique et opérationnel :

• cartographie technique des flux de renseignements personnels (où ils se trouvent, qui y a accès, comment ils circulent);
• mise en place des contrôles TI requis (chiffrement, journalisation, gestion des accès, sauvegarde, plan de réponse aux incidents);
• rédaction des procédures internes (notification de fuite, traitement des demandes d'accès, conservation et destruction);
• configuration des outils (Microsoft 365, Azure, sauvegardes canadiennes, EDR, gestion des identités) pour répondre aux exigences.

Pour l'analyse juridique, la rédaction des politiques officielles et l'interprétation de la loi dans des cas complexes, nous collaborons avec un avocat désigné par le client (ou, si le client n'en a pas, nous pouvons suggérer un cabinet externe). Chaque projet de conformité Loi 25 est mené conjointement avec un juriste, l'avocat valide la portée légale, Hilo Tech exécute la mise en œuvre TI.

Si vous souhaitez faire évaluer votre posture actuelle, Pascal Dupuis: responsable de la protection des renseignements personnels chez Hilo Tech, offre un appel de découverte gratuit pour situer les écarts majeurs et prioriser les actions côté TI, et vous orienter si un accompagnement juridique est aussi requis.

Hilo Tech propose un audit de conformité Loi 25 (volet TI) comme service structuré : revue des contrôles techniques existants, cartographie des traitements, évaluation des risques côté infrastructure, plan d'action priorisé et suivi de la mise en œuvre. Les livrables sont définis avant le début du mandat et le tarif est établi après l'appel de découverte.