Aller au contenu
découvrez Hilo Intelligence
Guide Loi 25

Droits des personnes

Les six droits exerçables par toute personne au Québec — accès, rectification, désindexation, portabilité, retrait du consentement et information sur les décisions automatisées. Délais, refus motivés, voies de recours.

Mis à jour le 20 avril 20267 min de lectureRédigé par Pascal Dupuisdroitsaccèsrectificationportabilitéart. 27-32CAI

La Loi 25 consacre six droits individuels que chaque entreprise doit être capable d'honorer dans les 30 jours (art. 32 LPRPSP). Ce chapitre explique chaque droit, la procédure de réponse, et ce qu'il faut préparer avant de recevoir une première demande.

Les six droits

Droit Source En vigueur depuis
Accès art. 27 toujours (avant la Loi 25)
Rectification art. 28, 53 toujours
Retrait du consentement art. 8.3 sept. 2023
Désindexation / cessation de diffusion art. 28.1 sept. 2023
Information sur les décisions automatisées art. 12.1 sept. 2023
Portabilité art. 27 al. 2 sept. 2024

1. Droit d'accès (art. 27)

Toute personne a le droit d'obtenir confirmation que l'entreprise détient des renseignements personnels à son sujet, copie de ces renseignements et information sur leur source, leur utilisation et leur communication.

Ce qui doit être remis

  • Le contenu brut des renseignements (dossier client, factures, courriels, champs CRM, logs d'accès lorsqu'ils concernent la personne).
  • Les catégories de tiers à qui les renseignements ont été communiqués.
  • Les durées de conservation appliquées.
  • La finalité pour laquelle chaque renseignement est détenu.

Ce qui peut être refusé

  • Renseignements couverts par le secret professionnel (avocat-client, médecin-patient).
  • Renseignements qui révéleraient un renseignement personnel concernant une autre personne (sauf consentement du tiers).
  • Renseignements protégés par une enquête criminelle ou disciplinaire en cours.

Tout refus doit être écrit et motivé (art. 34), avec mention du droit de recours à la CAI (art. 40).

2. Droit de rectification (art. 28)

La personne peut demander la correction d'un renseignement inexact, incomplet ou équivoque. L'entreprise doit :

  • Corriger le renseignement.
  • Communiquer la correction aux tiers à qui le renseignement erroné a été transmis dans les 6 derniers mois, sur demande.
  • Refuser uniquement si la rectification est manifestement non fondée (ex. le renseignement est correct).

Cas particulier : l'observation

Certains renseignements sont des observations professionnelles (évaluation de rendement, note de dossier, diagnostic médical). La personne ne peut pas en exiger la modification de contenu, mais peut exiger l'ajout d'une annotation exprimant son désaccord.

3. Droit de retrait du consentement (art. 8.3)

Voir le chapitre Consentement pour le détail. En bref :

  • Retrait en tout temps, avec effet prospectif.
  • Moyen de retrait simple et gratuit (lien, formulaire, courriel dédié).
  • Conséquences du retrait communiquées (ex. « votre compte ne pourra plus être utilisé »).

4. Droit à la désindexation / cessation de diffusion (art. 28.1)

Depuis septembre 2023, une personne peut exiger :

  • La cessation de diffusion d'un renseignement personnel (ex. retirer un article de blog qui la nomme).
  • La désindexation de ses renseignements (retirer un résultat de recherche) ou la réindexation dans les termes de la requête qu'elle précise.

Conditions :

  • La diffusion cause un préjudice grave à la personne.
  • Ce préjudice est manifestement supérieur à l'intérêt public à l'information.
  • Des moyens moins restrictifs ne suffiraient pas.

En pratique pour une PME

Ce droit concerne surtout :

  • Les forums, sites d'avis, galeries de photos, listes d'employés anciens, articles de blog.
  • Les moteurs de recherche internes qui indexent des contenus clients.
  • Les annuaires et catalogues publics.

Si votre site web affiche encore le nom d'un ancien employé, d'un client ayant résilié ou d'une personne mentionnée dans un ancien communiqué, vous avez l'obligation d'évaluer toute demande de désindexation selon le test ci-dessus.

5. Droit à l'information sur les décisions automatisées (art. 12.1)

Depuis septembre 2023, lorsqu'une décision qui produit un effet juridique ou affecte significativement la personne est prise exclusivement par un traitement automatisé, l'entreprise doit :

  • Informer la personne qu'une telle décision a été rendue automatiquement.
  • Sur demande, fournir les renseignements personnels utilisés, les raisons principales et les facteurs ayant mené à la décision.
  • Offrir à la personne l'occasion de faire corriger les renseignements utilisés.

Exemples typiques :

  • Décision automatisée d'accepter ou de refuser un crédit.
  • Scoring automatisé d'un candidat par un ATS alimenté par IA.
  • Détection automatisée de fraude qui bloque un compte.

Une simple recommandation IA suivie d'une décision humaine n'est pas une « décision fondée exclusivement sur un traitement automatisé ». Mais attention aux processus où la décision humaine se résume à valider le résultat de la machine — la CAI peut les traiter comme automatisés de facto.

6. Droit à la portabilité (art. 27 al. 2 — en vigueur depuis le 22 sept. 2024)

La personne a le droit d'obtenir ses renseignements personnels informatisés dans un format technologique structuré et couramment utilisé, ou de demander leur transmission directe à un autre responsable du traitement.

Ce qui est visé

  • Les renseignements que la personne a fournis (ex. nom, profil, historique de commandes).
  • Les renseignements générés par son utilisation du service (ex. préférences, paniers, messages).
  • Ne sont pas visés : les observations, analyses, scoring produits par l'entreprise.

Formats acceptables

  • JSON, CSV, XML, Excel.
  • PDF uniquement si c'est le seul format d'origine.

La CAI n'a pas imposé de standard obligatoire; le critère est le caractère couramment utilisé — c'est-à-dire réutilisable par un autre fournisseur de services comparable.

La procédure de réponse (art. 32)

Le délai : 30 jours

  • Le compteur démarre à la réception de la demande (et non à sa transmission au responsable RP interne).
  • Une prolongation peut être accordée si la demande est complexe, à condition d'en informer la personne avant l'expiration des 30 jours.

Les étapes

  1. Réception : la demande peut arriver par courriel, lettre, téléphone, formulaire. Horodater immédiatement.
  2. Identification : vérifier que la personne est bien celle qu'elle prétend être (pas d'usurpation). Niveau de preuve proportionné à la sensibilité des données.
  3. Recherche : exhaustive, y compris archives, sauvegardes, bases de contacts, systèmes d'un fournisseur tiers.
  4. Analyse : quelle partie est accessible, quelle partie doit être caviardée (secret d'un tiers, secret d'enquête).
  5. Réponse : écrite, motivée, dans la langue de la demande. Si la réponse est un refus partiel ou total, elle doit mentionner la voie de recours.

Le recours à la CAI (art. 40)

Si la personne est insatisfaite de la réponse (refus, silence, réponse incomplète), elle peut porter plainte à la CAI. La Commission peut mener une enquête, ordonner la correction, et imposer une sanction administrative.

Notre rôle côté TI

Chez Hilo Tech, nous configurons les outils qui permettent au responsable RP du client de trouver les renseignements rapidement dans Microsoft 365, SharePoint, OneDrive, les CRM, les sauvegardes et les systèmes tiers. Nous ne rédigeons pas la réponse ni ne décidons de ce qui est caviardé — c'est le rôle du responsable RP, validé par l'avocat.

Liste de contrôle rapide

  • Un courriel dédié (ex. privacy@) reçoit les demandes et un employé vérifie la boîte au moins une fois par jour.
  • Nous avons un gabarit de réponse aux demandes d'accès, validé par notre avocat.
  • Un registre des demandes est tenu (date de réception, nature, délai de réponse, décision).
  • Nous savons où chercher — inventaire des systèmes contenant des RP.
  • Nous avons un processus de vérification de l'identité proportionné.
  • Un plan de prolongation est prêt pour les demandes complexes.
  • Le gabarit de refus mentionne explicitement le recours à la CAI.

Erreurs fréquentes

  • Répondre au-delà de 30 jours sans prolongation écrite. — Défaut pur et simple, base de plainte.
  • Exiger trop de preuves d'identité. — Demander un chèque de banque pour prouver son identité alors que la personne a un compte actif est disproportionné. La CAI a sanctionné des cas similaires.
  • Oublier les sauvegardes. — Un employé supprimé du CRM peut rester dans une sauvegarde Veeam de 7 ans. L'accès doit inclure ces données, même si difficilement.
  • Facturer les demandes d'accès. — En principe gratuit. Des frais ne sont permis que pour la transcription, la reproduction ou la transmission (art. 33), et doivent être modérés.

Questions à poser à votre conseiller juridique

  • Quel niveau de preuve d'identité pour quelle catégorie de données?
  • Pouvons-nous refuser une demande abusive (très nombreuses, répétitives, manifestement vexatoires)?
  • Quelles clauses inclure dans nos contrats de fournisseurs (Microsoft, SaaS) pour garantir qu'ils nous remettront les données nécessaires à une demande d'accès dans nos délais?
  • Comment traiter les demandes qui arrivent via un mandataire (avocat, membre de famille, curateur)?
PrécédentResponsable de la protection des renseignements personnelsSuivantTransferts hors Québec
Retour au sommaire de la collection Guide Loi 25

Une question sur ce guide?

Pascal et Jérémie peuvent répondre directement par courriel ou lors d'un appel de découverte.

Nous écrire