La Loi 25 est une mise à jour majeure de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP, RLRQ c. P-39.1). Elle impose aux entreprises québécoises des obligations comparables — et parfois plus strictes — que celles du RGPD européen.
À qui s'applique la Loi 25?
La LPRPSP s'applique à toute personne qui exploite une entreprise au sens de l'article 1525 du Code civil du Québec et qui, dans le cadre de cette entreprise, collecte, détient, utilise ou communique des renseignements personnels, que ce soit sur papier ou sous forme numérique (art. 1 LPRPSP).
Concrètement, cela vise :
- toutes les entreprises privées établies au Québec (inc., enr., coopératives privées, OBNL avec activité économique);
- les entreprises hors Québec qui collectent des renseignements personnels auprès de résidents québécois dans le cadre d'une activité économique (commerce en ligne, services infonuagiques, plateformes numériques);
- les professions libérales (avocats, comptables, médecins, notaires) pour leur cabinet, en plus de leurs obligations déontologiques propres.
Les organismes publics (ministères, municipalités, écoles, hôpitaux) sont assujettis à la Loi sur l'accès (RLRQ c. A-2.1), une loi distincte. Ce guide ne la traite pas.
Depuis quand la Loi 25 est-elle en vigueur?
La loi a été adoptée en septembre 2021 (projet de loi 64) et est entrée en vigueur par phases :
| Date | Obligations activées |
|---|---|
| 22 septembre 2022 | Désignation d'un responsable de la protection des RP · Notification obligatoire des incidents de confidentialité à la CAI et aux personnes concernées · Tenue d'un registre des incidents |
| 22 septembre 2023 | Consentement renforcé · Droit à l'information · Évaluation des facteurs relatifs à la vie privée (EFVP) · Politique de gouvernance des RP · Communication de RP à des fins d'études, de recherche ou de statistique · Limite de la prise de décision automatisée sans intervention humaine |
| 22 septembre 2024 | Droit à la portabilité des renseignements personnels — sur demande, dans un format technologique structuré et couramment utilisé |
Aujourd'hui (avril 2026), l'ensemble des dispositions est en vigueur. Une entreprise qui n'a pas commencé sa mise en conformité est donc en retard de près de deux ans sur les obligations les plus exigeantes.
Définitions clés
Renseignement personnel
Un renseignement personnel est tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l'identifier (art. 2 LPRPSP).
Exemples typiques :
- nom, adresse, numéro de téléphone, courriel;
- numéro d'assurance sociale, numéro d'assurance maladie, permis de conduire;
- adresse IP lorsqu'elle peut être rattachée à un individu identifiable;
- identifiants d'appareil, cookies de suivi persistants;
- dossiers RH, paie, évaluations de rendement;
- dossiers clients (achats, factures, correspondance);
- données biométriques (empreintes, reconnaissance faciale, voix).
À retenir : un renseignement n'a pas besoin d'être sensible pour être protégé. Le nom de famille et le courriel professionnel d'un employé sont déjà des renseignements personnels.
Renseignement personnel sensible
Un renseignement est sensible s'il suscite, par sa nature (notamment médicale, biométrique ou intime) ou par le contexte, un degré élevé d'attente raisonnable de confidentialité (art. 59 LPRPSP).
Sont notamment sensibles :
- les renseignements de santé (diagnostics, dossiers médicaux, tests);
- les données biométriques et génétiques;
- les renseignements financiers détaillés (numéros de carte, détails de comptes, solvabilité);
- les renseignements de nature sexuelle ou relatifs à la vie intime;
- les renseignements révélant l'origine ethnique, les opinions religieuses ou politiques, ou la vie syndicale.
Les renseignements sensibles exigent un niveau de protection plus élevé (consentement explicite, chiffrement, journalisation des accès, délais de conservation plus courts).
Personne concernée
La personne concernée est l'individu à qui se rapportent les renseignements. C'est elle qui détient les droits prévus par la loi (accès, rectification, portabilité, désindexation, retrait du consentement).
Responsable de la protection des renseignements personnels
Le responsable de la protection des renseignements personnels (souvent abrégé responsable RP) est la personne physique désignée par l'entreprise pour veiller à l'application de la loi (art. 3.1 LPRPSP). Par défaut, c'est la personne qui dirige l'entreprise — mais cette fonction peut (et devrait) être déléguée par écrit à un cadre ou à un mandataire externe.
Ses coordonnées doivent être publiées et accessibles, notamment sur le site web de l'entreprise.
Chez Hilo Tech, Pascal Dupuis occupe ce rôle en interne (détails publics). Pour les clients, nous accompagnons leur responsable RP sur les aspects TI : outillage, contrôles techniques, cartographie des flux, formation opérationnelle de l'équipe interne. L'analyse juridique et la rédaction des politiques officielles sont prises en charge par un avocat désigné par le client — nous ne remplaçons pas un conseiller juridique.
Collecte, utilisation, communication, conservation
La loi distingue quatre cycles de vie d'un renseignement personnel :
- Collecte — obtenir le renseignement auprès de la personne concernée ou d'un tiers (art. 5 et s.).
- Utilisation — exploiter le renseignement à l'intérieur de l'entreprise pour une fin précise (art. 12).
- Communication — transmettre le renseignement à un tiers, avec ou sans contrat (art. 17 et s., 18.3).
- Conservation — stocker le renseignement aussi longtemps que nécessaire, puis le détruire ou l'anonymiser (art. 23).
Chaque cycle a ses propres règles et contraintes de consentement. Voir le chapitre Consentement pour le détail.
Ce que la Loi 25 ne couvre PAS
La loi ne s'applique pas :
- aux renseignements à usage strictement personnel (ex. : carnet d'adresses personnel, journal intime);
- aux renseignements collectés dans le cadre d'activités journalistiques, artistiques ou littéraires (art. 1 al. 2);
- aux organismes publics, qui sont soumis à la Loi sur l'accès (RLRQ c. A-2.1);
- aux renseignements rendus publics par la personne concernée (ex. : profil public sur les réseaux sociaux), sous réserve d'un usage conforme à la fin pour laquelle ils ont été rendus publics.
Attention : ces exclusions sont étroites. Un CRM qui contient des contacts professionnels trouvés sur LinkedIn reste soumis à la LPRPSP.
Liste de contrôle rapide
- Nous avons identifié qu'au moins certaines de nos activités relèvent de la LPRPSP.
- Nous avons désigné un responsable RP et publié ses coordonnées.
- Nous savons quels renseignements personnels nous collectons, auprès de qui et pour quelles fins.
- Nous avons classé nos renseignements entre ordinaires et sensibles.
- Nous avons documenté les phases du cycle de vie (collecte → utilisation → communication → conservation → destruction).
Erreurs fréquentes que nous voyons sur le terrain
- « On n'est pas concernés, on est petits. » — La LPRPSP ne prévoit aucun seuil de taille ou de chiffre d'affaires. Une entreprise de 3 employés est assujettie au même régime qu'une entreprise de 3 000.
- Désigner le dirigeant sans le former. — Le responsable RP doit connaître ses obligations. Un dirigeant mal informé engage la responsabilité de l'entreprise en cas d'incident.
- Confondre renseignement personnel et donnée technique. — L'adresse IP d'un visiteur du site web peut constituer un renseignement personnel si elle peut être rattachée à un individu identifiable (notamment en combinaison avec d'autres données).
Questions à poser à votre conseiller juridique
- Avons-nous des activités hors Québec qui déclenchent l'application d'autres lois (LPRPDE fédérale, RGPD européen, CCPA/CPRA californien)?
- Notre OBNL est-il assujetti à la LPRPSP en raison de son activité économique?
- Notre structure de groupe (société mère, filiales) doit-elle désigner un responsable RP par entité ou un seul pour le groupe?
Une question sur ce guide?
Pascal et Jérémie peuvent répondre directement par courriel ou lors d'un appel de découverte.
Nous écrire