YMarketing
  • Stratégie
  • Web
  • Design

Loi 25 du Québec : obligations des entreprises

Loi 25 du Québec : vos responsabilités comme entreprise

Depuis son adoption en septembre 2021, la Loi modernisant la protection des renseignements personnels — mieux connue sous le nom de Loi 25 — renforce les obligations des entreprises au Québec en matière de collecte, utilisation, conservation et communication des données.

Nommer un responsable des renseignements personnels

Dès le 22 septembre 2022, chaque entreprise doit désigner un responsable de la protection des renseignements personnels, généralement la plus haute autorité, mais cette responsabilité peut être déléguée par écrit. Son nom et ses coordonnées doivent figurer clairement sur le site web de l’entreprise.

Enregistrer et déclarer les incidents de confidentialité

La Loi 25 impose la tenue d’un registre des incidents de confidentialité, et en cas d’incident entraînant un risque sérieux, une notification obligatoire doit être envoyée à la Commission d’accès à l’information (CAI) ainsi qu’aux personnes concernées.

Gouvernance et politiques claires

À compter de septembre 2023, les entreprises doivent :

  • • Élaborer une politique de gouvernance des renseignements personnels ;
  • • Définir les rôles et responsabilités au sein du personnel ;
  • • Instituer des procédures pour la conservation, la destruction des données et le traitement des plaintes.

Ces politiques doivent être facilement accessibles en ligne et rédigées en termes clairs.

Consentement explicite et transparence

La Loi encadre strictement le consentement :

  • • Il doit être libre, éclairé, spécifique et explicite ;
  • • La demande de consentement doit être distincte de toute autre information.

De plus, au moment de la collecte, l’entreprise doit informer les personnes concernées des finalités, des moyens, des tiers impliqués, de la durée de conservation, et des droits d’accès, de rectification ou de retrait

Évaluation des facteurs relatifs à la vie privée (EFVP)

Avant d’adopter tout projet impliquant le traitement, la refonte d’un système ou la communication de données à l’extérieur du Québec, une EFVP est requise. Celle-ci doit être proportionnée à la sensibilité des données.

Anonymisation et portabilité

Depuis septembre 2023, les entreprises ont l’option d’anonymiser des renseignements personnels plutôt que de les détruire.

À partir de septembre 2024, la Loi 25 introduira le droit à la portabilité : toute personne pourra demander ses données dans un format structuré, couramment utilisé (ex. : CSV, JSON).

Pourquoi se conformer ?

La Loi encadre strictement le consentement :

  • Sanctions sévères : jusqu’à 25 M $ ou 4 % du chiffre d’affaires mondial en cas de non conformité.
  • • Crédibilité renforcée : transparence, confiance client et différentiation concurrentielle.
  • • Prévention des cyber risques : anticipation des incidents, meilleure gestion de crise.

Comment YMarketing vous accompagne

Chez YMarketing, nous vous aidons à :

  1. 1. Nommer un responsable PRP, structurer vos politiques internes ;
  2. 2. Mettre en place un registre des incidents et gérer les notifications ;
  3. 3. Structurer une gouvernance complète : conservation, destruction, plaintes ;
  4. 4. Rédiger vos clauses de consentement et vos politiques de confidentialité ;

Passez à l’action dès aujourd’hui

Pour sécuriser vos opérations et préserver la confiance de vos clients, contactez YMarketing. Nous vous proposons un diagnostic personnalisé et un plan de mise en conformité clé en main avec la Loi 25.

Demandez votre évaluation gratuite maintenant !

Demande d'information à l'agence web YMarketing »

Consultez la publication de la Commission d’accès à l’information du Québec.

Publication de la CAI;

Consultez la loi sur Publications Québec.

Publication de la loi;

NB : Veuillez noter que YMarketing ne fournit aucun service juridique ni avis légal. Les informations présentées ci-dessus sont à titre informatif seulement et ne remplacent pas l’avis d’un professionnel du droit.