Accueil ' Ressources ' Articles 'Qu'est-ce que la loi 25 du Québec ?

Qu'est-ce que la loi 25 du Québec ?

Couvert par Termly

Par : Etienne Cussol CIPP/E, CIPM Etienne Cussol CIPP/E, CIPM | Mise à jour le : 30 octobre 2024

Créer une politique de confidentialité gratuite
What-is-Quebec-Law-25-01

En 2020, les législateurs québécois ont présenté le projet de loi 64. Le 22 septembre 2021, il a été adopté en tant que loi 25, marquant le début d'une modernisation distincte du paysage de la protection de la vie privée au Canada.

Dans ce guide, je vous présente la loi 25 du Québec afin que vous puissiez déterminer si elle s'applique à votre entreprise et quelles sont les mesures à prendre pour assurer la conformité légale.

Table des matières
  1. Que sont la loi 64 et la loi 25 au Québec ?
  2. Loi du Québec 25 Termes clés et définitions
  3. À qui s'applique la loi 25 du Québec ?
  4. Qui la loi 25 du Québec protège-t-elle ?
  5. Dispositions de la loi 25 entrées en vigueur en septembre 2022
  6. Dispositions de la loi 25 entrées en vigueur en septembre 2023
  7. Dispositions de la loi 25 entrées en vigueur en septembre 2024
  8. Comment Termly peut-il vous aider à respecter la confidentialité des données ?
  9. Résumé

Que sont la loi 64 et la loi 25 au Québec ?

La loi 64 a été introduite dans la province de Québec dans le but de moderniser les protections de la vie privée concernant les informations personnelles. Après son adoption, elle est devenue la loi 25.

Elle crée de nouvelles exigences pour les entreprises, y compris de nouvelles considérations liées à la protection des données personnelles des résidents du Québec, à la nomination de délégués à la protection des données (DPD) et à la réalisation d'évaluations de l'impact sur la vie privée (EIVP).

Quand la loi 25 du Québec entre-t-elle en vigueur ?

La loi 64 du Québec a été adoptée sous le nom de "loi 25" en septembre 2021.

Ses dispositions entrent en vigueur de manière échelonnée sur une période de trois ans. Certaines sont déjà en place depuis septembre 2022.

D'autres parties de la loi sont entrées en vigueur le 22 septembre 2023, puis en septembre 2024.

Loi du Québec 25 Termes clés et définitions

La loi 25 du Québec contient certains termes et définitions clés que les entreprises doivent comprendre afin de se conformer aux nouvelles lignes directrices en matière de protection de la vie privée. Je vais maintenant vous les présenter brièvement.

La loi 25 reprend la définition de "renseignements personnels" telle qu'elle figure dans la loi sur le secteur privé du Québec, qui stipule ce qui suit :

Une information personnelle est toute information qui se rapporte à une personne physique et qui permet d'identifier cette personne.

Selon la partie 15 de la loi 25, on entend par "incident de confidentialité":

  • (1) Accès non autorisé par la loi à des informations personnelles ;
  • (2) Utilisation non autorisée par la loi d'informations personnelles ;
  • (3) La divulgation non autorisée par la loi d'informations personnelles ; ou
  • (4) Perte d'informations personnelles ou toute autre violation de la protection de ces informations.

La loi 25 définit le "profilage" dans la partie 19 comme suit :

"...la collecte et l'utilisation d'informations à caractère personnel pour évaluer certaines caractéristiques d'une personne physique, notamment dans le but d'analyser ses performances professionnelles, sa situation économique, sa santé, ses préférences personnelles, ses intérêts ou son comportement".

À qui s'applique la loi 25 du Québec ?

La loi 25 s'applique aux sociétés et aux petites et moyennes entreprises qui vendent des biens ou offrent des services au Québec, ainsi qu'aux sociétés qui s'adressent aux résidents du Québec, quel que soit leur lieu d'implantation.

Le champ d'application matériel de la Loi comprend également les renseignements personnels détenus par un ordre professionnel au sens du Code des professions (chapitre C-26).

La loi 25 ne s'applique pas au matériel journalistique, historique ou généalogique collecté, détenu, utilisé ou communiqué pour l'information légitime du public.

Il ne s'applique pas non plus à un organisme public ou aux informations détenues pour le compte d'un organisme public par une personne autre que l'organisme public.

Qui la loi 25 du Québec protège-t-elle ?

La loi 25 du Québec protège les informations personnelles des citoyens du Québec, CA.

Il décrit également leurs droits sur la manière dont ces données sont collectées et utilisées.

Dispositions de la loi 25 entrées en vigueur en septembre 2022

En septembre 2022, les dispositions suivantes de la loi 25 sont entrées en vigueur :

  • Nomination d'un responsable de la protection de la vie privée : Cette disposition obligatoire énoncée à l'article 3.1 de la loi stipule que, par défaut, la personne la plus haut placée est responsable du respect de la loi 25 et de la protection des informations personnelles. Toutefois, vous pouvez déléguer ces responsabilités par écrit, en tout ou en partie, à une autre personne.
  • Notification des violations aux autorités de régulation et aux particuliers : L 'article 3.5 de la loi stipule qu'une entreprise doit informer rapidement la Commission d'accès à l'information (CAI) en cas d'incident de confidentialité présentant un risque de préjudice grave pour les personnes. L'entreprise doit également informer toute personne dont les informations personnelles sont affectées par l'incident, conformément aux instructions de la CAI. En outre, si un incident de confidentialité impliquant des informations personnelles se produit, une entreprise doit prendre des mesures raisonnables pour réduire le risque de préjudice et empêcher que de nouveaux incidents de même nature ne se produisent.
  • Informations personnelles et consentement : La communication d'informations personnelles sans consentement est possible pour une étude, à des fins de recherche, pour la production de statistiques et sous certaines conditions. Mais, conformément à l'article 21 de la loi, vous devez procéder à une évaluation des incidences sur la vie privée (PIA).
  • Notification des bases de données biométriques : Les modifications apportées par la loi 25 ont une incidence sur la loi québécoise sur les technologies de l'information et obligent les organisations à divulguer à l'IPE toute utilisation de procédés biométriques au moins 60 jours avant la création d'une base de données biométriques.

Si votre entreprise relève de la loi 25 du Québec, vous devez vous conformer à toutes ces directives, sous peine d'enfreindre la loi.

Dispositions de la loi 25 entrées en vigueur en septembre 2023

Le 22 septembre 2023, ces exigences supplémentaires énoncées par la loi 25 sont entrées en vigueur :

  • Publier une politique de confidentialité (ou politique de protection de la vie privée) : L 'article 8.2 de la loi stipule que toute personne qui collecte des informations personnelles par des moyens technologiques doit publier une politique de confidentialité (alias politique de protection de la vie privée) rédigée dans un langage clair et simple. Vous devez la publier sur vos sites web ou applications et la diffuser par tout moyen approprié. Un avis est également requis pour toute modification que vous apportez à votre politique.
  • Fournir un mécanisme de transparence et d'acceptation pour les cookies et autres technologies de suivi : L 'article 8.1 de la loi stipule que toute entreprise collectant des informations personnelles à l'aide d'une technologie comprenant des fonctions permettant d'identifier, de localiser ou de profiler des personnes doit d'abord les informer de l'utilisation de cette technologie et des moyens disponibles pour activer les fonctions permettant d'identifier, de localiser ou de profiler la personne. Cela inclut l'utilisation de cookies Internet ou d'autres technologies de suivi similaires.
  • Mettre en place un cadre de gouvernance des informations personnelles : L'article 3.2 de la loi 25 stipule que les entreprises doivent établir et mettre en œuvre des politiques et des pratiques de gouvernance en matière de renseignements personnels qui assurent la protection de ces renseignements. Vos politiques et procédures doivent notamment fournir un cadre pour (1) la conservation et la destruction des informations, (2) définir les rôles et responsabilités des membres du personnel tout au long du cycle de vie des informations et (3) fournir un processus de traitement des plaintes concernant la protection des informations. En outre, des informations sur ces politiques et pratiques doivent être disponibles en langage simple sur le site web de l'entreprise.
  • Réaliser une évaluation de l'impact sur la vie privée : Vous devez réaliser une évaluation des incidences sur la vie privée pour tout projet d'acquisition, de développement ou de révision d'un système d'information ou d'un système de prestation de services électroniques impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction d'informations à caractère personnel. Cette obligation figure à l'article 3.3 de la loi.
  • Établir des accords contractuels pour la communication de renseignements personnels à des tiers : En vertu de l'article 18.3 de la loi 25 du Québec, une entreprise peut, sans le consentement de la personne concernée, communiquer des renseignements personnels à toute personne ou organisme si ces renseignements sont nécessaires à l'exécution d'un mandat, à l'exécution d'un contrat d'entreprise ou à la prestation de services confiés à cette personne ou à cet organisme par la personne qui exploite une entreprise. Le contrat doit être établi par écrit et préciser les mesures que le tiers doit prendre pour protéger la confidentialité des renseignements personnels communiqués, pour s'assurer que les renseignements ne sont utilisés que pour l'exécution du contrat et pour s'assurer que le tiers ne conserve pas les données après l'expiration du contrat.

Les droits des consommateurs suivants sont également devenus applicables :

  • Le droit à l'effacement et à la désindexation de tout lien hypertexte attaché au nom d'une personne(articles 28 et 28.1)
  • Le droit d'accès et de rectification des informations personnelles(section 18.6)
  • Le droit de ne pas faire l'objet d'une prise de décision automatisée.(article 12.1)

En ce qui concerne le droit des consommateurs de ne pas être soumis à une prise de décision automatisée, la loi prévoit qu'une entreprise qui utilise des informations personnelles pour prendre une décision fondée exclusivement sur un traitement automatisé doit en informer la personne concernée au plus tard lorsqu'elle l'informe de la décision.

En outre, l'entreprise doit informer la personne concernée de la :

  • Informations personnelles utilisées pour rendre la décision
  • les raisons, les facteurs et les paramètres utilisés dans la décision ; et
  • Droit de la personne concernée de faire corriger les informations personnelles utilisées dans la décision

Dispositions de la loi 25 entrées en vigueur en septembre 2024

Un autre aspect de la loi 25 du Québec est entré en vigueur le 22 septembre 2024, qui concerne le droit des consommateurs à la portabilité des données.

Plus précisément, les entreprises doivent respecter les lignes directrices énoncées à l'article 27 :

"À moins que cela ne soulève de sérieuses difficultés pratiques, les renseignements personnels informatisés recueillis auprès du demandeur, et qui n'ont pas été créés ou déduits à partir de renseignements personnels le concernant, doivent, à sa demande, lui être communiqués dans un format technologique structuré et couramment utilisé. Ces renseignements doivent également être communiqués, à la demande du demandeur, à toute personne ou organisme autorisé par la loi à recueillir de tels renseignements.

Si votre entreprise est concernée par la loi 25 du Québec, élaborez un protocole approprié pour fournir aux consommateurs une copie portable de leurs données personnelles.

Comment Termly peut-il vous aider à respecter la confidentialité des données ?

Termly peut vous aider à simplifier votre processus de conformité en matière de protection de la vie privée en vous fournissant des générateurs de politiques soutenus par la loi et une plateforme de gestion du consentement adaptable. plateforme de gestion du consentement (CMP).

Notre Générateur de politique de confidentialité vous pose des questions simples sur votre entreprise. Il utilise vos réponses pour produire une politique conforme et facile à lire, qui peut être liée directement à votre site Web ou à votre application. Si vous avez besoin de la mettre à jour ou d'y apporter des modifications, il vous suffit de retourner dans votre tableau de bord Termly , de modifier votre politique et de cliquer sur Publier.

Vous trouverez ci-dessous un exemple d'une des questions posées par notre générateur.

Termly-Générateur de politique de protection de la vie privée

La législation sur la protection des données, comme la loi 25 du Québec, énonce des règles spécifiques concernant l'obtention du consentement des consommateurs pour l'utilisation ou le traitement légal des données personnelles. C'est pourquoi nous proposons également une plateforme de gestion du consentement ( CMP ) que vous pouvez configurer pour répondre aux directives d'opt-out ou d'opt-in.

Voir à quoi cela ressemble ci-dessous.

Termly

Que vous deviez vous conformer à la loi 25 du Québec ou à d'autres règlements sur la protection des données comme la Loi sur la protection des renseignements personnels et les documents électroniques(LPRPDE) ou le Règlement général sur la protection des données (GDPR), Termly est là pour vous aider.

Résumé

Les entreprises qui doivent se conformer à la loi 25 du Québec doivent s'assurer qu'elles respectent toutes les exigences énoncées par la loi, notamment :

  • Publication d'une politique de confidentialité conforme
  • Obtenir, le cas échéant, le consentement explicite du consommateur
  • Effectuer des évaluations de l'impact sur la vie privée si nécessaire.
  • Désigner un délégué à la protection des données (DPD).

N'oubliez pas non plus de respecter toutes les obligations contractuelles avec les entités tierces qui ont accès aux données de vos utilisateurs et de veiller à ce que ces derniers puissent exercer tous leurs droits en matière de protection de la vie privée.

Facilitez la mise en conformité avec des lois telles que la loi 25 du Québec en utilisant le modèle de politique de confidentialité ou le générateur gratuit de Termlyet assurez le succès de votre entreprise.

Etienne Cussol CIPP/E, CIPM
En savoir plus sur l'auteur

Écrit par Etienne Cussol CIPP/E, CIPM

Etienne est un professionnel de la protection de l'information et un analyste de la conformité pour Termly. Il travaille avec nous depuis 2021, gérant notre propre conformité aux lois sur la protection des données et participant à nos recherches marketing. Ses domaines d'expertise - et d'intérêt - comprennent la protection des donnéesGDPR, ePrivacy Directive, CCPA), les technologies de suivi (cookies tiers, fingerprinting), et les nouvelles formes de gestion de la vie privée (GPC et Google Privacy Sandbox). Etienne a étudié les affaires économiques internationales à l'Université de Toulouse, et a obtenu un Master en 2017. En savoir plus sur l'auteur
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Créez votre politique de confidentialité GRATUITE

Créez un site politique de confidentialité gratuit et complet en quelques minutes !
Créer ma politique de confidentialité gratuite

Articles connexes

  1. Qu'est-ce qu'une politique de protection de la vie privée ?
    Qu'est-ce qu'une politique de confidentialité ? Tout ce que les entreprises doivent savoir
    Articles

    21 février 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  2. 9-Questions courantes de politique de protection de la vie privée à éviter - Copy-01
    9 problèmes courants à éviter en matière de politique de protection de la vie privée
    Articles

    21 février 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  3. Comment naviguer dans les exigences de la CCPA-DSAR-01
    Les exigences du DSAR de l'ACCP : Comment s'y retrouver en 6 étapes simples
    Guides

    20 février 2025
    Anokhy Desai CIPP/US, CIPT, CIPM
  4. Politique de protection de la vie privée - Mise à jour-01
    Mises à jour de la politique de confidentialité : Pourquoi et comment mettre à jour
    Articles

    20 février 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  5. Termly
    Termly vs. OneTrust : Comparaison des caractéristiques et des services
    Comparaisons

    14 février 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  6. Qu'est-ce que la loi de l'Oregon sur la protection de la vie privée des consommateurs (OCPA)-01 ?
    Loi de l'Oregon sur la protection de la vie privée des consommateurs : Premier aperçu et résumé
    Articles

    14 février 2025
    Josh Langeland, CIPM
  7. Qu'est-ce que la déclaration de confidentialité des données de Floride (FDBR)-01 ?
    Charte des droits numériques de Floride : Premier aperçu et résumé
    Articles

    14 février 2025
    Josh Langeland, CIPM
  8. COPPA-Childrens-Online-Privacy-Protection-Act-Compliance-Guide-01 (en anglais)
    COPPA : Explication de la loi sur la protection de la vie privée des enfants en ligne
    Articles

    13 février 2025
    Josh Langeland, CIPM
  9. Qu'est-ce que la loi du Texas sur la confidentialité et la sécurité des données (TDPSA)-01 ?
    Loi texane sur la confidentialité et la sécurité des données : Premier aperçu et résumé
    Articles

    10 février 2025
    Josh Langeland, CIPM

Explorer d'autres ressources