Tous les articles du blog

Loi 25 du Québec : tour d'horizon

Close
Temps de lecture
17 min
Publié
Juil 8, 2026
Partager
  • La Loi 25 s'applique à toute organisation, partout dans le monde, qui recueille ou traite les renseignements personnels de personnes résidant au Québec. Il n'y a aucun seuil minimal.
  • Les témoins (cookies) et les technologies de suivi non essentiels doivent être désactivés par défaut et activés uniquement après un consentement clair, éclairé et explicite (opt-in) — ce qui rend la Loi 25 plus stricte que la LPRPDE ou que les lois des États américains.
  • Le consentement doit être clair, libre, éclairé et propre à chaque fin ; pour les renseignements personnels sensibles, il doit toujours être explicite.
  • Les personnes ont le droit de savoir quels renseignements sont recueillis, d'y accéder, de les faire rectifier, d'en demander la suppression ou la portabilité, et de retirer leur consentement en tout temps.
  • Les organisations doivent nommer un responsable de la protection des renseignements personnels, publier une politique de confidentialité en langage clair et réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de transférer des renseignements personnels hors du Québec ou de refondre les systèmes qui les traitent.
  • Les sanctions peuvent atteindre 25 M$ CA ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé ; en cas de récidive, les amendes sont doublées.

Le Québec s'est doté de l'un des cadres de protection des renseignements personnels les plus complets en Amérique du Nord. Adoptée en 2021 et pleinement en vigueur depuis septembre 2024, la Loi 25 modernise la réglementation québécoise existante et introduit des exigences qui s'inspirent étroitement du Règlement général sur la protection des données (RGPD) de l'Union européenne : une approche fondée d'abord sur le consentement et des droits individuels concrets. Pour tout exploitant de site web qui rejoint des utilisateurs au Québec, comprendre et respecter ces exigences n'est pas facultatif.

Qu'est-ce que la Loi 25?

La Loi 25 — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — a été déposée à l'Assemblée nationale du Québec sous le nom de projet de loi n° 64 en juin 2020, puis adoptée en septembre 2021.

Elle modifie en profondeur deux lois provinciales existantes : la Loi sur la protection des renseignements personnels dans le secteur privé (1994), qui encadre les organisations du secteur privé, et la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (1982), qui vise les organismes publics. Ces deux lois avaient été rédigées avant que les plateformes numériques et le suivi comportemental ne prennent leur importance commerciale actuelle.

La Loi 25 donne aux personnes un meilleur contrôle sur leurs renseignements personnels et impose une responsabilité accrue aux organisations qui les traitent. Elle aligne aussi le cadre québécois sur les normes internationales, dont le RGPD.

À qui s'applique la Loi 25?

La Loi 25 s'applique à toute « entreprise » qui recueille, utilise ou traite les renseignements personnels de personnes résidant au Québec, même si cette entreprise est établie en dehors de la province ou du Canada. La notion d'« entreprise » y est définie largement, suivant l'article 1525 du Code civil du Québec, et englobe les organismes publics, les organisations privées, les organismes à but non lucratif (OBNL) et les personnes exerçant une activité économique organisée.

Fait déterminant : la Loi 25 ne fixe aucun seuil de taille. Aucun nombre d'employés, aucun plancher de revenus, aucun volume de clientèle. Traiter les renseignements personnels d'une seule personne résidant au Québec suffit à assujettir une organisation. Un travailleur autonome, un petit OBNL et une multinationale sont soumis aux mêmes obligations de conformité.

Concrètement, tout site web ayant des utilisateurs au Québec qui dépose des témoins ou des traceurs, recueille des données de formulaire ou traite des renseignements personnels à des fins commerciales est vraisemblablement assujetti. La Loi 25 est la réglementation provinciale la plus stricte du Canada en matière de protection des renseignements personnels et impose des exigences qui vont au-delà de la loi fédérale, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Qu'est-ce qu'un renseignement personnel selon la Loi 25?

Un renseignement personnel, au sens de la Loi 25, est tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l'identifier. Le format importe peu : les données écrites, numériques, visuelles, sonores et biométriques sont toutes visées. Cela inclut les données que les sites web recueillent couramment au moyen de témoins et de traceurs, comme les adresses IP, les identifiants uniques, l'historique de navigation, les données relatives à l'appareil et les signaux de localisation.

Un renseignement est considéré comme sensible s'il est de nature intime — par exemple des données de santé, biométriques ou financières — ou si son utilisation ou sa communication suscite une attente élevée en matière de vie privée. La Loi 25 adopte une approche contextuelle de la sensibilité : un renseignement qui ne serait pas normalement jugé sensible peut le devenir selon les circonstances de son utilisation. Les renseignements personnels sensibles sont soumis à des exigences plus strictes, dont la nécessité d'un consentement explicite dans tous les cas.

La Loi 25 ne s'applique pas aux renseignements personnels recueillis ou utilisés exclusivement à des fins journalistiques, de recherche historique ou de généalogie d'intérêt public légitime. Elle ne vise par ailleurs que les personnes physiques ; les données sur les entreprises ou autres personnes morales n'entrent pas dans son champ d'application.

Principales dispositions de la Loi 25

La Loi 25 introduit plusieurs obligations que les exploitants de sites web doivent comprendre. Les dispositions ci-dessous couvrent les exigences les plus susceptibles d'influencer la façon dont votre site recueille, gère et conserve les renseignements personnels.

Exigences de consentement

Le consentement, sous la Loi 25, doit toujours être clair, libre, éclairé et propre à chaque fin — une norme assez répandue dans les lois internationales sur la vie privée. L'organisation doit le demander en des termes simples et sans ambiguïté, et formuler une demande distincte pour chaque fin poursuivie.

Lorsqu'il est demandé par écrit, le consentement doit être présenté séparément de tout autre renseignement soumis à la personne : il ne peut être noyé dans des conditions générales. C'est ici qu'une plateforme de gestion du consentement (CMP), capable d'afficher un bandeau de consentement personnalisé, devient un outil important sur votre site web.

Les renseignements personnels ne peuvent être utilisés qu'à la fin pour laquelle ils ont d'abord été recueillis, à moins que la personne ne consente à une autre utilisation : c'est le principe de limitation des finalités. Les exceptions sont limitées. Des renseignements peuvent être réutilisés sans nouveau consentement si :

  • la nouvelle fin est compatible avec la fin initiale ;
  • l'utilisation profite manifestement à la personne concernée ;
  • elle est nécessaire à la prestation d'un produit ou d'un service demandé ;
  • les renseignements ont été dépersonnalisés à des fins de recherche ou de statistiques.

Pour les renseignements personnels sensibles, le consentement doit toujours être explicite. Les personnes peuvent retirer leur consentement en tout temps, et l'organisation doit cesser le traitement dès que le retrait est confirmé. Le mécanisme de retrait doit être au moins aussi simple à utiliser que celui du consentement initial.

Pour les utilisateurs de moins de 14 ans, le consentement doit être donné par un parent ou un tuteur. Les personnes de 14 ans ou plus peuvent consentir elles-mêmes.

Témoins et technologies de suivi

La Loi 25 a des répercussions précises et concrètes pour tout site web qui utilise des témoins, des pixels de suivi, des scripts d'analyse ou des technologies semblables. C'est le domaine où elle se distingue le plus nettement de la LPRPDE, et où la plupart des exploitants devront apporter des changements tangibles.

En vertu de l'article 8.1 de la Loi 25, toute organisation qui recueille des renseignements personnels au moyen d'une technologie permettant d'identifier, de localiser ou de profiler une personne doit, avant d'activer cette technologie, informer les utilisateurs de son usage et leur fournir un moyen de l'activer. Le choix délibéré du verbe « activer », plutôt que « désactiver », en dit long sur l'intention : les technologies de suivi et de profilage doivent être désactivées par défaut. Les utilisateurs doivent les activer volontairement. Les témoins d'analyse, les pixels publicitaires et les scripts de suivi comportemental ne peuvent se charger tant que l'utilisateur n'y a pas activement consenti.

La Loi 25 définit largement le profilage : il couvre toute collecte ou utilisation de renseignements personnels visant à évaluer certaines caractéristiques d'une personne physique, notamment son rendement au travail, sa situation économique, sa santé, ses préférences, ses intérêts ou son comportement. La plupart des technologies publicitaires et d'analyse tierces entrent dans cette définition.

La Loi 25 est ainsi la seule réglementation nord-américaine à exiger expressément un consentement préalable (opt-in) pour les technologies de suivi comme paramètre par défaut. C'est une distinction majeure pour les organisations habituées au modèle de retrait (opt-out) courant sous la LPRPDE ou la CCPA.

En pratique, pour répondre à ces exigences, une organisation devrait : afficher un bandeau de consentement avant le chargement de toute technologie de suivi non essentielle ; rendre l'option de refus aussi visible que l'option d'acceptation ; offrir des réglages granulaires par catégorie de témoins ; consigner et horodater les décisions de consentement ; et permettre aux utilisateurs de modifier ou de retirer leurs préférences en tout temps.

Droits des personnes

La Loi 25 accorde aux personnes un ensemble de droits large et concret sur leurs renseignements personnels. Ces droits valent pour toute organisation assujettie, peu importe où elle est établie, et les personnes peuvent les exercer directement, sans passer d'abord par la CAI.

  • Droit à l'anonymat : lorsqu'un service peut être fourni de façon anonyme ou sous pseudonyme sans difficulté opérationnelle disproportionnée, l'organisation doit offrir cette option.
  • Droit d'être informé : la personne peut demander pourquoi ses renseignements sont recueillis, comment ils seront utilisés et avec qui ils seront partagés — au moment de la collecte comme sur demande.
  • Droit d'accès : la personne peut obtenir une copie des renseignements qu'une organisation détient à son sujet, avec leur source, les tiers à qui ils ont été communiqués et leur durée de conservation.
  • Droit de rectification : la personne peut faire corriger des renseignements incomplets ou inexacts. Lorsque ces renseignements ont été transmis à des tiers, l'organisation doit aviser ceux-ci de la correction dans la mesure du possible.
  • Droit à la suppression : la personne peut demander la suppression de ses renseignements lorsqu'ils ne sont plus nécessaires à la fin visée ou qu'ils ont été traités illégalement.
  • Droit à la portabilité : sur demande, l'organisation doit remettre à la personne les renseignements qu'elle a fournis (et non ceux qui en sont dérivés ou déduits) dans un format structuré et couramment utilisé. La personne peut aussi demander que ces données soient transmises directement à un tiers. Les organisations disposent généralement d'environ 30 jours pour répondre.
  • Droit à la déindexation : lorsqu'un renseignement personnel associé au nom d'une personne apparaît dans des résultats de recherche ou sur une page web et lui cause préjudice, ou qu'il a été recueilli ou utilisé en contravention de la loi, la personne peut demander la déindexation du lien ou la restriction de son accès. Ce droit n'a pas d'équivalent direct dans la LPRPDE ni le RGPD ; il est particulièrement pertinent pour les organisations qui publient du contenu généré par les utilisateurs ou qui exploitent des répertoires.
  • Droit à la transparence des décisions automatisées : l'organisation doit divulguer lorsqu'un système automatisé prend une décision touchant une personne. Celle-ci a le droit de demander une révision humaine, d'en connaître les motifs et de présenter ses observations. Nul ne peut être soumis à une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, sans son consentement préalable.
  • Droit à la protection de la vie privée par défaut : les organisations qui offrent des produits ou services technologiques, sites web et applications compris, doivent appliquer par défaut les paramètres les plus protecteurs de la vie privée, sans que les utilisateurs aient à les ajuster. Une disposition distincte (article 9.1) précise que cela ne vise pas directement les paramètres de témoins du navigateur, mais, en pratique, l'exigence de consentement préalable de l'article 8.1 produit un effet équivalent.

Évaluations des facteurs relatifs à la vie privée (ÉFVP)

La Loi 25 oblige les organisations à réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP), l'équivalent, quant à sa finalité, de l'analyse d'impact relative à la protection des données (AIPD) du RGPD.

Une ÉFVP est requise dans trois situations :

  • lors de l'acquisition, du développement ou de la refonte importante d'un système ou d'un projet mettant en jeu des renseignements personnels ;
  • avant tout transfert de renseignements personnels hors du Québec ;
  • avant de communiquer des renseignements personnels sans consentement à des fins de recherche, d'étude ou de statistiques.

L'ÉFVP est une analyse de fond portant sur la nécessité et la proportionnalité du traitement envisagé, sur les risques qu'il présente pour les personnes et sur les mesures d'atténuation en place. Pour un transfert hors Québec, l'évaluation doit aussi déterminer si le territoire de destination offre une protection équivalente ; des garanties contractuelles additionnelles sont exigées lorsque ce n'est pas le cas. L'obligation d'ÉFVP est continue : un changement de système, de fournisseur ou de flux de données peut déclencher une nouvelle évaluation.

Déclaration des incidents de confidentialité

La Loi 25 emploie le terme « incident de confidentialité » pour désigner ce que la plupart des cadres appellent une violation de données. La notion couvre l'accès non autorisé à des renseignements personnels, leur utilisation ou communication non autorisée, leur perte, ainsi que tout autre manquement à leur protection.

L'obligation d'agir naît dès qu'une organisation a des motifs de croire qu'un incident est survenu : elle ne peut attendre une confirmation avant d'amorcer sa réponse. Lorsque l'incident présente un risque de préjudice sérieux, l'organisation doit aviser sans délai le régulateur québécois — la Commission d'accès à l'information du Québec (CAI) — ainsi que les personnes concernées. Une exception ne s'applique que si l'avis nuisait activement à une enquête policière. Les organisations doivent tenir un registre des incidents de confidentialité et le rendre disponible à la CAI sur demande.

Exigences relatives à la politique de confidentialité

Toute organisation assujettie à la Loi 25 doit publier une politique de confidentialité expliquant ses pratiques dans un langage clair et accessible. Elle doit préciser : les renseignements personnels recueillis et par quels moyens ; les fins de la collecte ; l'utilisation, la conservation et le partage des renseignements ; leur durée de conservation ; qui y a accès, tiers compris ; les droits des personnes et la façon de les exercer ; les détails de tout profilage ou décision automatisée ; ainsi que le titre et les coordonnées du responsable de la protection des renseignements personnels. L'organisation doit aussi aviser les personnes de toute modification importante de la politique.

Nomination d'un responsable de la protection des renseignements personnels

La Loi 25 prévoit un mécanisme de nomination par défaut : à moins qu'une entreprise ne désigne formellement quelqu'un d'autre par écrit, la personne ayant la plus haute autorité dans l'organisation est automatiquement réputée responsable de la protection des renseignements personnels. Ainsi, un chef de la direction assume cette responsabilité tant qu'il ne la délègue pas explicitement ; en l'absence de désignation, la CAI tiendra le plus haut dirigeant pour responsable.

Le secteur privé peut confier ce rôle à toute personne, y compris à un consultant externe. Les organismes publics sont plus contraints : la personne désignée doit être un membre de l'organisme, de son conseil d'administration ou de sa direction, et l'organisme doit aviser la CAI par écrit du titre, des coordonnées et de la date d'entrée en fonction. Toutes les organisations doivent publier le titre et les coordonnées du responsable sur leur site web, à un endroit facile à trouver pour les utilisateurs.

Quand la Loi 25 est-elle entrée en vigueur?

La loi a été mise en œuvre en trois phases annuelles, toutes désormais en vigueur.

  • 22 septembre 2022 : entrée en vigueur de la première phase — nomination du responsable de la protection des renseignements personnels, obligations de déclaration des incidents et tenue d'un registre des incidents de confidentialité.
  • 22 septembre 2023 : entrée en vigueur de la majorité des dispositions de fond — exigences de consentement, obligations de transparence de la politique de confidentialité, droit à la suppression, ÉFVP, ainsi que les droits d'accès et de rectification. C'est aussi la date d'entrée en vigueur du régime de sanctions et du droit d'action privé.
  • 22 septembre 2024 : entrée en vigueur de la dernière disposition — le droit à la portabilité — complétant le déploiement.

Toutes les dispositions étant maintenant pleinement en vigueur, les organisations doivent respecter les exigences de la loi sous peine de mesures d'application. Par sa posture, la CAI a clairement indiqué qu'elle attend une conformité démontrée, et non de simples déclarations d'intention.

Sanctions et application de la loi

La Loi 25 est appliquée par la Commission d'accès à l'information du Québec (CAI), un organisme indépendant doté de pouvoirs d'enquête et de décision. La CAI peut ouvrir des enquêtes de sa propre initiative, donner suite à des plaintes et mener des vérifications et des inspections.

Le régime de sanctions est à deux paliers :

  • Les sanctions administratives pécuniaires (SAP), imposées directement par la CAI, peuvent atteindre 10 M$ CA ou 2 % du chiffre d'affaires mondial de l'exercice précédent, selon le montant le plus élevé (plafond de 50 000 $ CA pour une personne physique).
  • Les sanctions pénales, pour les infractions graves portées en poursuite, peuvent atteindre 25 M$ CA ou 4 % du chiffre d'affaires mondial (plafond de 100 000 $ CA pour une personne physique).

En cas de récidive, les amendes sont doublées aux deux paliers.

Par ailleurs, la Loi 25 crée un droit d'action privé. Une personne dont les droits ont été atteints peut réclamer des dommages-intérêts devant les tribunaux, à titre individuel ou par voie d'action collective. En cas d'atteinte intentionnelle ou résultant d'une faute lourde, le tribunal accorde des dommages-intérêts punitifs d'au moins 1 000 $ CA ; ces dommages punitifs supposent aussi la preuve d'un préjudice réel et d'un lien de causalité. Ce recours est indépendant de toute procédure de la CAI : une organisation peut faire l'objet d'une enquête réglementaire et d'un litige civil découlant du même incident.

La CAI exerce activement ses pouvoirs. En septembre 2024, elle a rendu sa première décision formelle sous le régime modernisé, ordonnant à une entreprise d'impression de cesser d'utiliser la reconnaissance faciale pour le contrôle des accès de ses employés : la collecte de données biométriques faciales a été jugée non nécessaire et disproportionnée, des solutions moins intrusives étant disponibles. L'enquête avait été amorcée par la CAI elle-même, à la suite de la déclaration biométrique obligatoire de l'entreprise, et non sur plainte. Les organisations qui déploient de l'identification automatisée, de l'analytique comportementale ou du profilage par IA devraient considérer l'examen de la CAI comme un risque réaliste à court terme.

Au-delà des sanctions financières, la non-conformité entraîne un risque d'atteinte à la réputation et érode la confiance des clients comme des utilisateurs.

Loi 25 c. LPRPDE : principales différences

La LPRPDE est la loi fédérale canadienne qui encadre les renseignements personnels utilisés dans le cadre d'activités commerciales. Elle établit un socle national, mais les provinces peuvent adopter leurs propres lois jugées « essentiellement similaires ». Lorsque cette désignation s'applique, la LPRPDE se retire et la loi provinciale s'applique à sa place pour l'essentiel des activités du secteur privé menées entièrement dans la province. L'Alberta, la Colombie-Britannique et le Québec ont tous obtenu cette désignation, la Loi 25 étant la plus ambitieuse des trois. La LPRPDE continue de s'appliquer aux industries de compétence fédérale (banques, télécommunications, transporteurs aériens) et régit tout transfert de renseignements personnels au-delà des frontières provinciales ou nationales.

Se conformer à la Loi 25 satisfait, dans la plupart des cas, aux exigences de la LPRPDE, mais l'inverse n'est pas vrai.

Loi 25 (Québec)LPRPDE (fédérale)
Champ d'applicationToute entreprise traitant les renseignements personnels de résidents du Québec ; aucun seuil de tailleOrganisations recueillant des renseignements personnels dans le cadre d'activités commerciales
ConsentementConsentement préalable (opt-in) explicite et propre à chaque fin ; pas de consentement impliciteModèle hybride ; consentement implicite admis dans bien des cas à faible risque
TémoinsConsentement préalable requis avant l'activation des technologies de suivi non essentiellesAucune exigence de consentement préalable pour les témoins dans la plupart des cas
Droits des personnesAccès, rectification, suppression, portabilité, déindexation, anonymat et protections liées aux décisions automatiséesAccès et rectification seulement
ÉFVPObligatoires dans les situations prévuesRecommandées, mais non obligatoires
ApplicationLa CAI peut imposer des sanctions financières directesLe Commissariat peut enquêter et recommander, mais non imposer de sanctions financières
Recours privéDommages-intérêts punitifs d'au moins 1 000 $ CA en cas d'atteinte intentionnelle ou de faute lourde ; action collective possibleAucun droit d'action civile privé

Comment Cookiebot™ CMP soutient les exigences de la Loi 25

Pour la plupart des organisations, la gestion du consentement est l'exigence de conformité la plus exigeante de la Loi 25 — et le domaine où un outil dédié procure le plus grand bénéfice pratique.

Cookiebot™ CMP analyse votre site web pour détecter tous les témoins et traceurs utilisés, les catégorise et présente aux utilisateurs un bandeau de consentement clair et propre à chaque fin, conforme aux exigences de consentement préalable de la Loi 25. Les technologies non essentielles sont bloquées tant que l'utilisateur n'y a pas activement consenti, ce qui répond à la norme d'activation (opt-in) de l'article 8.1.

Cookiebot™ CMP prend aussi en charge le retrait du consentement : les utilisateurs peuvent modifier ou révoquer leurs préférences en tout temps depuis l'interface de consentement. Chaque décision de consentement est consignée et horodatée automatiquement, ce qui constitue une piste d'audit à l'appui de vos obligations de documentation, si la CAI demande des preuves de vos pratiques ou en cas de litige civil.

Pour les organisations qui utilisent Google Analytics ou Google Ads, Cookiebot™ CMP prend en charge nativement le mode Consentement de Google (Google Consent Mode), ce qui permet de transmettre correctement les signaux de consentement aux systèmes de Google sans compromettre la conformité. Et pour celles qui sont assujetties à la fois à la Loi 25 et au RGPD, Cookiebot™ CMP gère les deux au sein d'un cadre de consentement unique, pour une conformité cohérente et multijuridictionnelle à partir d'une seule plateforme.

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Les organisations devraient consulter des juristes qualifiés au sujet de leur conformité à la Loi 25 du Québec et à toute autre réglementation applicable en matière de protection des renseignements personnels.

Questions fréquemment posées

La Loi 25 — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est une loi québécoise qui modernise le cadre de protection des renseignements personnels de la province. Elle exige un consentement préalable explicite pour la collecte de données et les technologies de suivi, introduit de nouveaux droits (dont la suppression et la portabilité) et impose la nomination d'un responsable de la protection des renseignements personnels. Elle s'applique à toute organisation, partout dans le monde, qui traite des renseignements personnels appartenant à des résidents du Québec.

La Loi 25 s'applique à toute entreprise, où qu'elle soit dans le monde, qui recueille, utilise ou traite les renseignements personnels de personnes résidant au Québec. Elle vise les entreprises privées, les organismes publics, les OBNL et les personnes exerçant une activité économique organisée. Fait déterminant, il n'y a aucun seuil de taille : une petite entreprise, un travailleur autonome ou un OBNL qui traite les données d'une seule personne résidant au Québec est assujetti.

Oui. En vertu de l'article 8.1, toute technologie permettant d'identifier, de localiser ou de profiler une personne — ce qui inclut la plupart des témoins d'analyse et de publicité — doit être inactive par défaut et activée seulement après le consentement actif de l'utilisateur. Si des personnes au Québec visitent votre site, vous devez obtenir le consentement avant le chargement des témoins non essentiels et offrir un moyen de le retirer. Un bandeau de consentement permet aux utilisateurs de consentir simplement et de revenir sur leur choix en tout temps.

Non. La LPRPDE est la loi fédérale canadienne ; elle établit un socle national pour les pratiques commerciales et s'applique dans tout le pays. La Loi 25 ne s'applique qu'au Québec, mais, dans la province, elle prévaut sur la LPRPDE dans la plupart des cas. Elle est plus stricte à tous les égards importants : elle exige un consentement préalable explicite là où la LPRPDE admet souvent un consentement implicite ; elle impose ce consentement pour les témoins ; elle ajoute des droits que la LPRPDE ne prévoit pas (suppression, portabilité, déindexation) ; et son régulateur peut imposer des sanctions financières directes, ce que celui de la LPRPDE ne peut pas faire. Se conformer à la Loi 25 satisfait généralement aux exigences de la LPRPDE, mais l'inverse n'est pas vrai.

Oui. Contrairement à bien des lois sur la vie privée, la Loi 25 ne fixe aucun seuil de taille — ni nombre d'employés, ni plancher de revenus, ni volume de clientèle. Un travailleur autonome ou un petit OBNL qui recueille des renseignements personnels de résidents du Québec est assujetti aux mêmes conditions qu'une grande entreprise.

Toutes les dispositions de la Loi 25 sont maintenant en vigueur. La dernière exigence, le droit à la portabilité, est entrée en vigueur le 22 septembre 2024. Les phases précédentes — nomination du responsable, déclaration des incidents, exigences de consentement, politiques de confidentialité et ÉFVP — sont entrées en vigueur entre septembre 2022 et septembre 2023.

Les sanctions administratives pécuniaires peuvent atteindre 10 M$ CA ou 2 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé. Pour les infractions graves, les sanctions pénales peuvent atteindre 25 M$ CA ou 4 % du chiffre d'affaires mondial. En cas de récidive, les amendes sont doublées. Pour les personnes physiques, les plafonds distincts sont de 50 000 $ CA (administratif) et de 100 000 $ CA (pénal). En cas d'atteinte intentionnelle ou de faute lourde, les personnes touchées peuvent aussi obtenir des dommages-intérêts punitifs d'au moins 1 000 $ CA et exercer une action collective.

La Loi 25 emploie le terme « incident de confidentialité » pour désigner tout accès, utilisation, communication ou perte non autorisés de renseignements personnels — soit ce que d'autres lois appellent une violation de données. Lorsqu'un tel incident présente un risque de préjudice sérieux pour les personnes touchées, l'organisation doit aviser sans délai la CAI et ces personnes, et tenir un registre des incidents.