CanadaLoi 25Mis à jour le 2026-04-18

Québec

Ce qui s’applique à toi si tu traites des données de clients québécois avec un outil d’IA.

La Loi 25, entrée en vigueur progressivement de 2022 à 2024, renforce la protection des renseignements personnels au Québec. Elle s’applique à toute entreprise qui collecte ou traite des renseignements de personnes au Québec, peu importe où elle est basée. Elle impose un responsable de la protection des renseignements personnels (RPRP), une politique de confidentialité, un registre d’incidents et une évaluation des facteurs relatifs à la vie privée (EFVP) pour les projets à risque.

CHAMP D'APPLICATION

À qui ça s'applique, à qui ça ne s'applique pas.

Ça s'applique à toi si

+Toute entreprise qui collecte, utilise ou communique des renseignements personnels de personnes au Québec, qu’elle soit basée ou non au Québec.
+Les TPE, PME et travailleurs autonomes sans seuil minimal de chiffre d’affaires ou d’employés.
+Les usages IA qui traitent des renseignements personnels, y compris les outils hébergés à l’étranger (OpenAI, Anthropic, etc.).

Ça ne s'applique pas à

−Les renseignements dépersonnalisés de façon à rendre l’identification impossible, à condition que la dépersonnalisation soit robuste et documentée.
−Les renseignements anonymisés de manière irréversible (distinction technique importante : la dépersonnalisation peut être renversée, pas l’anonymisation).
−Les activités purement personnelles ou domestiques, sans finalité professionnelle ou commerciale.

POINTS CLÉS

5 points à retenir.

Nommer un RPRP

Tu dois désigner une personne responsable de la protection des renseignements personnels. Pour une TPE, c’est souvent le dirigeant. Le nom et les coordonnées doivent être publics (site web).

Tenir une politique de confidentialité publique

Document accessible, rédigé dans un langage clair, qui décrit quelles données tu collectes, pourquoi, avec qui tu les partages, combien de temps tu les conserves.

Registre d’incidents

Tout incident de confidentialité (fuite, accès non autorisé, perte) doit être consigné, évalué et, si le risque est sérieux, notifié à la Commission d’accès à l’information et aux personnes concernées.

Évaluation des facteurs relatifs à la vie privée (EFVP)

Obligatoire avant tout projet à risque impliquant des renseignements personnels : nouveau système, nouvel outil IA, nouvelle collecte. Plus le risque est élevé, plus l’évaluation doit être détaillée.

Décisions automatisées

Si tu utilises l’IA pour prendre une décision qui concerne une personne (octroi d’un contrat, évaluation, recommandation), tu dois informer la personne, lui expliquer les facteurs principaux et lui offrir la possibilité de contester.

DÉTAILS

Ce qu'il faut savoir.

Qu’est-ce qu’un renseignement personnel au sens de la Loi 25 ?

Tout renseignement qui permet d’identifier une personne physique, directement ou indirectement. Nom, adresse, courriel, numéro de téléphone, numéro d’assurance sociale, adresse IP, identifiant d’appareil, géolocalisation, données biométriques. Les renseignements sensibles (santé, origine, orientation sexuelle, opinions politiques, religion, biométrie, casier judiciaire) bénéficient d’une protection renforcée : consentement explicite et distinct requis.

Consentement et transparence

Le consentement doit être libre, éclairé, spécifique et manifeste. Il doit être donné pour une finalité précise : tu ne peux pas réutiliser des renseignements collectés pour autre chose sans un nouveau consentement. La personne doit pouvoir retirer son consentement aussi facilement qu’elle l’a donné.

Hébergement à l’étranger

Tu peux utiliser un outil hébergé à l’extérieur du Québec, mais tu dois procéder à une évaluation des facteurs relatifs à la vie privée avant transfert, confirmer que le pays offre une protection adéquate, et encadrer le transfert par une entente écrite qui garantit la protection des renseignements. Pour les outils IA hébergés aux États-Unis, la vigilance est particulièrement recommandée.

Droits des personnes

Accès à leurs données, rectification des données inexactes, portabilité (depuis septembre 2024), effacement dans certaines conditions. Tu dois répondre à toute demande dans les 30 jours. Un formulaire standard et une procédure interne documentée facilitent le respect de ce délai.

Incidents et notifications

En cas d’incident de confidentialité à risque sérieux de préjudice, tu dois notifier la Commission d’accès à l’information et les personnes concernées dans les plus brefs délais. Le critère du « préjudice sérieux » dépend de la nature des données, du nombre de personnes touchées, des conséquences probables et de la vraisemblance d’une utilisation malveillante.

Sanctions

Jusqu’à 25 M$ ou 4 % du chiffre d’affaires mondial pour une entreprise, selon le plus élevé. Les sanctions sont rares pour les TPE mais la Commission d’accès peut exiger des mesures correctrices à tout moment, et les poursuites civiles de personnes affectées sont toujours possibles.

SOURCES OFFICIELLES

Aller à la source.

Commission d’accès à l’information du Québec Texte officiel de la Loi 25 Guide du RPRP (Commission d’accès à l’information)

NOTES

Cette fiche synthétise les obligations principales. Elle ne remplace pas l’avis d’un juriste pour les situations complexes (transferts massifs, profilage, données de mineurs, données de santé). Mise à jour mensuelle : si un changement législatif intervient, la date de mise à jour en haut de fiche et le texte correspondant sont revus.