Qu'est-ce que la Loi 25 au Quu00e9bec?

La Loi 25 modernise la protection des renseignements personnels dans le secteur privu00e9 quu00e9bu00e9cois. Adoptu00e9e en 2021, du00e9ployu00e9e en 3 phases (2022-2024), elle impose : RPRP du00e9signu00e9, consentement u00e9clairu00e9 pour les cookies, politique de confidentialitu00e9 publique, registre des incidents, droits d'accu00e8s, d'effacement et de portabilitu00e9.

Quand la Loi 25 est-elle entru00e9e en vigueur?

En trois phases : septembre 2022 (RPRP et registre des incidents), septembre 2023 (consentement, politique de confidentialitu00e9, u00c9FVP, droit u00e0 la du00e9sindexation) et septembre 2024 (droit u00e0 la portabilitu00e9). Elle est pleinement applicable depuis septembre 2024.

Quelle diffu00e9rence entre la Loi 25 et le RGPD?

La Loi 25 est quu00e9bu00e9coise, appliquu00e9e par la CAI. Le RGPD est europu00e9en. Bien que similaires dans leurs principes, leurs obligations spu00e9cifiques, du00e9lais, formats et sanctions diffu00e8rent. La conformitu00e9 RGPD ne garantit pas la conformitu00e9 Loi 25.

C'est quoi la Loi 25 en bref?

La Loi 25 oblige toute organisation privu00e9e au Quu00e9bec u00e0 : du00e9signer un RPRP, obtenir un consentement u00e9clairu00e9 avant les cookies non essentiels, publier une politique de confidentialitu00e9, tenir un registre des incidents, et respecter les droits des citoyens (accu00e8s, effacement, portabilitu00e9). Amendes jusqu'u00e0 25 M$.

12 min

Leçon 1.1 : Qu’est-ce que la Loi 25? Histoire, portée et chronologie

La plus grande réforme de la vie privée en Amérique du Nord

La Loi 25, officiellement Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adoptée en septembre 2021 et déployée en trois phases entre 2022 et 2024. Elle modifie en profondeur la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) de 1994.

Les trois phases

Septembre 2022 : Désignation obligatoire d’un RPRP. Publication de ses coordonnées. Registre et déclaration des incidents de confidentialité à la CAI.
Septembre 2023 : Consentement manifeste, libre, éclairé et spécifique. Confidentialité par défaut (art. 9.1). Politique de confidentialité obligatoire. ÉFVP. Droit à la désindexation.
Septembre 2024 : Droit à la portabilité des données dans un format structuré (JSON, CSV).

Ce que la Loi 25 change concrètement

Droits renforcés : accès, rectification, effacement, portabilité, désindexation.
Gouvernance formelle : RPRP, politique publiée, registre des incidents.
Consentement éclairé avant tout cookie non essentiel, aucune case pré-cochée tolérée.
ÉFVP obligatoire avant tout nouveau système traitant des données personnelles.
Principe de minimisation : ne collecter que le strict nécessaire.

Loi 25 ≠ RGPD

La Loi 25 s’inspire du RGPD européen mais s’en distingue : autorité d’application distincte (la CAI), obligations spécifiques au contexte québécois, seuils d’amendes différents. Les solutions pensées pour le RGPD ou le CCPA californien sont souvent incomplètes au Québec.

SiteQC : conformité native dès le premier jour

Contrairement à Wix, Squarespace ou GoDaddy qui ajoutent des modules de conformité après coup, SiteQC a intégré la Loi 25 dans son architecture fondamentale. Bannière, registre, politique et ÉFVP sont natifs, hébergement à Beauharnois, Québec, hors portée du CLOUD Act américain.

Points clés

Loi 25 pleinement en vigueur depuis septembre 2024.
S’applique à toute organisation privée traitant des données de résidents québécois.
Trois piliers : gouvernance (RPRP), consentement (bannière), droits citoyens.
Conformité RGPD ≠ conformité Loi 25.