CapGRC
Retour aux ressources
À la uneLoi 25Guide

Guide complet de mise en conformité Loi 25 pour les organisations québécoises

Tout ce que vous devez savoir sur la Loi 25 : obligations par phase, checklist de conformité, modèles d'EFVP et conseils pratiques pour structurer votre programme de conformité.

15 min de lectureMis à jour : septembre 2024

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (communément appelée Loi 25) est la réforme la plus significative de la protection des données au Québec depuis 30 ans. Entrée en vigueur progressivement entre 2022 et 2024, elle impose aux organisations québécoises des obligations concrètes sous peine de sanctions pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial.

Toutes les phases sont maintenant en vigueur

Depuis le 22 septembre 2024, la totalité des obligations de la Loi 25 s'appliquent. Si votre organisation n'est pas encore conforme, des mesures correctives doivent être prises immédiatement.

Les 3 phases d'entrée en vigueur

22 septembre 2022

Phase 1 — Gouvernance et responsabilités

En vigueur
  • Désigner un responsable de la protection des renseignements personnels (RPRP)
  • Publier les coordonnées du RPRP sur votre site web
  • Mettre en place une politique de gouvernance des renseignements personnels
  • Signaler tout incident de confidentialité à la CAI et aux personnes concernées
  • Tenir un registre des incidents de confidentialité

22 septembre 2023

Phase 2 — Droits des personnes et consentement

En vigueur
  • Mettre en place un processus pour traiter les demandes d'accès et de rectification
  • Obtenir un consentement manifeste, libre et éclairé pour la collecte de données
  • Limiter la collecte aux fins déterminées et annoncées
  • Adopter des règles de gouvernance publiées sur le site web
  • Réaliser une EFVP pour tout projet impliquant des renseignements personnels
  • Mettre en place un mécanisme de droit à la portabilité

22 septembre 2024

Phase 3 — Transparence et automatisation

En vigueur
  • Informer les personnes concernées lorsque leurs données sont utilisées pour des décisions automatisées
  • Permettre aux personnes de demander une révision humaine des décisions automatisées
  • Informer de l'utilisation de technologies de localisation ou de profilage
  • Obtenir le consentement avant de communiquer des renseignements hors Québec
  • Mettre en place des paramètres de confidentialité par défaut (Privacy by Default)

Comprendre l'EFVP (Évaluation des facteurs relatifs à la vie privée)

L'EFVP est obligatoire avant tout nouveau projet impliquant des renseignements personnels, tout changement de système existant, et avant toute communication de données hors Québec. Elle doit être réalisée dès la conception du projet.

1

Identifier les données collectées

Quelles données personnelles sont impliquées ? Qui les collecte ? Dans quel but ?

2

Évaluer les risques

Quels sont les risques pour la vie privée des individus concernés ?

3

Documenter les mesures

Quelles mesures de protection sont mises en place pour atténuer les risques identifiés ?

4

Archiver et réviser

L'EFVP doit être conservée et révisée si le projet évolue significativement.

Checklist de conformité Loi 25

Gouvernance

  • RPRP désigné et coordonnées publiées
  • Politique de gouvernance adoptée et publiée
  • Registre des incidents tenu à jour
  • Processus de signalement d'incidents documenté

Inventaire des données

  • Cartographie des flux de données personnelles
  • Inventaire des systèmes traitant des données personnelles
  • Classification des données par sensibilité
  • Identification des tiers ayant accès aux données

EFVP

  • Processus EFVP documenté et appliqué
  • Gabarits EFVP disponibles pour les équipes
  • Registre des EFVP réalisées et archivées
  • EFVP réalisée avant tout nouveau projet

Droits des individus

  • Processus de traitement des demandes d'accès
  • Délai de réponse de 30 jours respecté
  • Mécanisme de rectification documenté
  • Portabilité des données mise en place

Consentements

  • Consentements manifestes obtenus et documentés
  • Mécanisme de retrait du consentement disponible
  • Finalités de collecte clairement énoncées
  • Consentement séparé pour chaque finalité

Téléchargez nos modèles gratuits

Pour accélérer votre mise en conformité, nous avons préparé des gabarits prêts à l'emploi.

Gabarit EFVP (DOCX)Checklist Loi 25 (PDF)

Articles similaires

EFVP : guide pratique pour réaliser votre première évaluation

7 min de lecture

Gestion multi-référentiels : comment éviter la duplication des efforts

8 min de lecture

CapGRC automatise votre conformité Loi 25

Registre des EFVP, gestion des consentements, suivi des incidents — tout en un seul outil conçu pour le contexte québécois.

Demander une démoVoir les tarifs