Loi 25

Qu'est-ce que la Loi 25? Guide complet pour les PME québécoises

12 minutes · Publié le 14 janvier 2026

Dans cet article

  1. Pourquoi la Loi 25 existe-t-elle?
  2. Qui est concerné par la Loi 25?
  3. Les exigences clés de la Loi 25
  4. Les pénalités en cas de non-conformité
  5. Et si tout ça était déjà géré pour vous?

La Loi 25 (anciennement le projet de loi 64) est la réforme majeure des lois québécoises sur la protection des renseignements personnels. Depuis septembre 2024, toutes les entreprises au Québec — peu importe leur taille — doivent s'y conformer sous peine de sanctions pouvant atteindre 10 M$ (administratives) ou 25 M$ (pénales).

Si vous êtes propriétaire d'une PME, travailleur autonome, comptable, avocat ou tout autre professionnel qui collecte des données clients, ce guide est pour vous.

Pourquoi la Loi 25 existe-t-elle?

La Loi 25, officiellement connue sous le nom de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adoptée le 22 septembre 2021. Elle représente la plus importante réforme des lois québécoises sur la vie privée depuis 1994.

Cette loi existe pour répondre à plusieurs réalités :

  • La multiplication des fuites de données
  • L'évolution rapide des technologies
  • L'harmonisation internationale avec le RGPD européen
  • La protection des citoyens québécois

Qui est concerné par la Loi 25?

Important : Il n'existe aucune exemption pour les petites entreprises. Que vous soyez une multinationale ou un travailleur autonome, si vous collectez des renseignements personnels au Québec, la Loi 25 s'applique à vous.

La Loi 25 s'applique à :

  • Toutes les entreprises privées opérant au Québec
  • Les travailleurs autonomes et freelancers
  • Les organismes publics (sous un régime parallèle, la Loi sur l'accès)
  • Les ordres professionnels
  • Les entreprises hors Québec qui exploitent une entreprise au Québec

Les exigences clés de la Loi 25

1. Désigner un responsable de la protection des renseignements personnels

Chaque organisation doit désigner une personne responsable. Par défaut, c'est le plus haut dirigeant (PDG, propriétaire) qui assume ce rôle, mais cette fonction peut être déléguée.

Obligation : Les coordonnées de cette personne doivent être publiées sur votre site web (art. 3.1).

2. Obtenir un consentement explicite et spécifique

Fini les formulaires de consentement vagues! La Loi 25 exige que le consentement soit :

  • Manifeste, libre et éclairé
  • Spécifique — chaque finalité clairement expliquée
  • Donné à des fins spécifiques (art. 14)
  • Révocable aussi facilement qu'il a été donné

3. Publier une politique de confidentialité

Votre politique de confidentialité doit être rédigée en termes simples et clairs, et inclure :

  • Les types de renseignements collectés
  • Les fins auxquelles ils sont utilisés
  • Les tiers avec qui ils sont partagés
  • Les droits des personnes concernées

4. Tenir un registre des incidents de confidentialité

Chaque incident de confidentialité — même mineur — doit être consigné dans un registre conservé au moins 5 ans (art. 3.8). Si l'incident présente un risque de préjudice sérieux, vous devez aviser la CAI et les personnes concernées dans les meilleurs délais.

5. Conserver et détruire les données selon les délais prescrits

Les renseignements personnels doivent être détruits ou anonymisés dès que la finalité de leur collecte est atteinte, à moins qu'une autre loi n'exige une conservation plus longue (art. 23). Conserver des données « au cas où » est une violation.

Autres obligations à ne pas négliger

Au-delà des obligations principales, la Loi 25 impose également :

  • Évaluation des facteurs relatifs à la vie privée (ÉFVP) — requise avant tout nouveau projet impliquant des renseignements personnels (art. 3.3)
  • Droit d'accès et de rectification — toute personne peut demander à consulter ou corriger ses renseignements, délai de 30 jours (art. 27-32)
  • Droit à la portabilité — les données doivent être transmises dans un format structuré et couramment utilisé sur demande (art. 27)
  • Vie privée par défaut — les paramètres de confidentialité les plus élevés doivent être activés par défaut dans vos outils (art. 9.1)
  • Ententes écrites avec les sous-traitants — tout fournisseur qui traite des renseignements personnels pour vous doit être encadré par contrat (art. 18.3)
  • Transfert hors Québec — une ÉFVP est requise avant tout transfert de renseignements personnels à l'extérieur du Québec (art. 17)

Les pénalités en cas de non-conformité

La Loi 25 prévoit des sanctions parmi les plus sévères en Amérique du Nord :

  • Sanctions administratives — jusqu'à 10 millions $ ou 2% du chiffre d'affaires mondial
  • Sanctions pénales — jusqu'à 25 millions $ ou 4% du chiffre d'affaires mondial
  • Poursuite privée — minimum 1 000 $ par personne en dommages punitifs. Les individus peuvent poursuivre directement — c'est unique au Canada.
  • Récidive — les amendes sont doublées

Et si tout ça était déjà géré pour vous?

Meo est une plateforme de gestion documentaire conçue pour la conformité Loi 25. Hébergement au Québec, consentement automatisé, rétention, audit, portabilité, anonymisation — tout est intégré.

Essayez gratuitement pendant 30 jours et simplifiez votre gestion documentaire.

Sources : Commission d'accès à l'information du Québec (cai.gouv.qc.ca), Gouvernement du Québec (quebec.ca), Barreau du Québec.

Cet article est fourni à titre informatif seulement et ne constitue pas un avis juridique.

Prêt à simplifier votre collecte de documents?

Joignez-vous aux entreprises québécoises qui font confiance à Meo pour leurs besoins de collecte de documents conforme à la Loi 25.

Créez votre compte gratuit