Guide de conformité · Québec et Canada · juillet 2026

Loi 25 et données : ce que les entreprises doivent changer

De la Loi 25 au projet de loi C-36 : obligations, systèmes, fournisseurs et risques extraterritoriaux pour les entreprises canadiennes.

14 min de lecture Publié en juillet 2026 Loi 25 · Gouvernance · Données

Pour une entreprise québécoise, la protection des renseignements personnels ne se résume plus à une politique de confidentialité. Elle touche la conception des formulaires, les paramètres des logiciels, les contrats infonuagiques, les délais de conservation, les processus d’incident et les décisions automatisées.

La difficulté vient de l’empilement des règles. La loi québécoise s’applique à la plupart des activités privées réalisées au Québec. La loi fédérale continue de viser les entreprises sous réglementation fédérale ainsi que les flux commerciaux interprovinciaux et internationaux. Le RGPD européen ou le régime californien peuvent aussi s’ajouter lorsqu’une entreprise cible réellement ces marchés.

Ce guide présente la situation au 16 juillet 2026 et traduit les exigences en décisions opérationnelles. Il ne constitue pas un avis juridique : l’assujettissement et les mesures appropriées dépendent des activités, des contrats et des renseignements détenus par chaque organisation.

Commencer par distinguer les lois en vigueur des projets annoncés

Au Québec, la « Loi 25 » est le nom courant donné à la loi de modernisation adoptée en 2021. Ses obligations ont été intégrées notamment à la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP). Cette loi québécoise est pleinement en vigueur pour les entreprises visées.

Au fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, ou PIPEDA en anglais) demeure la loi applicable en juillet 2026. Le projet de loi C‑36, qui édicterait la Loi visant à protéger la vie privée et les données des consommateurs (LPVPDC), a été présenté le 15 juin 2026. LEGISinfo le situe à la deuxième lecture à la Chambre des communes, sans étude en comité ni vote final à cette date.

Cette distinction est essentielle : une entreprise doit se conformer aujourd’hui à la LPRPSP et, selon ses activités, à la LPRPDE. Elle peut préparer son architecture aux orientations de C‑36, mais ne doit pas présenter les obligations proposées comme du droit déjà en vigueur.

RégimeSituation au 16 juillet 2026Entreprises principalement concernéesExposition maximale mise en avant
Québec — LPRPSP modernisée par la Loi 25En vigueurEntreprises privées traitant des renseignements personnels au QuébecSanction administrative : 10 M$ ou 2 % du chiffre d’affaires mondial; régime pénal : 25 M$ ou 4 %, selon le montant le plus élevé
Canada — LPRPDEEn vigueurEntreprises fédérales et flux commerciaux interprovinciaux ou internationauxRégime fédéral actuel, distinct de celui proposé dans C‑36
Canada — projet de loi C‑36Projet à la deuxième lectureCadre fédéral privé proposéSanctions proposées : 10 M$ ou 3 %; amendes pour les infractions graves : 25 M$ ou 5 %
Union européenne — RGPDEn vigueurÉtablissement dans l’UE, offre ciblée ou suivi du comportement de personnes dans l’UEJusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial pour certaines violations
Californie — CCPA/CPRAEn vigueurEntreprises faisant affaire en Californie et franchissant au moins un seuil légalAmendes par violation; droits privés limités dans certains incidents de sécurité

Les plafonds québécois proviennent directement des articles 90.12 et 91 de la LPRPSP. Les montants proposés au fédéral sont décrits dans le document d’information officiel sur C‑36.

Savoir quel régime canadien s’applique

Le Québec, l’Alberta et la Colombie-Britannique possèdent des lois privées reconnues comme substantiellement similaires à la LPRPDE. Pour une entreprise québécoise de compétence provinciale, la LPRPSP encadre généralement les traitements réalisés entièrement au Québec.

La LPRPDE continue toutefois de s’appliquer aux entreprises sous réglementation fédérale — par exemple les banques, télécommunications, compagnies aériennes et transporteurs interprovinciaux — ainsi qu’aux renseignements personnels qui circulent entre provinces ou à l’international dans le cadre d’activités commerciales. Le Commissariat à la protection de la vie privée du Canada rappelle cette articulation.

Dans la pratique, une entreprise peut donc devoir respecter les deux régimes pour des volets différents de ses activités. Une cartographie juridique utile ne demande pas seulement « où est situé le siège social? », mais aussi :

  • qui collecte les renseignements;
  • dans quelle province se trouve la personne concernée;
  • si l’activité est de compétence fédérale;
  • où les renseignements sont communiqués;
  • si l’opération est commerciale, interprovinciale ou internationale;
  • quelles obligations contractuelles s’ajoutent aux lois générales.

Transformer la Loi 25 en gouvernance démontrable

La première rupture apportée par la réforme québécoise est l’imputabilité. Une entreprise doit pouvoir montrer qui décide, quelles règles sont appliquées et comment elle contrôle le cycle de vie des renseignements.

Désigner une personne réellement responsable

La personne qui possède la plus haute autorité dans l’entreprise exerce par défaut la fonction de responsable de la protection des renseignements personnels. Cette fonction peut être déléguée par écrit, en tout ou en partie. Le titre et les coordonnées du responsable doivent être publiés sur le site de l’entreprise ou rendus accessibles autrement si elle n’a pas de site.

Une délégation ne devrait pas être symbolique. Le responsable doit pouvoir intervenir dans les projets, demander des preuves aux équipes, participer aux incidents et faire remonter un risque à la direction.

Maintenir des politiques adaptées à la réalité

La loi exige des politiques et pratiques de gouvernance proportionnées au volume, à la sensibilité, aux finalités et au support des renseignements. La CAI résume les principales obligations issues de la Loi 25, notamment les rôles du personnel, le traitement des plaintes et l’information à publier.

Une PME n’a pas nécessairement besoin d’un logiciel complexe de gouvernance. Elle a toutefois besoin d’un registre exploitable qui relie au minimum :

  • les catégories de renseignements;
  • les finalités autorisées;
  • les systèmes et emplacements;
  • les personnes et fournisseurs qui y ont accès;
  • les transferts hors Québec;
  • les délais de conservation;
  • la méthode de destruction ou, exceptionnellement, d’anonymisation.

L’objectif n’est pas de produire un inventaire parfait une fois par année. Il faut disposer d’une carte assez fiable pour répondre à une demande d’accès, évaluer un incident ou vérifier un fournisseur sans repartir de zéro.

Concevoir la collecte, le consentement et les droits dans les systèmes

La politique publiée ne compense pas une interface ou une base de données mal conçue. Les obligations doivent être traduites dans les parcours numériques et les procédures internes.

Collecter seulement ce qui est nécessaire

Avant la collecte, l’entreprise doit déterminer ses finalités. Elle ne doit recueillir que les renseignements nécessaires à ces finalités et doit informer la personne, en termes simples et clairs, notamment des fins, des moyens de collecte, de ses droits d’accès et de rectification et de son droit de retirer son consentement.

Un consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques. Lorsqu’il est demandé par écrit, il doit être présenté distinctement des autres informations. Un renseignement sensible exige un consentement exprès lorsqu’un consentement est requis.

Cela ne signifie pas que chaque témoin de connexion ou chaque opération exige toujours un clic « accepter ». Les exceptions, les finalités et les fonctions technologiques doivent être analysées précisément. Une plateforme de gestion du consentement peut aider à appliquer les choix, mais son installation ne prouve pas à elle seule la conformité.

Prévoir les fonctions de profilage et les décisions automatisées

Lorsqu’une technologie comporte des fonctions permettant d’identifier, de localiser ou de profiler une personne, l’entreprise doit l’en informer au préalable et lui présenter les moyens permettant d’activer ces fonctions. Elles ne devraient pas être activées silencieusement par défaut.

Lorsqu’une décision repose exclusivement sur un traitement automatisé de renseignements personnels, la personne doit en être informée au plus tard au moment de la décision. Elle peut demander des informations sur les renseignements utilisés, les raisons et les principaux facteurs ayant mené à la décision, puis présenter ses observations à un membre du personnel en mesure de la réviser. Ces obligations concernent autant un parcours client qu’un outil de sélection ou d’évaluation du personnel.

Rendre les droits réellement exécutables

Les demandes d’accès ou de rectification doivent recevoir une réponse écrite avec diligence et au plus tard dans les 30 jours. Depuis le 22 septembre 2024, le droit à la portabilité couvre, sur demande, certains renseignements informatisés recueillis auprès de la personne et exige un format technologique structuré et couramment utilisé.

Une API automatisée peut être pertinente à grande échelle, mais elle n’est pas une obligation générale pour toutes les PME. Le besoin minimal est un processus fiable pour : authentifier la personne, trouver les renseignements couverts, appliquer les exceptions, produire un format lisible et documenter la réponse.

Faire de l’EFVP une porte de passage des projets

L’évaluation des facteurs relatifs à la vie privée (EFVP) est l’un des outils les plus structurants de la réforme. Elle doit notamment être réalisée pour un projet d’acquisition, de développement ou de refonte d’un système d’information ou d’une prestation électronique de services impliquant des renseignements personnels. Elle est aussi requise avant une communication de renseignements personnels à l’extérieur du Québec.

L’EFVP doit être proportionnée à la sensibilité, à la finalité, à la quantité, à la répartition et au support des renseignements. Ce n’est donc ni un formulaire universel ni une approbation juridique faite après la mise en production.

Dans un processus d’achat ou de développement, elle devrait intervenir avant que les choix deviennent coûteux à modifier. Elle permet de décider :

  1. si les renseignements sont réellement nécessaires;
  2. si une solution moins intrusive atteint la même finalité;
  3. quels accès et journaux doivent être configurés;
  4. quelles durées de conservation doivent être automatisées;
  5. quelles clauses contractuelles sont nécessaires;
  6. si un transfert hors Québec offre une protection adéquate;
  7. quel risque résiduel la direction accepte ou refuse.

Pour un transfert hors Québec, l’analyse doit considérer la sensibilité, les finalités, les mesures de protection et le régime juridique du lieu de destination. La communication peut avoir lieu si l’évaluation conclut à une protection adéquate et si une entente écrite encadre l’opération. La loi ne promet pas une absence totale de risque ni une équivalence mot pour mot avec le droit québécois.

Encadrer les fournisseurs sans se fier à leur certification

L’article 18.3 permet à une entreprise de communiquer des renseignements à un mandataire ou à un fournisseur sans consentement lorsque la communication est nécessaire à l’exécution du mandat ou du contrat. Cette exception vient avec une exigence d’entente écrite.

Le contrat doit notamment préciser les mesures prises pour protéger la confidentialité, les fins de l’utilisation, la période de conservation et l’obligation de ne pas conserver les renseignements après l’échéance. Le fournisseur doit aviser sans délai le responsable de toute violation ou tentative de violation et permettre à l’entreprise de vérifier le respect des obligations.

Une certification de sécurité, un questionnaire commercial ou une clause générique ne suffisent pas toujours. L’entreprise cliente doit comprendre :

  • les sous-traitants ultérieurs;
  • les lieux d’hébergement et d’accès à distance;
  • la séparation entre données clients et données d’entraînement;
  • les mécanismes d’exportation et de suppression;
  • les délais de notification d’incident;
  • les preuves disponibles lors d’un audit;
  • le sort des sauvegardes à la fin du contrat.

Pour un service d’IA générative, il faut aussi vérifier si les invites, fichiers et sorties sont conservés, examinés par des humains ou utilisés pour améliorer les modèles. Le mode « entreprise » d’un fournisseur peut réduire certains risques, mais il ne remplace ni l’EFVP ni la configuration des accès.

Préparer les incidents avant qu’ils surviennent

Un incident de confidentialité comprend l’accès, l’utilisation ou la communication non autorisés ainsi que la perte d’un renseignement personnel. L’entreprise doit prendre des mesures raisonnables pour réduire le risque de préjudice et empêcher qu’un incident similaire se reproduise.

Tous les incidents doivent être inscrits dans un registre, même lorsqu’ils ne franchissent pas le seuil de notification. La CAI exige que les renseignements de ce registre soient conservés au moins cinq ans.

Si l’incident présente un risque de préjudice sérieux, l’entreprise doit aviser avec diligence la CAI et les personnes concernées, sous réserve de certaines exceptions liées aux enquêtes. L’évaluation tient compte notamment de la sensibilité des renseignements, des conséquences appréhendées et de la probabilité d’une utilisation préjudiciable.

Un plan utile attribue à l’avance les responsabilités : sécurité informatique, responsable de la protection, direction, communications, assureur et conseil juridique. Il précise aussi comment préserver les preuves, décider du seuil de notification, contacter les fournisseurs et suivre les mesures correctives.

Détruire à temps et traiter l’anonymisation avec prudence

Lorsque les finalités sont accomplies, l’entreprise doit détruire les renseignements, sous réserve d’un délai de conservation prévu par la loi. Elle peut plutôt les anonymiser pour les utiliser à des fins sérieuses et légitimes, mais seulement selon le cadre réglementaire applicable.

Le Règlement sur l’anonymisation des renseignements personnels est entré en vigueur le 30 mai 2024; son article 9, relatif au registre, est entré en vigueur le 1er janvier 2025. Il exige une démarche documentée qui évalue notamment les risques d’individualisation, de corrélation et d’inférence, puis les risques résiduels de réidentification.

Il faut distinguer :

  • la dépersonnalisation, qui retire l’identification directe mais laisse un risque de réidentification et demeure soumise à la loi;
  • l’anonymisation, qui doit rendre irréversible l’impossibilité raisonnable d’identifier la personne et qui constitue une solution de remplacement à la destruction dans les conditions prévues.

La CAI insiste sur la complexité et les limites de l’anonymisation, particulièrement pour les données biométriques, génétiques ou de géolocalisation. Un simple retrait des noms ou un identifiant haché ne transforme donc pas automatiquement un jeu de données en données anonymes.

Comprendre quand les règles étrangères s’ajoutent

Une présence internationale ne suffit pas toujours à déclencher toutes les lois étrangères. L’assujettissement dépend des activités réellement exercées.

Union européenne : ciblage ou suivi des personnes

Le RGPD peut viser une entreprise canadienne qui possède un établissement dans l’Union européenne, offre intentionnellement des biens ou services à des personnes qui s’y trouvent, ou surveille leur comportement. La Commission européenne explique ces critères d’application.

Le Canada figure toujours parmi les territoires bénéficiant d’une décision d’adéquation pour les organisations commerciales. Cette décision facilite certains transferts depuis l’Europe vers les organisations canadiennes couvertes, mais elle ne dispense pas une entreprise assujettie au RGPD de respecter ses autres obligations.

Californie : vérifier les seuils et le lien commercial

Le CCPA/CPRA peut viser une entreprise qui fait affaire en Californie, collecte des renseignements de consommateurs californiens et franchit au moins un seuil légal. Depuis le 1er janvier 2025, le seuil de revenus bruts annuels est de 26 625 000 $ US. Les autres seuils portent notamment sur 100 000 consommateurs ou ménages et sur la part des revenus provenant de la vente ou du partage de renseignements.

La California Privacy Protection Agency publie les seuils monétaires en vigueur. Une seule visite ou vente en Californie ne suffit pas, à elle seule, à résumer l’analyse. Il faut vérifier le lien d’affaires, les seuils, les exemptions et la manière dont les technologies publicitaires « vendent » ou « partagent » les renseignements au sens californien.

Pour une vue internationale plus large, consultez aussi le dossier Réglementation des données et vie privée en 2026.

Ce que les décisions récentes enseignent aux équipes techniques

Les décisions de la CAI montrent que la finalité commerciale ne rend pas automatiquement une technologie proportionnée.

En février 2025, la Commission a interdit à Metro de mettre en service une banque biométrique destinée à la reconnaissance faciale de personnes associées à des vols ou fraudes. Elle a conclu que la vérification d’identité par mesures biométriques exigeait un consentement exprès. La décision et son résumé sont publiés par la CAI.

L’enseignement dépasse la biométrie : acheter une technologie disponible sur le marché ne prouve ni sa nécessité ni sa proportionnalité. Les paramètres par défaut, la durée d’enregistrement, l’étendue des personnes surveillées et l’existence d’une solution moins intrusive doivent être examinés avant le déploiement.

Pour l’IA et l’analytique, la même discipline s’applique. Une organisation doit connaître les renseignements fournis au système, la décision ou recommandation produite, les personnes qui peuvent la réviser et la façon dont elle expliquera le résultat à une personne concernée.

Une feuille de route réaliste pour les PME

La conformité devient plus gérable lorsqu’elle est traitée comme un programme d’exploitation plutôt qu’un projet documentaire ponctuel.

  1. Confirmer les lois applicables. Documenter les activités québécoises, fédérales, interprovinciales, internationales et les secteurs réglementés.
  2. Nommer et outiller le responsable. Formaliser la délégation, publier ses coordonnées et définir son accès à la direction.
  3. Cartographier les renseignements. Relier finalités, systèmes, accès, fournisseurs, transferts et délais de conservation.
  4. Corriger les collectes. Éliminer les champs inutiles, clarifier les avis et séparer les consentements lorsque requis.
  5. Installer des portes d’EFVP. Déclencher l’évaluation avant l’achat, le développement, la refonte ou le transfert hors Québec.
  6. Réviser les contrats. Couvrir l’utilisation, la sécurité, les sous-traitants, l’incident, l’audit et la fin du mandat.
  7. Tester les droits. Simuler une demande d’accès, de rectification, de portabilité et de désindexation dans le délai de 30 jours.
  8. Tester un incident. Faire un exercice sur table avec la direction, les TI, le responsable et les communications.
  9. Automatiser la conservation. Associer des règles de suppression aux systèmes plutôt qu’à des rappels manuels.
  10. Réévaluer les outils d’IA. Vérifier les données envoyées, la conservation, l’entraînement, les décisions automatisées et la supervision humaine.

La priorité n’est pas de produire le plus grand nombre de politiques. Elle est de rendre les promesses vérifiables dans les systèmes, les contrats et les gestes quotidiens. Une entreprise qui sait quelles données elle possède, pourquoi elle les conserve et comment elle les retire est déjà mieux placée pour absorber les prochaines réformes.

Sources officielles à suivre