NexconformDémarrer gratuitement
Retour au blog
Loi 25 21 mai 2026 25 min de lecture

Loi 25 : Les 32 obligations expliquées une par une (Guide complet 2026)

Un ensemble de 32 obligations concrètes que toute entreprise québécoise — même les travailleurs autonomes — doit respecter. Décortiquées avec des exemples pratiques.

IE

Par Issam

Fondateur de Nexconform · Mis à jour : Mai 2026

Partager :

Dernière mise à jour : Mai 2026

La Loi 25 modernisant les dispositions législatives en matière de protection des renseignements personnels n'est pas qu'une simple formalité administrative. C'est un ensemble de 32 obligations concrètes que toute entreprise québécoise — même les travailleurs autonomes — doit respecter.

Beaucoup pensent encore que la Loi 25 se résume à la bannière de cookies. C'est faux. La bannière représente moins de 5 % des exigences totales.

Dans ce guide exhaustif, nous décortiquons chacune des 32 obligations de manière claire et accessible, avec des exemples concrets pour les PME québécoises.

Table des matières

I. Gouvernance et responsabilité (Obligations 1-5)

Obligation 1 : Désigner une personne responsable (RPRP)

Ce que dit la loi : Vous devez désigner une personne responsable de la protection des renseignements personnels (RPRP).

Concrètement :

  • Pour une PME : c'est souvent le propriétaire lui-même
  • Pour une entreprise avec employés : peut être déléguée à quelqu'un
  • Cette personne n'a pas besoin d'être certifiée (mais c'est recommandé)

Ce que vous devez faire :

  • Identifier qui est le RPRP dans votre organisation
  • Documenter cette désignation par écrit
  • Former cette personne sur ses responsabilités
  • Publier le nom et les coordonnées du RPRP dans votre politique de confidentialité

Exemple pratique : Marie, propriétaire d'une clinique de massothérapie, se désigne elle-même comme RPRP. Elle suit une formation en ligne (gratuite sur Nexconform) et mentionne dans sa politique de confidentialité : "Responsable : Marie Tremblay, contact@cliniquedemarie.ca"

Risque de non-conformité : Amende de 10 000 $ + impossibilité de prouver qui est responsable en cas d'incident.

Obligation 2 : Gouvernance des renseignements personnels

Ce que dit la loi : Vous devez mettre en place des politiques et pratiques de gouvernance pour protéger les renseignements personnels.

Concrètement :

  • Avoir des règles écrites sur qui peut accéder aux données
  • Former vos employés sur la confidentialité
  • Réviser régulièrement vos pratiques
  • Documenter tout ça

Exemple pratique : Un restaurant avec 8 employés crée un document de 2 pages expliquant : "Les coordonnées clients dans notre système de réservation ne doivent jamais être partagées. Seuls le gérant et la réceptionniste y ont accès."

Obligation 3 : Évaluation des facteurs relatifs à la vie privée (EFVP)

Ce que dit la loi : Vous devez faire une évaluation des facteurs relatifs à la vie privée (EFVP) pour toute nouvelle activité comportant des risques.

Concrètement : Avant de lancer un nouveau système informatique, commencer une nouvelle collecte de données, partager des données avec un nouveau partenaire, ou utiliser une nouvelle technologie (IA, caméras, etc.), vous devez vous poser : "Quels sont les risques pour la vie privée ?" et documenter votre réflexion.

Exemple pratique : Avant d'installer des caméras de surveillance dans votre clinique, vous documentez : où sont-elles placées, qui y a accès, combien de temps vous gardez les vidéos, et comment vous protégez ces enregistrements.

Obligation 4 : Tenir un registre des activités de traitement

Ce que dit la loi : Vous devez tenir un registre documentant tous vos traitements de renseignements personnels.

Concrètement : Pour chaque "actif de données" (système de réservation, liste email, dossiers clients, etc.), vous devez documenter :

  • Quoi : quelles données vous collectez
  • Pourquoi : à quelles fins
  • Où : où sont-elles stockées
  • Qui : qui y a accès
  • Combien de temps : durée de conservation
  • Comment : mesures de sécurité

Exemple pratique : Une massothérapeute documente dans son registre : 1) Système de réservation en ligne, 2) Dossiers clients papier, 3) Reçus d'assurance, 4) Liste d'envoi newsletter, 5) Caméras de surveillance, 6) Google Analytics sur le site web. Pour chacun, elle détaille ce qui est collecté, pourquoi, où c'est stocké, etc.

Risque de non-conformité : C'est LE document que la CAI demandera en priorité lors d'une inspection. Sans registre = amende quasi garantie.

Obligation 5 : Rendre le registre accessible

Ce que dit la loi : Votre registre doit être disponible sur demande pour consultation par la CAI ou les personnes concernées.

Concrètement : Le registre ne doit pas être public, mais vous devez pouvoir le fournir rapidement si demandé. Version simplifiée pour les personnes qui demandent, version complète pour la CAI.

Risque de non-conformité : Refuser de fournir le registre = infraction grave.

II. Information et transparence (Obligations 6-10)

Obligation 6 : Avoir une politique de confidentialité

Ce que dit la loi : Vous devez rédiger et publier une politique de confidentialité claire et accessible.

Votre politique doit expliquer : quelles données vous collectez, pourquoi vous les collectez, comment vous les protégez, combien de temps vous les gardez, les droits des personnes, comment exercer ces droits.

Exemple pratique : Sur votre site web, en bas de chaque page : "Politique de confidentialité" qui mène vers un document de 3-4 pages expliquant vos pratiques en français simple.

Obligation 7 : Informer lors de la collecte

Ce que dit la loi : Quand vous collectez des renseignements personnels, vous devez informer la personne de vos intentions.

AU MOMENT de la collecte, vous devez dire : pourquoi vous demandez ces informations, comment vous allez les utiliser, qui pourra y accéder, combien de temps vous les garderez.

Exemple pratique : Sous votre formulaire de réservation en ligne : "Nous utilisons votre nom, email et téléphone uniquement pour gérer votre rendez-vous et vous contacter si nécessaire. Ces informations sont conservées 2 ans après votre dernier rendez-vous."

Obligation 8 : Publier le nom du RPRP

Ce que dit la loi : Le nom et les coordonnées de votre RPRP doivent être publics.

Dans votre politique de confidentialité, vous devez indiquer : Nom de la personne responsable, Email ou téléphone pour la joindre.

Obligation 9 : Informer des communications hors Québec

Ce que dit la loi : Vous devez informer les personnes si leurs données quittent le Québec.

Si vous utilisez un service cloud américain (Google, Stripe, Mailchimp), un fournisseur européen, ou n'importe quel service dont les serveurs ne sont pas au Québec/Canada, vous devez le mentionner clairement.

Obligation 10 : Tenir l'information à jour

Ce que dit la loi : Votre politique de confidentialité et vos avis doivent toujours refléter vos pratiques actuelles.

Si vous changez de fournisseur de paiement → mettre à jour. Si vous ajoutez un nouvel outil → mettre à jour. Si vous changez vos durées de conservation → mettre à jour.

III. Consentement (Obligations 11-15)

Obligation 11 : Obtenir le consentement

Ce que dit la loi : Vous devez obtenir le consentement libre et éclairé avant de collecter, utiliser ou communiquer des renseignements personnels.

Le consentement doit être : Libre (la personne peut refuser sans conséquence), Éclairé (elle comprend à quoi elle consent), Spécifique (un consentement par finalité), Manifeste (action claire comme une case à cocher).

Risque de non-conformité : Sans consentement valide, toute votre collecte est illégale.

Obligation 12 : Consentement explicite pour données sensibles

Ce que dit la loi : Pour les données sensibles (santé, biométrie, origine ethnique, etc.), le consentement doit être explicite et séparé.

Vous ne pouvez pas obtenir le consentement "en passant" dans un long formulaire. Il faut une case spécifique, clairement identifiée.

Risque de non-conformité : Données sensibles sans consentement explicite = violation grave = amendes élevées.

Obligation 13 : Permettre le retrait du consentement

Ce que dit la loi : Une personne doit pouvoir retirer son consentement aussi facilement qu'elle l'a donné.

Si quelqu'un a consenti à recevoir votre infolettre par un clic, il doit pouvoir se désabonner par un clic aussi (pas 5 étapes compliquées).

Obligation 14 : Documenter les consentements

Ce que dit la loi : Vous devez conserver la preuve des consentements obtenus.

Pour chaque consentement, enregistrer : Qui a consenti (identifiant, email), Quand (date et heure), À quoi (quelle finalité exactement), Comment (formulaire web, signature papier, etc.)

Obligation 15 : Consentement pour les cookies non essentiels

Ce que dit la loi : Vous devez obtenir le consentement AVANT de déposer des cookies non essentiels (analytics, marketing, réseaux sociaux).

La bannière de cookies doit apparaître AVANT que Google Analytics se charge. L'utilisateur doit pouvoir tout refuser facilement. Aucune case pré-cochée.

Risque de non-conformité : Cookies déposés sans consentement = violation flagrante et facile à prouver.

IV. Droits des personnes (Obligations 16-20)

Obligation 16 : Droit d'accès

Ce que dit la loi : Toute personne a le droit de savoir quelles informations vous avez sur elle.

Si un client vous demande : "Quelles données avez-vous sur moi ?", vous devez lui fournir une copie dans les 30 jours.

Obligation 17 : Droit de rectification

Ce que dit la loi : Une personne peut demander la correction de données inexactes ou incomplètes.

Si un client dit : "Mon adresse dans votre système est erronée", vous devez la corriger dans les 30 jours.

Obligation 18 : Droit à la portabilité

Ce que dit la loi : Une personne peut demander ses données dans un format structuré et couramment utilisé.

Le client peut vous demander ses données pour les transférer ailleurs. Vous devez fournir un export en CSV, JSON, ou PDF.

Obligation 19 : Droit à l'effacement (droit à l'oubli)

Ce que dit la loi : Une personne peut demander la suppression de ses données dans certains cas.

La personne peut demander l'effacement si : les données ne sont plus nécessaires, elle retire son consentement, les données ont été collectées illégalement. Vous pouvez refuser si obligation légale de conserver (7 ans pour données fiscales).

Obligation 20 : Répondre dans les délais

Ce que dit la loi : Vous avez 30 jours pour répondre à toute demande d'exercice de droits.

À partir de la réception de la demande, vous avez 30 jours calendaires (pas ouvrables) pour accuser réception, traiter la demande, et fournir une réponse complète.

Risque de non-conformité : Ignorer ou dépasser les délais = plainte CAI facile à prouver.

V. Sécurité et protection (Obligations 21-25)

Obligation 21 : Mesures de sécurité appropriées

Ce que dit la loi : Vous devez protéger les renseignements personnels par des mesures de sécurité adaptées à leur sensibilité.

Mesures techniques : Mots de passe forts, chiffrement des données sensibles, sauvegardes régulières, antivirus à jour.

Mesures organisationnelles : Accès limité selon le besoin, formation des employés, politique de sécurité écrite.

Exemple pratique : Dossiers clients papier → classeur verrouillé. Fichiers numériques → ordinateur protégé par mot de passe. Données de santé → chiffrement + accès restreint.

Obligation 22 : Détruire de manière sécurisée

Ce que dit la loi : Quand vous n'avez plus besoin de données, vous devez les détruire de manière sécurisée.

Documents papier → déchiquetage. Fichiers numériques → suppression sécurisée (pas juste à la corbeille). Disques durs → destruction physique ou formatage sécurisé.

Obligation 23 : Limiter l'accès (principe du besoin de savoir)

Ce que dit la loi : Seules les personnes qui ont besoin d'accéder aux données dans le cadre de leur travail peuvent y accéder.

Le massothérapeute a accès aux dossiers clients. La réceptionniste a accès aux coordonnées pour les rendez-vous. Le comptable a accès aux factures. PERSONNE d'autre.

Obligation 24 : Sécurité des communications

Ce que dit la loi : Quand vous envoyez des données personnelles, vous devez le faire de manière sécurisée.

Email contenant des données sensibles → chiffré ou lien sécurisé. Envoi de documents → portail sécurisé. Jamais de données sensibles par SMS non chiffré.

Obligation 25 : Former les employés

Ce que dit la loi : Vous devez former toute personne ayant accès à des renseignements personnels.

Formation sur : Qu'est-ce qu'un renseignement personnel, pourquoi c'est important de les protéger, les bonnes pratiques (mots de passe, emails, etc.), que faire en cas d'incident.

Risque de non-conformité : Employé non formé fait une erreur → incident → "Vous ne les avez pas formés ?" → amende.

VI. Incidents de confidentialité (Obligations 26-28)

Obligation 26 : Détecter et documenter les incidents

Ce que dit la loi : Vous devez être capable de détecter quand un incident de confidentialité se produit et le documenter.

Un incident, c'est : laptop volé contenant des données clients, email envoyé aux mauvaises personnes, accès non autorisé à votre système, perte de documents papier, ransomware.

Obligation 27 : Notifier la CAI dans les 72 heures (si risque sérieux)

Ce que dit la loi : Si l'incident présente un risque de préjudice sérieux, vous devez notifier la CAI dans les 72 heures suivant la découverte.

Risque sérieux = possibilité de : vol d'identité, fraude financière, atteinte à la réputation, discrimination, dommage physique.

Risque de non-conformité : Ne pas notifier un incident à risque sérieux = amende pouvant aller jusqu'à 50 000 $.

Obligation 28 : Notifier les personnes affectées

Ce que dit la loi : Vous devez informer les personnes dont les renseignements sont compromis si l'incident présente un risque de préjudice sérieux.

Vous devez contacter chaque personne affectée pour expliquer ce qui s'est passé, quelles données sont concernées, quels sont les risques potentiels, et ce qu'elles peuvent faire pour se protéger.

VII. Communication hors Québec (Obligations 29-30)

Obligation 29 : Entente avec les fournisseurs hors Québec

Ce que dit la loi : Si vous confiez des données à un fournisseur situé hors du Québec, vous devez avoir une entente écrite garantissant un niveau de protection équivalent.

Vous utilisez Stripe (États-Unis), Mailchimp (États-Unis), Google Workspace (États-Unis). Vous devez vérifier qu'ils respectent des normes équivalentes (RGPD, certifications SOC 2, etc.) et avoir une entente/contrat.

Obligation 30 : Informer de la juridiction étrangère

Ce que dit la loi : Vous devez informer les personnes de la juridiction étrangère où leurs données sont hébergées/traitées.

Dans votre politique de confidentialité, mentionner : Quels services vous utilisez, Dans quel pays sont les serveurs, Que les données peuvent être soumises aux lois de ce pays.

VIII. Conservation et destruction (Obligations 31-32)

Obligation 31 : Durées de conservation définies

Ce que dit la loi : Vous devez définir et respecter des durées de conservation pour chaque type de données.

Pour chaque actif dans votre registre, vous devez dire : Combien de temps vous gardez les données, Pourquoi cette durée (obligation légale, besoin métier), Ce qui déclenche la suppression.

Exemple : Reçus d'assurance : 7 ans (obligation fiscale). Notes de consultation : 7 ans (obligation professionnelle). Liste email marketing : jusqu'au désabonnement, max 3 ans sans interaction.

Obligation 32 : Destruction à l'échéance

Ce que dit la loi : Quand la durée de conservation est atteinte, vous devez détruire les données (sauf exceptions légales).

Après 7 ans, les reçus d'assurance doivent être détruits. Après 3 ans sans interaction, les emails inactifs doivent être supprimés.

Récapitulatif : Par où commencer ?

Les 32 obligations peuvent sembler écrasantes. Voici l'ordre de priorité pour une PME :

Priorité 1 (À faire cette semaine)

  1. Désigner un RPRP (Obligation 1)
  2. Installer une bannière de cookies (Obligation 15)
  3. Rédiger une politique de confidentialité basique (Obligation 6)

Priorité 2 (À faire ce mois-ci)

  1. Créer le registre des activités (Obligation 4)
  2. Définir les durées de conservation (Obligation 31)
  3. Former les employés de base (Obligation 25)

Priorité 3 (À faire dans les 3 mois)

  1. Mettre en place les mesures de sécurité (Obligation 21)
  2. Documenter les consentements (Obligation 14)
  3. Procédure d'incidents (Obligations 26-28)

Priorité 4 (Dans les 6 mois)

10-32. Toutes les autres obligations

Questions fréquentes

Est-ce que les 32 obligations s'appliquent même aux travailleurs autonomes ?

Oui, dès que vous collectez des renseignements personnels (même juste un nom et email).

Combien de temps faut-il pour tout implémenter ?

Avec Nexconform : environ 1 heure pour 80 % de conformité. Manuellement : 40-60 heures.

Quelle est l'amende si je ne respecte pas une obligation ?

10 000 $ par infraction. Si vous ne respectez aucune des 32 obligations, théoriquement jusqu'à 320 000 $ (mais la CAI regarde surtout la bonne foi).

Par quelle obligation commencer en priorité ?

Bannière cookies (15), Politique de confidentialité (6), et Registre (4).

La CAI vérifie-t-elle vraiment la conformité ?

Oui. Les inspections ont augmenté de 300 % depuis 2024. Même les petites entreprises sont inspectées.

Article rédigé par l'équipe Nexconform - La plateforme québécoise de conformité Loi 25 pour les PME. Dernière mise à jour : Mai 2026.