Loi 25 : checklist de conformité en 12 étapes pour entreprises québécoises (2026)

· Alexandre Sauvageau

Loi 25 : checklist de conformité en 12 étapes pour entreprises québécoises (2026)

Loi 25 Québec : checklist conformité 12 étapes pour entreprises. Responsable vie privée, ÉFVP, notification d'incident, audit outils IA et amendes jusqu'à 25 M$.

Les trois phases de la Loi 25 sont désormais en vigueur. Voici la checklist exacte en 12 étapes que chaque entreprise doit compléter pour éviter des amendes jusqu'à 25 M$ — de la désignation d'un responsable de la vie privée à l'audit de vos outils IA.

À qui s\'applique la Loi 25 — et quelles sont les vraies sanctions ?

La Loi 25 — officiellement la *Loi modernisant des dispositions législatives en matière de protection des renseignements personnels* — s'applique à toute organisation du secteur privé au Québec qui recueille, détient, utilise ou communique des renseignements personnels sur des résidents québécois. Cela inclut les travailleurs autonomes, les OBNL, les cabinets juridiques, les agences, les entreprises SaaS et toute entreprise utilisant un outil tiers (comme un assistant email IA) qui traite des données de clients ou d'employés. Il n'y a aucun seuil de revenus. Une agence de cinq personnes est aussi assujettie à la Loi 25 qu'une entreprise de 500 personnes. La loi est pleinement en vigueur depuis septembre 2024, les trois phases étant entrées en vigueur entre septembre 2022 et septembre 2024.

Le régime de sanctions est le plus sévère en Amérique du Nord. La Commission d'accès à l'information (CAI) peut imposer des sanctions administratives pécuniaires pouvant atteindre 25 millions de dollars CA ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé, pour les violations graves. Au-delà des amendes, la Loi 25 crée un droit d'action privé : tout individu dont les droits ont été violés peut poursuivre votre organisation directement — sans avoir besoin de prouver des dommages spécifiques — avec des dommages minimaux statutaires garantis. Aucun mécanisme équivalent n'existe sous le RGPD, la LPRPDE ou la CCPA. Les tribunaux québécois commencent déjà à traiter des dossiers, et la CAI a commencé à émettre des orientations formelles sur les priorités d'application pour 2025–2026.

La checklist de conformité Loi 25 en 12 étapes

1. Désigner un responsable de la vie privée. En vertu de l'article 3.1 de la Loi P-39.1, chaque organisation doit identifier publiquement une personne responsable de la protection des renseignements personnels. Le nom et les coordonnées de cette personne doivent être publiés sur votre site web. 2. Publier une politique de confidentialité conforme. Votre politique doit décrire quelles données vous collectez, pourquoi, combien de temps vous les conservez, avec qui vous les partagez et comment les individus peuvent exercer leurs droits. Les modèles génériques ne sont pas conformes — la politique doit refléter vos pratiques réelles. 3. Construire un registre des renseignements personnels. Documentez chaque catégorie de données personnelles que vous détenez, leur source, où elles sont stockées, qui y a accès, la période de conservation et les tiers qui les reçoivent. 4. Réaliser des évaluations des facteurs relatifs à la vie privée (ÉFVP) pour les nouveaux projets. Tout nouveau système ou outil tiers qui collecte des données personnelles — y compris les assistants email IA — exige une ÉFVP avant déploiement. La CAI fournit un cadre d'ÉFVP. 5. Mettre en place des mécanismes de consentement. Le consentement doit être manifesté clairement, séparément des autres conditions, en langage simple et spécifique à chaque finalité. Les cases pré-cochées sont invalides sous la Loi 25. 6. Établir une procédure de notification d'incident. Vous devez notifier la CAI et les personnes concernées avec diligence dès la découverte d'un incident présentant un risque de préjudice sérieux. Cela nécessite une détection des incidents, une escalade interne et des modèles de notification pré-rédigés.

7. Établir des calendriers de conservation des données. Les données personnelles doivent être détruites ou anonymisées une fois leur finalité accomplie. Vous avez besoin de périodes de conservation documentées pour chaque catégorie de données et d'un processus de destruction appliqué. 8. Activer le traitement des demandes de droits. Les individus peuvent demander : l'accès à leurs données, la correction, la suppression, la portabilité (depuis septembre 2024), la désindexation et la révision humaine de toute décision automatisée les affectant. Vous avez besoin d'un processus pour traiter ces demandes dans les 30 jours. 9. Auditer tous les fournisseurs tiers. Tout fournisseur recevant des données personnelles québécoises doit avoir un contrat incluant des obligations de protection de la vie privée équivalentes à la Loi 25 — cela inclut les fournisseurs cloud, les CRM, les outils email et les plateformes marketing. Vérifiez leur résidence de données et leurs engagements de notification d'incident. 10. Mettre en œuvre la minimisation des données. Ne collectez que ce qui est strictement nécessaire. Chaque champ de données doit avoir une justification documentée. Les données excédentaires — que ce soit dans les formulaires, les emails ou les bases de données — constituent une responsabilité. 11. Activer la portabilité des données. Depuis septembre 2024, les individus peuvent demander leurs données dans un format structuré, couramment utilisé et lisible par machine. Vos systèmes doivent pouvoir exporter les données personnelles sur demande. 12. Divulguer la prise de décision automatisée. Si vous utilisez une IA qui prend des décisions affectant les individus (y compris une IA email qui trie, priorise ou rédige des réponses), vous devez divulguer cela, expliquer la logique et offrir à l'individu le droit de demander une révision humaine.

Les 3 erreurs de conformité Loi 25 les plus fréquentes des entreprises québécoises

Erreur 1 : Pas de responsable de la vie privée désigné. C'est la lacune de conformité la plus fréquente. Beaucoup d'entreprises supposent que le PDG ou le directeur informatique remplit implicitement ce rôle. La Loi 25 exige une désignation *explicite et nominative* — et ce nom doit être publié publiquement sur votre site web ou intranet. Le responsable de la vie privée n'a pas besoin d'être juriste. Ce qui compte, c'est la responsabilité : une personne nommée pouvant être contactée pour les questions de vie privée, qui connaît les obligations et qui a le pouvoir d'agir. Sans cela, la CAI a des motifs de sanctions immédiates, quelles que soient vos pratiques réelles en matière de données. Erreur 2 : Utiliser un service cloud américain sans accord de vie privée. Le CLOUD Act permet aux autorités américaines de contraindre des entreprises américaines à produire des données stockées n'importe où dans le monde. Si votre outil email IA, CRM ou plateforme documentaire fonctionne sur une infrastructure américaine sans accord de traitement des données, vous exposez potentiellement des données personnelles québécoises à une juridiction étrangère — une violation directe des exigences de résidence de données et de fournisseurs tiers de la Loi 25. La solution est soit une ÉFVP qualifiante confirmant que l'outil répond aux normes de la Loi 25, soit le passage à un fournisseur avec résidence de données canadienne vérifiée.

Erreur 3 : Une politique de confidentialité qui ne correspond pas aux pratiques réelles. Beaucoup d'entreprises copient un modèle, le publient et se considèrent conformes. La Loi 25 exige que votre politique décrive avec précision les *flux réels* de données. Si votre politique indique que vous ne partagez pas de données avec des tiers mais que votre outil email ou plateforme d'analyse le fait, la politique elle-même devient une preuve de non-conformité. La CAI a commencé à auditer les politiques par rapport aux flux de données réels, en particulier pour les entreprises qui utilisent des outils IA. Une politique précise et régulièrement révisée est à la fois une exigence de conformité et votre première ligne de défense si une plainte est déposée.

Comment les outils email IA créent des obligations Loi 25 — et comment les auditer

Les outils email IA sont parmi les fournisseurs tiers à risque le plus élevé sous la Loi 25. Ils traitent le contenu des emails — qui contient des noms, coordonnées, schémas comportementaux, relations professionnelles et parfois des informations confidentielles — à grande échelle, souvent en utilisant des serveurs situés à l'extérieur du Canada. Sous la Loi 25, votre organisation reste le responsable du traitement de ces données personnelles même lorsque le traitement est délégué à un fournisseur. Cela signifie : si le fournisseur subit un incident, vous notifiez la CAI avec diligence. Si le fournisseur utilise les données pour entraîner ses modèles, vous avez violé les obligations de consentement. Si les serveurs du fournisseur sont aux États-Unis, vous avez besoin d'un accord de transfert de données qualifiant ou d'une ÉFVP confirmant des protections adéquates. Votre checklist d'audit des fournisseurs pour les outils email IA doit inclure : (1) la localisation des données — serveurs canadiens préférés, les États-Unis nécessitent une analyse CLOUD Act ; (2) si les données email des utilisateurs sont utilisées pour l'entraînement des modèles IA — doit être opt-out au minimum, opt-in préféré ; (3) le SLA de notification d'incident — doit s'engager à vous notifier dans les 24 heures ; (4) un accord de traitement des données signé avec des protections équivalentes à la Loi 25 ; (5) si l'outil divulgue la prise de décision automatisée aux utilisateurs finaux.

Agentys a été conçu pour cette réalité de conformité dès le début. Les données sont stockées exclusivement dans des centres de données canadiens certifiés (aucune infrastructure américaine). Le contenu des emails n'est jamais utilisé pour entraîner des modèles IA — vos données vous appartiennent. Chaque utilisateur voit une divulgation claire que le traitement IA est en cours, avec une étape de révision humaine avant tout envoi. Un responsable de la vie privée nommé est publiquement répertorié. Et l'Accord de traitement des données est disponible sur demande avant votre signature. Si votre fournisseur email IA actuel ne peut pas répondre aux cinq questions d'audit ci-dessus, c'est un risque Loi 25 que votre organisation assume aujourd'hui.

La conformité à la Loi 25 n'est pas un projet ponctuel — c'est un engagement opérationnel continu. Les 12 étapes ci-dessus couvrent l'ensemble des obligations désormais en vigueur. Mais la conformité ne consiste pas seulement à éviter les amendes. La loi québécoise sur la vie privée est le cadre le plus respectueux des droits en Amérique du Nord. Les organisations qui l'appliquent correctement bâtissent la confiance avec leurs clients, réduisent l'exposition aux incidents et pérennisent leurs pratiques de données contre une réglementation encore plus stricte à venir au niveau fédéral (Projet de loi C-27). Commencez par les trois étapes à impact le plus élevé : désignez votre responsable de la vie privée aujourd'hui, auditez chaque outil tiers qui touche des données personnelles et publiez une politique de confidentialité exacte. Tout le reste suit de ces fondements.