Loi 25 Québec : guide de conformité complet pour entreprises (2026)

· Alexandre Sauvageau

Loi 25 Québec : guide de conformité complet pour entreprises (2026)

Loi 25 Québec : amendes jusqu'à 25 M$, 3 phases en vigueur. Guide complet obligations, droits, incidents et conformité outils email IA pour entreprises québécoises.

La Loi 25 du Québec est la loi vie privée la plus stricte en Amérique du Nord — amendes jusqu'à 25 M$ CA. Les trois phases sont désormais en vigueur. Ce guide complet couvre toutes les obligations, vos droits, le calendrier d'application et comment les outils email IA doivent se conformer.

Qu'est-ce que la Loi 25 et pourquoi elle compte plus que le RGPD pour les Canadiens

La Loi 25 du Québec — officiellement la *Loi modernisant des dispositions législatives en matière de protection des renseignements personnels* — est la loi sur la protection de la vie privée la plus rigoureuse en Amérique du Nord. Adoptée par l'Assemblée nationale en septembre 2021 et déployée en trois phases (septembre 2022, septembre 2023, septembre 2024), elle a profondément transformé la manière dont toute organisation doit traiter les renseignements personnels des résidents québécois. Contrairement à la LPRPDE fédérale, qui n'a pas connu de mise à jour majeure depuis 2000, la Loi 25 a été rédigée pour l'ère de l'intelligence artificielle, de l'infonuagique et du profilage comportemental. Elle s'applique à toute entreprise, d'ici ou d'ailleurs, qui collecte, utilise ou conserve les renseignements personnels de résidents québécois dans le cadre d'activités commerciales. Il n'y a aucun seuil minimal : aucun nombre minimal de résidents québécois desservis, aucun revenu minimal, et aucune exemption sectorielle. Les organismes à but non lucratif, les syndicats et les cabinets professionnels sont tous visés. Seuls les organismes spirituels et religieux bénéficient d'une exclusion étroite. Pour les entités sous réglementation fédérale (banques, télécommunications, compagnies aériennes), la LPRPDE canadienne s'applique concurremment, mais lorsque la Loi 25 est plus stricte, c'est la norme la plus élevée qui prévaut. La Loi sur l'intelligence artificielle et les données (LIAD) fédérale sous le projet de loi C-27 ajouterait d'autres obligations spécifiques à l'IA avec des sanctions de 10–25 M$, mais tant que la LIAD n'est pas adoptée, les dispositions de la Loi 25 sur les décisions automatisées restent les règles les plus strictes au Canada en matière d'IA.

Pour les professionnels qui utilisent des outils email IA, la Loi 25 est particulièrement pertinente. Votre boîte de réception est sans doute votre silo de données le plus sensible : elle contient des noms, des adresses, des numéros de téléphone, des détails financiers, des informations de santé, de la correspondance juridique, des stratégies d'affaires confidentielles et des échanges personnels intimes. En vertu de la Loi 25, les « renseignements personnels sensibles » sont définis comme des informations créant une attente raisonnable élevée de vie privée en raison de leur nature médicale, biométrique ou autrement intime, ou du contexte de leur utilisation — le contenu des courriels répond clairement à cette définition. Une IA qui lit, analyse et génère des brouillons à partir de ces données traite des renseignements personnels à une échelle industrielle. La Loi 25 impose des sanctions allant jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial (le plus élevé des deux) en cas de non-conformité — égalant le plafond du RGPD. La Commission d'accès à l'information du Québec (CAI) peut aussi imposer des sanctions administratives pécuniaires allant jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial sans passer par les tribunaux. Si votre outil email IA est basé à l'étranger et ne mentionne nulle part la Loi 25, c'est une lacune de conformité que vous assumez.

Le calendrier en trois phases : ce qui a changé et quand

Phase 1 — 22 septembre 2022. Les organisations doivent désigner un Responsable de la protection des renseignements personnels (la plus haute autorité par défaut, bien qu'une délégation soit permise) et publier son nom et ses coordonnées sur leur site web. Un registre des incidents de confidentialité devient obligatoire — chaque violation doit être documentée, et les incidents présentant un risque sérieux de préjudice doivent être signalés à la CAI et aux personnes touchées. De nouvelles règles permettent la communication de renseignements personnels sans consentement lors de transactions commerciales et à des fins de recherche, mais sous des conditions strictes. Les organisations doivent aussi aviser la CAI avant de déployer des systèmes d'identification biométrique (comme la reconnaissance faciale ou les empreintes digitales) au moins 60 jours à l'avance.

Phase 2 — 22 septembre 2023. La vague d'obligations la plus lourde. Les entreprises doivent désormais publier des politiques de gouvernance détaillées couvrant les calendriers de conservation et de destruction des données, les rôles et responsabilités du personnel, et les procédures de traitement des plaintes. Les règles de consentement se resserrent : le consentement doit être explicite, libre, éclairé et donné à des fins spécifiques, demandé séparément pour chaque finalité en termes simples et clairs. Les évaluations des facteurs relatifs à la vie privée (ÉFVP) deviennent obligatoires avant d'acquérir ou de développer tout système d'information impliquant des données personnelles, et avant de transférer des données hors du Québec. Le droit à la désindexation (droit à l'oubli) entre en vigueur — les individus peuvent exiger que les entreprises cessent de diffuser leurs renseignements personnels ou les désindexent des moteurs de recherche. Les paramètres de confidentialité par défaut doivent être réglés au niveau le plus élevé sans intervention de l'utilisateur. Et point crucial pour les outils IA : les organisations doivent informer les individus quand des décisions sont prises exclusivement par traitement automatisé, et doivent offrir la possibilité d'une révision humaine.

Architecture d'application : double régime de sanctions, recours privés et responsabilité personnelle

Le régime d'application de la Loi 25 est le plus agressif en Amérique du Nord, et en comprendre la structure compte pour quiconque évalue des outils IA qui traitent des données personnelles. La loi prévoit deux niveaux de sanctions. Le régulateur (la Commission d'accès à l'information, ou CAI) peut vous sanctionner directement, sans passer par les tribunaux, jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial. À cela s'ajoutent des poursuites pénales pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial, et les amendes doublent en cas de récidive. Ce n'est pas théorique : la CAI enquête activement sur les plaintes.

Ce qui distingue véritablement la Loi 25 est l'article 93.1 : il permet aux individus de poursuivre une organisation directement quand leurs données sont mal gérées par une faute sérieuse, avec des dommages minimaux de 1 000 $ — et ces poursuites peuvent prendre la forme de recours collectifs. Les dirigeants et administrateurs peuvent aussi être tenus personnellement responsables des mêmes montants. En bref, la loi ne se contente pas d'amender les entreprises ; elle donne aux personnes dont vous détenez les données un moyen direct de s'en prendre à vous.

Obligations de gestion des données : inventaire, anonymisation et risques transfrontaliers

La Loi 25 impose des obligations pratiques de gestion des données qui vont bien au-delà des bannières de consentement. Chaque organisation doit réaliser un inventaire complet des données : cataloguer tous les renseignements personnels détenus, documenter leur circulation dans les systèmes internes, identifier chaque utilisateur autorisé, déterminer la finalité de chaque collecte et établir des calendriers de conservation et de destruction avec des échéances précises. Pour les outils email IA, cela signifie que le fournisseur doit savoir exactement quelles données il collecte de votre boîte, où elles sont stockées, qui peut y accéder et quand elles seront supprimées. Si un fournisseur ne peut pas répondre à ces questions avec précision, il n'a pas rempli cette exigence de base de la Loi 25. La loi trace aussi une distinction juridique cruciale entre l'anonymisation (irréversible : les données cessent d'être des renseignements personnels) et la dépersonnalisation (réversible : les données restent soumises à toutes les protections de la Loi 25). L'anonymisation n'est permise que selon les meilleures pratiques reconnues et les critères gouvernementaux — et puisque le Québec n'a pas encore publié ces critères, la véritable anonymisation demeure techniquement irréalisable en vertu de la loi. Ré-identifier une personne à partir de données anonymisées ou dépersonnalisées sans autorisation constitue une infraction criminelle.

Le consentement a une date d'expiration. En vertu de la Loi 25, la validité du consentement varie de 6 mois à 3 ans selon la sensibilité et le contexte des données — le consentement doit être renouvelé après expiration, et non présumé se poursuivre indéfiniment. Pour les outils email IA avec un accès continu à la boîte de réception, cela signifie qu'une réautorisation périodique est légalement requise. Pour les transferts transfrontaliers, tout transfert de renseignements personnels hors du Québec exige une évaluation des facteurs relatifs à la vie privée (ÉFVP) complétée et des ententes écrites confirmant une protection équivalente. Mais voici le risque que la plupart des articles omettent : si votre outil email IA utilise une infrastructure cloud américaine, le US CLOUD Act permet aux autorités américaines de contraindre les fournisseurs cloud américains à produire des données, même si ces données sont physiquement stockées en dehors des États-Unis. Cela crée un conflit direct avec les protections transfrontalières de la Loi 25. La seule façon d'éliminer complètement ce risque est de choisir un fournisseur avec une infrastructure de données résidente au Canada, non soumise à la juridiction américaine. Les mécanismes de cookies et de consentement doivent aussi être conformes : les boutons « tout accepter » et « tout refuser » doivent apparaître sur le même niveau de la bannière (pas de dark patterns), le consentement implicite par défilement est interdit pour la collecte multi-finalités, et le retrait du consentement doit être accessible en permanence via un lien en pied de page ou une icône flottante.

Ce que la Loi 25 signifie spécifiquement pour les outils email IA

Aucun autre article sur la Loi 25 n'aborde cet angle, et c'est le plus important pour les professionnels en 2026. Une IA qui lit votre boîte de réception traite des renseignements personnels à une profondeur qu'aucune autre catégorie de logiciel n'égale. Elle analyse vos habitudes d'écriture (qui peuvent être considérées comme des données biométriques comportementales au sens de la Loi 25), lit des communications professionnelles sensibles, stocke des graphes de contacts, et prend des décisions automatisées sur la façon de répondre aux personnes dans votre vie. Chacune de ces activités déclenche des obligations spécifiques en vertu de la Loi 25.

La prise de décision automatisée est la disposition la plus négligée. En vertu de la Loi 25, quand une décision concernant un individu est prise « exclusivement par un traitement automatisé », l'organisation doit informer l'individu et lui offrir la possibilité d'une révision par un membre du personnel. Pour les outils email IA qui rédigent et suggèrent des réponses, cela signifie que l'outil ne peut pas envoyer d'emails de manière autonome sans votre révision explicite, une exigence qu'Agentys respecte depuis le premier jour avec son architecture d'approbation avant envoi. De plus, l'exigence d'évaluation des facteurs relatifs à la vie privée (ÉFVP) signifie que tout outil IA qui traite votre boîte devrait avoir complété une ÉFVP avant le déploiement. Si votre outil email IA n'a jamais mentionné d'ÉFVP, demandez-lui pourquoi. En outre, la règle des paramètres de confidentialité par défaut de la Loi 25 signifie qu'un outil IA doit être livré avec le niveau de confidentialité le plus élevé actif par défaut : pas de collecte de données silencieuse, pas de suivi en désinscription seulement, pas de profilage pré-activé. La responsabilité incombe à l'entreprise de vous protéger, pas à vous de vous protéger vous-même.

Vos droits en vertu de la Loi 25 : ce que vous pouvez exiger de tout outil IA

La Loi 25 vous accorde un ensemble complet de droits que tout outil email IA doit respecter. Le droit d'accès (dans un délai de 30 jours pour les entreprises privées) signifie que vous pouvez demander chaque renseignement personnel qu'une organisation détient à votre sujet. Le droit de rectification vous permet de corriger des données inexactes, incomplètes ou ambiguës — particulièrement important quand les modèles IA apprennent à partir de schémas d'écriture potentiellement périmés. Le droit à la suppression exige des organisations qu'elles détruisent vos renseignements personnels quand la finalité initiale de la collecte est remplie. Le droit à la désindexation (droit à l'oubli) vous permet de demander qu'une entreprise cesse de diffuser publiquement vos renseignements personnels ou de supprimer des hyperliens y menant, à condition de démontrer un préjudice à votre réputation ou à votre vie privée qui l'emporte sur tout intérêt public.

Depuis septembre 2024, le droit à la portabilité des données signifie que vous pouvez demander vos données personnelles dans un format technologique structuré et couramment utilisé, et les faire transférer à un autre fournisseur. Pour les outils email IA, cela signifie que vous n'êtes jamais captif — vos données vous appartiennent, pas à la plateforme. Vous avez aussi le droit d'être informé sur la prise de décision automatisée : si un outil IA prend des décisions vous concernant (comme prioriser ou rédiger des réponses), il doit vous en informer et permettre une révision humaine. Et vous avez le droit de retirer votre consentement à tout moment. Si vous révoquez l'accès d'un outil IA à votre boîte, il doit immédiatement cesser le traitement et, sur demande, supprimer toutes vos données. Ce ne sont pas des objectifs ambitieux — ce sont des droits légaux exécutoires soutenus par la CAI, avec des sanctions administratives pour les entreprises qui ne s'y conforment pas.

Comment Agentys a été conçu pour la Loi 25 dès le premier jour

Beaucoup d'outils email IA basés aux États-Unis ou en Europe ignorent tout simplement les exigences de la Loi 25. Ils traitent la conformité comme un ajout de dernière minute, une page de texte juridique ajoutée à leur site après la révision d'un avocat. Agentys, en tant qu'entreprise canadienne, a été conçu avec la conformité à la Loi 25 intégrée dans son architecture dès le premier jour. Notre Responsable de la protection des renseignements personnels a été nommé avant que notre première ligne de code ne soit livrée. Notre évaluation des facteurs relatifs à la vie privée (ÉFVP) a été complétée avant notre lancement bêta. Notre registre des incidents de confidentialité était opérationnel avant l'intégration de notre premier utilisateur. Ce ne sont pas des allégations marketing. Ce sont des faits documentés et vérifiables, disponibles pour examen.

Concrètement, cela signifie que vos données email sont stockées dans des centres de données canadiens, avec des pratiques de sécurité alignées sur les contrôles SOC 2 Type 2 et auditées de façon indépendante via CASA Tier II, éliminant toute exposition au US CLOUD Act qui permettrait autrement aux autorités américaines de contraindre la production de données auprès de fournisseurs cloud américains, peu importe où les données sont physiquement stockées. Vos données ne sont jamais transférées hors du Québec sans ÉFVP, et jamais utilisées pour entraîner des modèles IA. Notre inventaire des données est maintenu et audité en continu : nous savons exactement quels renseignements personnels nous détenons, où ils circulent, qui y a accès, et quand ils sont programmés pour la suppression. Votre consentement est géré de manière granulaire — vous contrôlez à quels dossiers Agentys accède, pour quels contacts il rédige, et quels fils de discussion exclure. Les paramètres de confidentialité par défaut sont au niveau le plus élevé dès l'installation : pas de suivi pré-activé, pas de profilage silencieux, pas de collecte de données en désinscription seulement. Notre architecture d'approbation avant envoi garantit qu'aucun email n'est jamais envoyé sans votre révision explicite, respectant les dispositions de la Loi 25 sur la prise de décision automatisée. En cas de résiliation, toutes les données sont définitivement supprimées dans un délai de 30 jours, avec une attestation de suppression disponible sur demande. La portabilité des données est prise en charge au format JSON structuré. Chacune de ces fonctionnalités correspond directement à une exigence spécifique de la Loi 25, pas parce qu'un avocat nous l'a imposé, mais parce que nous croyons que vos données email vous appartiennent. Pour les détails techniques sur nos certifications, lisez nos guides sur ISO 27001 et SOC 2 Type II.

La Loi 25 n'est pas une case administrative à cocher. C'est la protection de la vie privée la plus forte offerte aux Nord-Américains, et la loi la plus pertinente pour quiconque confie sa boîte de réception à une IA. Elle vous accorde des droits exécutoires sur vos données : accès, rectification, suppression, portabilité, désindexation et révision humaine des décisions automatisées. Quand vous choisissez un outil email IA, exigez la conformité à la Loi 25 comme minimum, pas comme bonus. Agentys respecte chaque exigence — les trois phases — parce que nous croyons que vos données email vous appartiennent. Point final.