Les 8 obligations de la Loi 25

Ce que chaque PME québécoise doit mettre en place pour respecter la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Dernière vérification :

Nommer un responsable RPP

Désigner une personne responsable de la protection des renseignements personnels au sein de votre organisation.

  • Par défaut, c'est la personne ayant la plus haute autorité
  • La fonction peut être déléguée par écrit
  • Publier le titre et les coordonnées sur votre site web
  • Le RPP supervise la conformité globale de l'organisation

Phase 1 · Priorité Critique

Publier une politique de confidentialité

Rédiger et publier une politique de confidentialité claire et accessible en termes simples.

  • Langage clair et simple, sans jargon juridique
  • Types de renseignements collectés et finalités
  • Droits des personnes concernées
  • Coordonnées du responsable RPP

Phase 2 · Priorité Critique

Tenir un registre des incidents

Consigner tout incident de confidentialité et signaler ceux présentant un risque de préjudice sérieux.

  • Documenter chaque incident dans un registre
  • Évaluer le risque de préjudice sérieux
  • Aviser la CAI et les personnes concernées si nécessaire
  • Conserver le registre pendant 5 ans minimum

Phase 1 · Priorité Critique

Obtenir le consentement éclairé

S'assurer que le consentement est manifeste, libre, éclairé et donné à des fins spécifiques.

  • Consentement demandé pour chaque finalité distincte
  • Langage clair et compréhensible
  • Possibilité de retirer son consentement facilement
  • Consentement distinct pour les renseignements sensibles

Phase 2 · Priorité Élevé

Réaliser une EFVP

Effectuer une Évaluation des facteurs relatifs à la vie privée pour tout projet impliquant des données personnelles.

  • Obligatoire pour tout nouveau système d'information
  • Requis avant tout transfert hors Québec
  • Identification et évaluation des risques
  • Mesures d'atténuation documentées

Phase 2 · Priorité Élevé

Gérer les droits des personnes

Respecter les droits d'accès, de rectification, de suppression et de portabilité des citoyens.

  • Répondre aux demandes dans un délai de 30 jours
  • Droit d'accès et de rectification
  • Droit à la suppression et à la désindexation
  • Droit à la portabilité des données (depuis sept. 2024)

Phase 3 · Priorité Élevé

Politique de conservation

Établir des durées de conservation précises et détruire les données qui ne sont plus nécessaires.

  • Définir des délais par catégorie de données
  • Documenter les méthodes de destruction
  • Anonymiser les données lorsque possible
  • Réviser régulièrement les pratiques de conservation

Phase 2 · Priorité Moyen

Encadrer les transferts hors Québec

Évaluer et encadrer tout transfert de renseignements personnels à l'extérieur du Québec.

  • Réaliser une EFVP avant tout transfert
  • S'assurer d'une protection adéquate
  • Clauses contractuelles appropriées
  • Informer les personnes concernées

Phase 2 · Priorité Moyen

Questions fréquentes →