Loi 25 en action : Les nouveautés essentielles d’avril 2025

Introduction

En avril 2025, la Loi 25 sur la protection des renseignements personnels franchit de nouvelles étapes décisives. Entre précisions réglementaires, guides sectoriels et gestion d’incidents concrets, ces récentes actualités illustrent la montée en puissance du cadre québécois de protection des données. Cet état des lieux s’adresse tant aux responsables de la conformité qu’aux dirigeants d’organisations, pour comprendre les obligations qui évoluent et anticiper les actions à mener.

1. Mise à jour des dispositions principales

La Commission d’accès à l’information (CAI) a publié le 8 avril 2025 une fiche actualisée sur les points clés de la Loi 25, précisant notamment :

• Portabilité des données (22 septembre 2024)
• Évaluation des facteurs relatifs à la vie privée (depuis sept. 2023)
• Critères de validité du consentement (1er avril 2025)
• Anonymisation des renseignements (15 avril 2025)

2. Nouveau guide pratique pour le secteur de la santé

Le 16 avril 2025, la CAI a diffusé un guide spécifiquement conçu pour les cliniques privées, travailleurs autonomes et OBNL en santé :

• Champ d’application élargi : tous les acteurs manipulant des données de santé (psychologues, médecins, kinésiologues, centres de services scolaires, etc.) sont désormais formellement visés.
• Checklist de conformité : procédures de collecte, de stockage, d’accès et de destruction des données, avec modèles de formulaires de consentement et registre de traitement.
• Bonnes pratiques : formation annuelle obligatoire pour le personnel, audits internes recommandés, recours à des prestataires certifiés pour l’hébergement des données sensibles.

3. Incident 23andMe : gestion d’une faillite avec données ultra-sensibles

Le 17 avril 2025, la CAI a publié un communiqué à la suite de la faillite de 23andMe :

• Population concernée : près de 10 000 clients québécois peuvent voir leurs données génétiques menacées.
• Options offertes :
• Mesures d’accompagnement : sensibilisation renforcée, assistance via une ligne dédiée de la CAI pour guider les démarches.

4. Régime de sanctions financières

Le régime de sanctions conforte le caractère contraignant de la Loi 25 :

• Amendes administratives : jusqu’à 10 M $ ou 2 % du chiffre d’affaires mondial de l’organisation, selon le montant le plus élevé.
• Infractions graves (actes délibérés, obstruction au commissaire) : jusqu’à 25 M $ ou 5 % du revenu mondial brut.
• Comparaison fédérale (projet C-27) : sanctions similaires, avec possibilité d’atteindre 3 % du revenu mondial pour les manquements standards et jusqu’à 5 % pour les cas les plus sérieux.

Recommandations

Ces nouveautés d’avril 2025 montrent que la Loi 25 se déploie de manière progressive et ambitieuse. Pour rester conformes :

• Mettez à jour vos politiques de portabilité et vos processus d’évaluation.
• Intégrez rapidement les lignes directrices sur le consentement et l’anonymisation.
• Formez spécifiquement vos équipes du secteur de la santé et auditiez régulièrement vos pratiques.
• Soyez proactifs face au régime de sanctions, en documentant chaque étape de votre conformité.

Ce suivi permettra non seulement de respecter les exigences légales, mais aussi de renforcer la confiance de vos clients et partenaires dans votre capacité à protéger leurs renseignements personnels.

Conclusion

En somme, les actualités d’avril 2025 confirment que la Loi 25 se renforce et se précise, tant au plan réglementaire (portabilité, anonymisation, consentement) qu’au plan pratique (guides sectoriels, gestion de crise). Les obligations deviennent plus concrètes et assorties de sanctions dissuasives, poussant les organisations à systématiser leurs processus de conformité. Il est donc impératif de consolider vos pratiques dès maintenant : actualisez vos politiques, formez vos équipes et documentez chaque étape de vos évaluations pour transformer ces exigences en véritable levier de confiance auprès de vos clients et partenaires.

#Loi25 #ProtectionDesDonnées #ConformitéQuébec #ViePrivée