Loi 25 au Québec : Guide de conformité cybersécurité pour 2026

Qu'est-ce que la Loi 25 ?

Réponse courte : la Loi 25 (anciennement Projet de loi 64) est la loi québécoise modernisée sur la protection des renseignements personnels. Elle impose aux organisations des obligations strictes en matière de collecte, utilisation, conservation et destruction des données personnelles, avec des amendes pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial.

Adoptée en septembre 2021 et mise en œuvre progressivement depuis 2022, la Loi 25 représente la plus importante réforme du droit à la vie privée au Québec depuis 1994. Elle aligne le cadre québécois avec les standards internationaux (RGPD européen, CPPA canadien en préparation) tout en conservant des spécificités propres.

En 2026, toutes les dispositions sont pleinement en vigueur. Toute organisation — privée ou publique, québécoise ou étrangère — qui collecte, utilise ou communique des renseignements personnels de résidents québécois doit s'y conformer, quel que soit l'endroit où elle est établie.

Les 7 obligations clés en 2026

1. Désignation d'un responsable de la protection des renseignements personnels

Chaque organisation doit nommer un responsable et publier ses coordonnées (nom, titre, adresse courriel) sur son site web de manière facilement accessible. Par défaut, c'est la personne ayant la plus haute autorité dans l'organisation qui assume ce rôle. Ce responsable doit disposer de l'autorité et des ressources nécessaires pour exercer ses fonctions efficacement.

2. Évaluation des facteurs relatifs à la vie privée (EFVP)

Une EFVP est obligatoire avant tout nouveau projet ou modification significative impliquant la collecte, l'utilisation ou la communication de renseignements personnels. Cela inclut explicitement les projets utilisant l'intelligence artificielle, le profilage, la surveillance ou tout transfert de données hors Québec. L'EFVP doit documenter les risques identifiés et les mesures d'atténuation mises en place.

3. Notification obligatoire des incidents de confidentialité

En cas d'incident présentant un « risque sérieux de préjudice » — vol de données, accès non autorisé, perte d'informations sensibles — l'organisation doit notifier la Commission d'accès à l'information (CAI) et les personnes concernées. Le délai recommandé est de 72 heures. L'organisation doit aussi tenir un registre de tous les incidents, même ceux ne présentant pas de risque sérieux.

4. Politique de gouvernance publiée et accessible

Vous devez publier sur votre site web une politique claire encadrant la gouvernance des renseignements personnels : types de données collectées, finalités, durées de conservation, pratiques de destruction et droits des personnes concernées.

5. Consentement explicite et granulaire

Le consentement doit être manifeste, libre et éclairé. Pour les données sensibles (santé, biométrie, données financières), le consentement doit être explicite. Les formulaires « tout ou rien » ne sont plus acceptables — les personnes doivent pouvoir consentir de manière granulaire à chaque finalité.

6. Droit à la portabilité et à l'effacement

Les personnes ont le droit de demander la communication de leurs renseignements dans un format structuré et couramment utilisé (portabilité), ainsi que la suppression de leurs données lorsqu'elles ne sont plus nécessaires aux finalités initiales (droit à l'oubli).

7. Encadrement du transfert hors Québec

Tout transfert de renseignements personnels à l'extérieur du Québec doit faire l'objet d'une EFVP préalable et être encadré par un contrat garantissant un niveau de protection adéquat. Les organisations utilisant des services cloud américains (AWS, Azure, Google Cloud) doivent évaluer les risques liés au CLOUD Act et au FISA.

Sanctions et amendes — ce que vous risquez

La Loi 25 prévoit un régime de sanctions parmi les plus sévères en Amérique du Nord :

Mesures de cybersécurité concrètes pour la conformité

Chiffrement bout en bout

Chiffrez les renseignements personnels au repos (AES-256) et en transit (TLS 1.3). Implémentez le chiffrement au niveau des bases de données (Transparent Data Encryption) et des sauvegardes. Les clés de chiffrement doivent être gérées via un HSM ou un service KMS dédié, avec rotation régulière.

Contrôle d'accès basé sur les rôles (RBAC)

Implémentez un contrôle d'accès granulaire avec authentification multifacteur (MFA) obligatoire pour tout accès aux systèmes contenant des données personnelles. Appliquez rigoureusement le moindre privilège : chaque employé ne doit accéder qu'aux données strictement nécessaires à ses fonctions. Révisez les droits d'accès trimestriellement.

Journalisation et surveillance continue

Déployez un SIEM (Security Information and Event Management) pour centraliser et analyser les journaux. Configurez des alertes pour : accès en dehors des heures normales, exports massifs de données, tentatives d'accès échouées répétées. Conservez les journaux pendant au minimum 12 mois.

Tests d'intrusion et audits réguliers

Planifiez des tests d'intrusion au moins deux fois par an, réalisés par des experts certifiés et indépendants. Complétez avec des audits de conformité annuels vérifiant les aspects techniques, les processus, la documentation et la formation du personnel.

Plan de réponse aux incidents formalisé

Documentez un plan de réponse spécifique à la Loi 25, incluant les procédures de notification à la CAI, les modèles de communication aux personnes concernées, et les critères d'évaluation du « risque sérieux de préjudice ». Testez ce plan via des exercices Table Top semestriels.

Comment ITCS Group vous accompagne

ITCS Group offre un accompagnement complet pour la conformité Loi 25 : audit de conformité initial, tests d'intrusion certifiés, déploiement de solutions de surveillance, rédaction de politiques de gouvernance, exercices Table Top, et réponse aux incidents 24/7. Notre expertise unique à l'intersection de la cybersécurité et de l'assurance cyber nous permet d'offrir une approche pragmatique, adaptée aux réalités opérationnelles des entreprises canadiennes. Contactez-nous pour une évaluation de votre niveau de conformité actuel.