Loi 25 au Québec en 2025 : Tout ce que les organisations de santé doivent savoir
Toute organisation qui collecte des renseignements personnels de résidents québécois doit se conformer à la Loi 25 — peu importe où elle est constituée. Voici ce que chaque phase a changé et ce que votre organisation doit avoir en place aujourd'hui.
La Loi 25 — officiellement intitulée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est pleinement en vigueur depuis le 22 septembre 2024, complétant un déploiement échelonné sur trois ans amorcé en 2022. Pour les organisations de santé, les fournisseurs de technologie de la santé, les laboratoires, les pharmacies et toute entreprise qui collecte des renseignements personnels de résidents québécois, la conformité Loi 25 Québec organisations santé est désormais une obligation légale non négociable. Elle s'accompagne de sanctions parmi les plus sévères au Canada : jusqu'à 25 M$ ou 4 % du chiffre d'affaires mondial pour les violations les plus graves, en plus d'un droit d'action privé accessible à toute personne lésée.
La Loi 25 modifie en profondeur la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) et les lois connexes du secteur public. Elle constitue la réforme la plus importante du cadre québécois de protection de la vie privée depuis plus de trente ans.
Sa portée territoriale est l'une de ses caractéristiques les plus importantes : elle s'applique à toute entreprise — au sens du Code civil du Québec — qui collecte, utilise ou communique des renseignements personnels sur des résidents du Québec. Peu importe où l'entreprise est constituée ou où ses serveurs sont hébergés. Sont visés notamment :
- Les cliniques de santé, les pharmacies, les laboratoires et les cabinets spécialisés établis au Québec
- Les organisations de santé établies dans une autre province dont certains patients sont résidents du Québec
- Les entreprises de technologie de la santé dont les produits sont utilisés par des résidents québécois — plateformes de télémédecine, applications de surveillance à distance, outils d'IA diagnostique
- Les fournisseurs en nuage, les fournisseurs de DME et les prestataires de services TI gérés dont les clients comprennent des organisations établies au Québec
- Toute entreprise disposant d'un site web, d'une application mobile ou d'un service accessible aux résidents québécois qui implique la collecte de renseignements personnels
La Loi 25 est entrée en vigueur en trois phases échelonnées pour permettre aux organisations de se préparer. Les trois phases sont pleinement en vigueur depuis le 22 septembre 2024. Voici ce que chaque phase a introduit :
| Phase | Date d'entrée en vigueur | Principales obligations introduites |
|---|---|---|
| Phase 1 | 22 septembre 2022 | Désignation obligatoire d'un responsable de la protection des renseignements personnels (RPRP); obligation de tenir un registre des incidents de confidentialité; notification obligatoire à la CAI et aux personnes concernées lorsque l'incident présente un risque de préjudice sérieux |
| Phase 2 | 22 septembre 2023 | Évaluations des facteurs relatifs à la vie privée (ÉFVP) obligatoires avant tout nouveau système informatique ou toute communication de renseignements personnels hors Québec; règles de consentement renforcées; consentement exprès requis pour les renseignements sensibles; vie privée par défaut; divulgations obligatoires en matière de prise de décision automatisée; publication d'une politique de confidentialité sur le site web de l'organisation |
| Phase 3 | 22 septembre 2024 | Droit à la portabilité des renseignements personnels — les individus peuvent demander leurs renseignements collectés par des moyens technologiques dans un format structuré et couramment utilisé, communicable à eux-mêmes ou à la personne ou l'organisme de leur choix |
Toute entreprise assujettie à la Loi 25 doit désigner une personne responsable de la protection des renseignements personnels (RPRP). Cette obligation est en vigueur depuis le 22 septembre 2022.
Les exigences relatives à cette désignation sont précises :
- La désignation doit être faite par écrit
- Si personne n'est explicitement désigné, la loi attribue automatiquement la responsabilité à la personne ayant la plus haute autorité au sein de l'entreprise — généralement le PDG ou le président
- Le nom et les coordonnées du RPRP doivent être publiés sur le site web de l'organisation
- Le RPRP peut déléguer certaines fonctions à un ou plusieurs membres de l'entreprise, mais il conserve la responsabilité de l'ensemble des obligations en matière de protection des renseignements personnels
L'évaluation des facteurs relatifs à la vie privée (ÉFVP) est l'obligation nouvelle la plus exigeante sur le plan opérationnel de la Loi 25 pour les organisations de santé. Elle est obligatoire depuis le 22 septembre 2023.
Une ÉFVP est requise avant :
- L'acquisition, le développement ou la refonte importante d'un système d'information ou d'un système de prestation de services électroniques
- Toute communication de renseignements personnels à l'extérieur du Québec — y compris vers d'autres provinces et territoires canadiens
- Le lancement de tout projet impliquant des renseignements personnels et présentant un risque moyen ou élevé d'atteinte à la vie privée
L'ÉFVP doit être proportionnelle à la sensibilité des renseignements en cause et aux risques identifiés. Elle doit évaluer la finalité du projet, la nécessité des renseignements collectés, les mesures de protection en place et les risques à la vie privée ainsi que les mesures d'atténuation. La vie privée par défaut doit être intégrée dès la conception — pas après le déploiement.
Pour les organisations de santé, presque toute initiative technologique importante — déploiement d'un nouveau système DME, migration vers l'hébergement en nuage, lancement d'un portail patient, intégration d'un outil d'IA diagnostique — requiert une ÉFVP avant sa mise en service. La CAI a précisé que l'ÉFVP doit être réalisée avant le déploiement, et non rétrospectivement. Notre constructeur d'ÉFVP guide les organisations à travers ce processus étape par étape, en produisant une documentation conforme aux exigences de la CAI.
La Loi 25 utilise l'expression « incident de confidentialité » plutôt que « brèche de données ». Un incident de confidentialité survient lorsque des renseignements personnels sont consultés, utilisés, communiqués, perdus ou volés sans autorisation.
Deux obligations distinctes s'appliquent :
- Registre des incidents de confidentialité — toute entreprise doit tenir un registre interne de tous les incidents de confidentialité, quelle que soit leur gravité. Ce registre doit comprendre la date et la nature de l'incident, les renseignements personnels visés, le nombre de personnes touchées et les mesures correctives prises. La CAI peut demander à le consulter en tout temps.
- Obligation de notification — lorsqu'un incident de confidentialité implique des renseignements personnels et présente un risque de préjudice sérieux pour les personnes concernées, l'entreprise doit aviser la CAI et chaque personne touchée dans les meilleurs délais. Les facteurs que la CAI prend en compte pour évaluer le « risque de préjudice sérieux » comprennent : la sensibilité des renseignements, les conséquences appréhendées de l'incident et la probabilité que les renseignements soient utilisés à des fins préjudiciables.
La Loi 25 renforce considérablement le cadre québécois en matière de consentement. Tout consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques — un consentement distinct est requis pour chaque fin distincte. Il ne peut pas être une condition à l'obtention d'un service au-delà de ce qui est strictement nécessaire.
Pour les renseignements personnels sensibles — qui comprennent en vertu de la Loi 25 les renseignements médicaux et de santé, les données biométriques et les renseignements sur la vie privée — un consentement exprès (explicite) est requis. Le consentement implicite ne suffit pas pour les données de santé.
Lorsqu'une entreprise utilise des renseignements personnels à des fins de prise de décision automatisée produisant des effets juridiques importants sur un individu, la Loi 25 oblige l'entreprise à : informer la personne qu'une décision automatisée a été prise à son égard; lui expliquer les renseignements utilisés et les motifs de la décision; lui accorder la possibilité de présenter des observations et d'obtenir un réexamen de la décision par un être humain.
Le régime de sanctions de la Loi 25 est structuré en deux paliers et, au niveau le plus élevé, est parmi les plus sévères de tout cadre canadien de protection de la vie privée.
| Type de sanction | Montant maximal | Qui l'impose |
|---|---|---|
| Sanction administrative pécuniaire (SAP) | 10 000 000 $ ou 2 % du chiffre d'affaires mondial de l'exercice précédent, selon le montant le plus élevé | CAI — peut être imposée directement, sans recours aux tribunaux |
| Sanction pénale | 25 000 000 $ ou 4 % du chiffre d'affaires mondial de l'exercice précédent, selon le montant le plus élevé | Tribunal pénal — à l'initiative de la CAI |
| Droit d'action privé | Minimum 1 000 $ par individu touché — sans nécessité de prouver un préjudice réel; dommages-intérêts punitifs disponibles en cas de faute intentionnelle ou de faute lourde | L'individu devant le tribunal civil |
Le droit d'action privé est l'une des innovations les plus significatives de la Loi 25 dans le contexte canadien. Un individu dont les droits en vertu de la loi ont été violés peut poursuivre l'entreprise directement et réclamer des dommages-intérêts statutaires d'au moins 1 000 $ sans avoir à démontrer qu'il a subi un préjudice concret. Pour une entreprise de technologie de la santé avec des dizaines de milliers d'utilisateurs québécois, l'exposition cumulée liée à des recours collectifs est significative.
Les organisations de santé qui exercent leurs activités à la fois au Québec et en Ontario font face à deux cadres de conformité qui se chevauchent. La Loi 25 régit les renseignements personnels des résidents québécois; la Loi sur la protection des renseignements personnels sur la santé (LPRPSP — PHIPA en anglais) régit les renseignements personnels sur la santé détenus par les dépositaires de renseignements sur la santé en Ontario. Les deux lois ne sont pas mutuellement exclusives : une entreprise de technologie de la santé établie en Ontario qui dessert des patients québécois peut être assujettie aux deux simultanément.
Les principales différences structurelles à comprendre :
- Portée : la LPRPSP s'applique spécifiquement aux renseignements personnels sur la santé (RPS); la Loi 25 s'applique à tous les renseignements personnels, avec des exigences renforcées pour les renseignements sensibles, dont les données de santé
- Dépositaire vs. entreprise : la LPRPSP utilise le concept de « dépositaire de renseignements sur la santé »; la Loi 25 s'applique aux « entreprises » au sens du Code civil du Québec — les critères déclencheurs diffèrent
- Seuil de notification : la LPRPSP exige une notification « dès que raisonnablement possible »; la Loi 25 exige une notification lorsqu'il y a un « risque de préjudice sérieux » — un seuil fondé sur le risque
- Sanctions : le plafond de la Loi 25 (25 M$ ou 4 % du chiffre d'affaires) dépasse considérablement celui de la LPRPSP (500 000 $ pour les organismes, 200 000 $ pour les personnes physiques en vertu des SAP)
- CAI — Obligations Loi 25. Commission d'accès à l'information du Québec — Obligations découlant de la Loi 25 pour les entreprises
- Québec.ca — Loi 25. Gouvernement du Québec — Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
- LPRPSP — Texte intégral. Loi sur la protection des renseignements personnels dans le secteur privé (P-39.1) — LégisQuébec
- Site officiel de la CAI. Commission d'accès à l'information du Québec
Articles connexes
D'autres articles sur ce sujet seront publiés prochainement.