La loi modernisee du Quebec en matiere de vie privee introduit des exigences similaires au RGPD, y compris des evaluations des facteurs relatifs a la vie privee obligatoires, la notification d'incident sous 72 heures et la transparence des decisions automatisees. Nous vous aidons a naviguer les trois phases de mise en oeuvre.
La Loi 25 du Quebec (projet de loi 64) est la Loi modernisant des dispositions legislatives en matiere de protection des renseignements personnels. Adoptee en 2021, elle renforce significativement les protections de la vie privee au Quebec en modifiant la Loi sur la protection des renseignements personnels dans le secteur prive.
Pourquoi c'est important maintenant : Les trois phases de mise en oeuvre sont desormais en vigueur depuis le 22 septembre 2024. Les organisations doivent se conformer aux EFVP obligatoires, a la notification d'incident sous 72 heures, a la vie privee par defaut et a la transparence des decisions automatisees. Les sanctions maximales de 25 millions CAD s'appliquent desormais.
Portee et sanctions similaires au reglement de l'UE
Signalement obligatoire a la CAI et aux personnes
Complete la conformite au RGPD et au CCPA pour les organisations operant dans plusieurs juridictions.
Organisations basees au Quebec
Toute organisation operant au Quebec collectant des renseignements personnels
Traitement des donnees de residents quebecois
Organisations hors du Quebec traitant les renseignements de residents quebecois
Entites du secteur public
Organismes gouvernementaux soumis aux dispositions de modernisation de la Loi 25
Operateurs de systemes d'IA
Organisations utilisant la prise de decision automatisee affectant les residents quebecois
Sous-traitants de donnees
Prestataires de services traitant des renseignements personnels pour le compte d'entites quebecoises
Transferts transfrontaliers de donnees
Organisations transferant des renseignements personnels en dehors du Quebec
Capacites completes repondant aux obligations de vie privee obligatoires
Realisez des EFVP obligatoires pour les activites de traitement a haut risque avec des questionnaires structures alignes sur les orientations de la CAI. La plateforme documente la necessite, la proportionnalite, les mesures de protection et genere des preuves de conformite pour l'examen reglementaire.
Couvre : Art. 3.3 - Obligations d'EFVP pour les traitements a haut risque
Suivez les incidents de vie privee avec des workflows automatises de notification sous 72 heures a la CAI et aux personnes concernees. La plateforme conserve les chronologies d'incidents, les evaluations d'impact et les actions de remediation requises par la Loi 25.
Couvre : Art. 3.5-3.8 - Notification d'incident sous 72 heures
Documentez les systemes d'IA prenant des decisions exclusivement par des moyens automatises. La plateforme suit les obligations de divulgation, les exigences de notification individuelle et fournit des workflows pour la soumission d'observations tel que requis.
Couvre : Art. 12.1 - Transparence des decisions automatisees et droits individuels
Etablissez des structures de gouvernance de la vie privee avec des responsables de la vie privee designes, des cadres de responsabilite et la gestion des politiques. La plateforme conserve la documentation de gouvernance et assure la prete organisationnelle a la conformite.
Couvre : Art. 3.1-3.2 - Gouvernance de la vie privee et designation du responsable
Mettez en oeuvre des mesures techniques et organisationnelles assurant la protection de la vie privee de la conception du systeme au deploiement. La plateforme suit les controles de vie privee, les pratiques de minimisation des donnees et les parametres de vie privee par defaut.
Couvre : Art. 3.4 - Vie privee des la conception et par defaut
Evaluez la protection equivalente pour les transferts de renseignements personnels en dehors du Quebec. La plateforme documente les mecanismes de transfert, les evaluations d'adequation et les garanties contractuelles requises pour les flux internationaux de donnees.
Couvre : Art. 17 - Protection equivalente pour les transferts en dehors du Quebec
Toutes les activites de vie privee sont suivies avec des horodatages, des responsables designes et des workflows d'approbation. Cela cree la piste d'audit demontrant la conformite systematique requise pour les enquetes de la CAI.
VerifyWise fournit des outils dedies pour toutes les obligations majeures de la Loi 25
Exigences cles de la Loi 25
Exigences avec outillage dedie
Couverture sur toutes les categories
Politiques, responsabilite, responsable de la vie privee, structure de gouvernance
Acces, portabilite, effacement, retrait du consentement, decisions automatisees
EFVP, vie privee par defaut, mesures de securite, limites de conservation
Notification sous 72 heures, alertes individuelles, signalement a la CAI, remediation
Modeles et processus d'evaluation alignes sur la CAI
Suivi automatise des incidents et workflows de signalement a la CAI
Documentation des systemes d'IA et outils de notification individuelle
Correspondance avec les exigences du RGPD et du CCPA
La Loi 25 est entree en vigueur progressivement entre septembre 2022 et septembre 2024
Toutes les dispositions sont desormais pleinement en vigueur. Les organisations doivent se conformer a toutes les exigences de la Loi 25, y compris les EFVP, la notification d'incident, la vie privee par defaut et la transparence des decisions automatisees.
Exigences fondamentales que les organisations doivent mettre en oeuvre en vertu de la Loi 25
Les EFVP obligatoires sont requises pour les activites de traitement susceptibles de creer un risque serieux de prejudice a la vie privee. Elles doivent etre completees avant le debut du traitement et mises a jour lorsque les circonstances changent.
Exigences cles
Les organisations doivent notifier la CAI et les personnes concernees dans les 72 heures suivant la prise de connaissance d'un incident impliquant des renseignements personnels presentant un risque de prejudice serieux.
Exigences cles
Lorsque des decisions sont prises exclusivement par traitement automatise, les personnes doivent etre informees et avoir le droit de soumettre des observations, d'obtenir une intervention humaine et de contester la decision.
Exigences cles
Les obligations de transparence renforcees exigent des avis de confidentialite clairs. Le consentement doit etre specifique, expres et obtenu separement pour chaque finalite. Des protections speciales s'appliquent aux mineurs.
Exigences cles
Un parcours pratique pour atteindre la conformite complete
La Commission d'acces a l'information dispose de larges pouvoirs et de sanctions significatives
Le montant le plus eleve, pour les violations graves
Exemples
Pour les infractions penales et la non-conformite repetee
Exemples
Autorite independante avec des pouvoirs d'enquete et d'application
Exemples
La Commission d'acces a l'information du Quebec (CAI) est l'autorite independante de la vie privee du Quebec. La CAI dispose de pouvoirs pour enqueter sur les plaintes, mener des audits, emettre des ordres et imposer des sanctions.
Visiter le site de la CAI →Comprendre la loi de vie privee du Quebec dans le contexte des reglementations mondiales
| Aspect | Loi 25 du Quebec | RGPD | CCPA |
|---|---|---|---|
Juridiction | Quebec (Canada) | Union europeenne + EEE | Californie (USA) |
Statut juridique | Loi provinciale (Quebec) | Reglement UE (obligatoire) | Loi d'etat (Californie) |
Applicabilite | Donnees des residents quebecois | Donnees des residents de l'UE | Donnees des consommateurs californiens |
Sanctions | Jusqu'a 25 M CAD ou 4 % du CA | Jusqu'a 20 M EUR ou 4 % du CA | Jusqu'a 7 500 $ par violation intentionnelle |
Notification de violation | 72 heures a la CAI + personnes | 72 heures a l'APD + personnes | Pas de delai de notification obligatoire |
Modele de consentement | Opt-in (surtout pour les mineurs) | Opt-in (consentement explicite) | Opt-out (droit de refuser) |
Evaluations d'impact | EFVP obligatoires pour haut risque | AIPD obligatoires pour haut risque | Pas d'evaluations d'impact obligatoires |
Portabilite des donnees | Oui (nouveau droit sous la Loi 25) | Oui (droit complet) | Droits de portabilite limites |
Application | CAI (Quebec) | APD nationales | Procureur general de Californie + CPPA |
Conseil : Les organisations conformes auRGPDtrouveront les exigences de la Loi 25 familieres. De nombreuses pratiques du RGPD (EFVP, notification de violation, vie privee des la conception) se transferent directement a la Loi 25 avec des ajustements specifiques au Quebec.
Discuter de la conformite multi-juridictionnelleAccedez a des modeles de politiques de vie privee prets a l'emploi alignes sur la Loi 25, le RGPD et les exigences du CCPA
Questions courantes sur la conformite a la Loi 25 du Quebec
Commencez votre parcours de conformite en matiere de vie privee au Quebec avec notre evaluation et nos outils de mise en oeuvre complets.