Guide de conformite a la Loi 25 du Quebec
La loi modernisee du Quebec en matiere de vie privee introduit des exigences similaires au RGPD, y compris des evaluations des facteurs relatifs a la vie privee obligatoires, la notification d'incident sous 72 heures et la transparence des decisions automatisees. Nous vous aidons a naviguer les trois phases de mise en oeuvre.
Qu'est-ce que la Loi 25 du Quebec ?
La Loi 25 du Quebec (projet de loi 64) est la Loi modernisant des dispositions legislatives en matiere de protection des renseignements personnels. Adoptee en 2021, elle renforce significativement les protections de la vie privee au Quebec en modifiant la Loi sur la protection des renseignements personnels dans le secteur prive.
Pourquoi c'est important maintenant : Les trois phases de mise en oeuvre sont desormais en vigueur depuis le 22 septembre 2024. Les organisations doivent se conformer aux EFVP obligatoires, a la notification d'incident sous 72 heures, a la vie privee par defaut et a la transparence des decisions automatisees. Les sanctions maximales de 25 millions CAD s'appliquent desormais.
Alignee sur le RGPD
Portee et sanctions similaires au reglement de l'UE
Notification de violation sous 72h
Signalement obligatoire a la CAI et aux personnes
Complete la conformite au RGPD et au CCPA pour les organisations operant dans plusieurs juridictions.
Qui a besoin de la conformite a la Loi 25 ?
Organisations basees au Quebec
Toute organisation operant au Quebec collectant des renseignements personnels
Traitement des donnees de residents quebecois
Organisations hors du Quebec traitant les renseignements de residents quebecois
Entites du secteur public
Organismes gouvernementaux soumis aux dispositions de modernisation de la Loi 25
Operateurs de systemes d'IA
Organisations utilisant la prise de decision automatisee affectant les residents quebecois
Sous-traitants de donnees
Prestataires de services traitant des renseignements personnels pour le compte d'entites quebecoises
Transferts transfrontaliers de donnees
Organisations transferant des renseignements personnels en dehors du Quebec
Comment VerifyWise soutient la conformite a la Loi 25
Capacites completes repondant aux obligations de vie privee obligatoires
Evaluations des facteurs relatifs a la vie privee (EFVP)
Realisez des EFVP obligatoires pour les activites de traitement a haut risque avec des questionnaires structures alignes sur les orientations de la CAI. La plateforme documente la necessite, la proportionnalite, les mesures de protection et genere des preuves de conformite pour l'examen reglementaire.
Couvre : Art. 3.3 - Obligations d'EFVP pour les traitements a haut risque
Notification d'incident et gestion des violations
Suivez les incidents de vie privee avec des workflows automatises de notification sous 72 heures a la CAI et aux personnes concernees. La plateforme conserve les chronologies d'incidents, les evaluations d'impact et les actions de remediation requises par la Loi 25.
Couvre : Art. 3.5-3.8 - Notification d'incident sous 72 heures
Transparence des decisions automatisees
Documentez les systemes d'IA prenant des decisions exclusivement par des moyens automatises. La plateforme suit les obligations de divulgation, les exigences de notification individuelle et fournit des workflows pour la soumission d'observations tel que requis.
Couvre : Art. 12.1 - Transparence des decisions automatisees et droits individuels
Gouvernance et politiques de vie privee
Etablissez des structures de gouvernance de la vie privee avec des responsables de la vie privee designes, des cadres de responsabilite et la gestion des politiques. La plateforme conserve la documentation de gouvernance et assure la prete organisationnelle a la conformite.
Couvre : Art. 3.1-3.2 - Gouvernance de la vie privee et designation du responsable
Vie privee des la conception et par defaut
Mettez en oeuvre des mesures techniques et organisationnelles assurant la protection de la vie privee de la conception du systeme au deploiement. La plateforme suit les controles de vie privee, les pratiques de minimisation des donnees et les parametres de vie privee par defaut.
Couvre : Art. 3.4 - Vie privee des la conception et par defaut
Evaluations des transferts transfrontaliers
Evaluez la protection equivalente pour les transferts de renseignements personnels en dehors du Quebec. La plateforme documente les mecanismes de transfert, les evaluations d'adequation et les garanties contractuelles requises pour les flux internationaux de donnees.
Couvre : Art. 17 - Protection equivalente pour les transferts en dehors du Quebec
Toutes les activites de vie privee sont suivies avec des horodatages, des responsables designes et des workflows d'approbation. Cela cree la piste d'audit demontrant la conformite systematique requise pour les enquetes de la CAI.
Couverture complete des exigences de la Loi 25
VerifyWise fournit des outils dedies pour toutes les obligations majeures de la Loi 25
Exigences cles de la Loi 25
Exigences avec outillage dedie
Couverture sur toutes les categories
Politiques, responsabilite, responsable de la vie privee, structure de gouvernance
Acces, portabilite, effacement, retrait du consentement, decisions automatisees
EFVP, vie privee par defaut, mesures de securite, limites de conservation
Notification sous 72 heures, alertes individuelles, signalement a la CAI, remediation
Concu pour la conformite en matiere de vie privee au Quebec
Workflows EFVP
Modeles et processus d'evaluation alignes sur la CAI
Notification sous 72 heures
Suivi automatise des incidents et workflows de signalement a la CAI
Transparence des decisions automatisees
Documentation des systemes d'IA et outils de notification individuelle
Mapping multi-juridictionnel
Correspondance avec les exigences du RGPD et du CCPA
Chronologie de mise en oeuvre en trois phases
La Loi 25 est entree en vigueur progressivement entre septembre 2022 et septembre 2024
Exigences initiales
- Obligations de gouvernance et de responsabilite en matiere de vie privee
- Modifications du consentement (opt-in pour les mineurs)
- Exigences de transparence renforcees
- Nouveaux droits individuels (portabilite des donnees)
Conformite essentielle
- Evaluations des facteurs relatifs a la vie privee (EFVP) obligatoires
- Mise en oeuvre de la vie privee par defaut
- Notification d'incident (72 heures a la CAI)
- Exigence de responsable de la vie privee designe
Application complete
- Toutes les dispositions de la Loi 25 pleinement en vigueur
- Sanctions maximales desormais applicables
- Transparence complete des decisions automatisees
- Toutes les protections de transfert transfrontalier actives
Toutes les dispositions sont desormais pleinement en vigueur. Les organisations doivent se conformer a toutes les exigences de la Loi 25, y compris les EFVP, la notification d'incident, la vie privee par defaut et la transparence des decisions automatisees.
Obligations de conformite cles
Exigences fondamentales que les organisations doivent mettre en oeuvre en vertu de la Loi 25
Evaluations des facteurs relatifs a la vie privee
Art. 3.3Les EFVP obligatoires sont requises pour les activites de traitement susceptibles de creer un risque serieux de prejudice a la vie privee. Elles doivent etre completees avant le debut du traitement et mises a jour lorsque les circonstances changent.
Exigences cles
- Activites de traitement a haut risque
- Nouvelles technologies ou methodes de traitement
- Surveillance systematique a grande echelle
- Categories de donnees sensibles
Notification d'incident
Art. 3.5-3.8Les organisations doivent notifier la CAI et les personnes concernees dans les 72 heures suivant la prise de connaissance d'un incident impliquant des renseignements personnels presentant un risque de prejudice serieux.
Exigences cles
- Notification a la CAI sous 72 heures
- Notification directe aux personnes concernees
- Documentation et tenue de registres d'incidents
- Mise en oeuvre de mesures de remediation
Prise de decision automatisee
Art. 12.1Lorsque des decisions sont prises exclusivement par traitement automatise, les personnes doivent etre informees et avoir le droit de soumettre des observations, d'obtenir une intervention humaine et de contester la decision.
Exigences cles
- Informer les personnes des decisions automatisees
- Offrir la possibilite de soumettre des observations
- Permettre l'intervention humaine sur demande
- Expliquer les criteres de prise de decision
Transparence et consentement
Art. 8-14Les obligations de transparence renforcees exigent des avis de confidentialite clairs. Le consentement doit etre specifique, expres et obtenu separement pour chaque finalite. Des protections speciales s'appliquent aux mineurs.
Exigences cles
- Avis de confidentialite clairs et simples
- Consentement specifique pour chaque finalite
- Consentement opt-in requis pour les mineurs
- Mecanismes de retrait du consentement
Feuille de route de mise en oeuvre de la Loi 25
Un parcours pratique pour atteindre la conformite complete
Evaluation des ecarts
- Auditer les pratiques de vie privee actuelles par rapport a la Loi 25
- Identifier les traitements a haut risque necessitant des EFVP
- Designer ou confirmer le responsable de la vie privee
- Documenter les mecanismes de consentement existants
Fondation de gouvernance
- Developper les politiques de gouvernance de la vie privee
- Mettre en oeuvre le cadre de vie privee des la conception
- Etablir les procedures de reponse aux incidents
- Creer des modeles d'avis de confidentialite
Conformite operationnelle
- Realiser les EFVP obligatoires pour les traitements a haut risque
- Mettre en oeuvre les workflows de notification d'incident sous 72 heures
- Documenter les systemes de prise de decision automatisee
- Evaluer les mecanismes de transfert transfrontalier
Surveillance continue
- Surveiller la conformite a toutes les obligations de la Loi 25
- Mettre a jour les EFVP lorsque le traitement change
- Maintenir la prete de reponse aux incidents
- Formation reguliere et sensibilisation a la vie privee
Sanctions et application
La Commission d'acces a l'information dispose de larges pouvoirs et de sanctions significatives
Sanctions administratives
Le montant le plus eleve, pour les violations graves
Exemples
- • Defaut de realiser les EFVP obligatoires
- • Non-conformite a la notification d'incident
- • Gouvernance de la vie privee inadequate
- • Violations des transferts transfrontaliers
Sanctions penales
Pour les infractions penales et la non-conformite repetee
Exemples
- • Obstruction aux enquetes de la CAI
- • Informations fausses ou trompeuses a la CAI
- • Violations intentionnelles de la vie privee
- • Manquements repetes a se conformer aux ordres
Autorite d'application
Autorite independante avec des pouvoirs d'enquete et d'application
Exemples
- • Enquetes et audits de conformite
- • Ordres de cesser les pratiques non conformes
- • Signalement public des violations
- • Renvoi aux poursuites pour les affaires penales
Autorite d'application
La Commission d'acces a l'information du Quebec (CAI) est l'autorite independante de la vie privee du Quebec. La CAI dispose de pouvoirs pour enqueter sur les plaintes, mener des audits, emettre des ordres et imposer des sanctions.
Visiter le site de la CAI →Comparaison de la Loi 25 avec d'autres lois de vie privee
Comprendre la loi de vie privee du Quebec dans le contexte des reglementations mondiales
| Aspect | Loi 25 du Quebec | RGPD | CCPA |
|---|---|---|---|
Juridiction | Quebec (Canada) | Union europeenne + EEE | Californie (USA) |
Statut juridique | Loi provinciale (Quebec) | Reglement UE (obligatoire) | Loi d'etat (Californie) |
Applicabilite | Donnees des residents quebecois | Donnees des residents de l'UE | Donnees des consommateurs californiens |
Sanctions | Jusqu'a 25 M CAD ou 4 % du CA | Jusqu'a 20 M EUR ou 4 % du CA | Jusqu'a 7 500 $ par violation intentionnelle |
Notification de violation | 72 heures a la CAI + personnes | 72 heures a l'APD + personnes | Pas de delai de notification obligatoire |
Modele de consentement | Opt-in (surtout pour les mineurs) | Opt-in (consentement explicite) | Opt-out (droit de refuser) |
Evaluations d'impact | EFVP obligatoires pour haut risque | AIPD obligatoires pour haut risque | Pas d'evaluations d'impact obligatoires |
Portabilite des donnees | Oui (nouveau droit sous la Loi 25) | Oui (droit complet) | Droits de portabilite limites |
Application | CAI (Quebec) | APD nationales | Procureur general de Californie + CPPA |
Conseil : Les organisations conformes auRGPDtrouveront les exigences de la Loi 25 familieres. De nombreuses pratiques du RGPD (EFVP, notification de violation, vie privee des la conception) se transferent directement a la Loi 25 avec des ajustements specifiques au Quebec.
Discuter de la conformite multi-juridictionnelleRepertoire de politiques de gouvernance de la vie privee
Accedez a des modeles de politiques de vie privee prets a l'emploi alignes sur la Loi 25, le RGPD et les exigences du CCPA
Gouvernance de la vie privee
- • Politique de gouvernance de la vie privee
- • Charte du responsable de la vie privee
- • Cadre de responsabilite
- • Politique de vie privee des la conception
- • Politique de vie privee des tiers
- • Programme de formation a la vie privee
- + 4 politiques supplementaires
Risque et evaluation
- • Politique d'evaluation d'impact sur la vie privee
- • Modeles EFVP (alignes CAI)
- • Methodologie d'evaluation des risques
- • Evaluation d'impact sur la protection des donnees
- • Evaluation des risques de transfert
- • Evaluation de la vie privee des fournisseurs
- + 5 politiques supplementaires
Incident et reponse
- • Politique de reponse aux incidents
- • Procedure de notification sous 72 heures
- • Modele d'evaluation de violation
- • Formulaire de notification a la CAI
- • Modele de notification individuelle
- • Documentation d'incident
- + 3 politiques supplementaires
Questions frequemment posees
Questions courantes sur la conformite a la Loi 25 du Quebec
Pret a atteindre la conformite a la Loi 25 ?
Commencez votre parcours de conformite en matiere de vie privee au Quebec avec notre evaluation et nos outils de mise en oeuvre complets.