Module 2 · Exigences légales · Formation Initiation PRP
Cadres juridiques applicables aux entreprises canadiennes

Loi 25 et LPRPDE —
cadres juridiques applicables aux entreprises au Canada

Le cadre canadien de la protection des renseignements personnels repose sur un partage des compétences entre provinces et fédéral. Ce texte présente les régimes applicables, les obligations associées et les risques pour les organisations.

Planifier une formation pour mon équipe Demander un diagnostic PRP →

Contexte : un cadre juridique à plusieurs paliers

Il n'existe pas au Canada de loi unique régissant la protection des renseignements personnels. Le cadre repose sur un partage des compétences constitutionnelles entre le fédéral et les provinces, complété par des régimes sectoriels (santé, services financiers) et des distinctions entre secteurs public et privé. Une organisation qui souhaite se conformer doit donc commencer par identifier précisément quel régime s'applique à ses activités — et accepter que plusieurs régimes puissent s'appliquer simultanément.

Cette étape d'orientation juridique est souvent négligée par les PME, qui présument soit qu'une seule loi s'applique, soit qu'aucune obligation ne les concerne en raison de leur taille. Les deux présomptions sont généralement erronées.

Ce que vous devez retenir — version dirigeant

  • La nature de vos activités détermine le régime applicable — pas l'emplacement de vos serveurs.
  • Une organisation peut être soumise à plusieurs régimes simultanément selon les parties de son activité.
  • Aucun seuil de taille n'exonère une organisation — travailleurs autonomes et PME sont concernés.
  • La CAI du Québec a des pouvoirs d'ordonnance — le Commissariat fédéral agit principalement en ombudsman.

Ce que ça implique pour votre organisation

Si vous ne savez pas clairement quel régime s'applique :

  • vos obligations existent quand même,
  • mais elles peuvent être appliquées incorrectement,
  • et votre conformité peut être partiellement invalide.

La majorité des PME ne se trompent pas sur les règles — elles se trompent sur le point de départ.

Définition des régimes applicables

Au Canada, la protection des renseignements personnels dans le secteur privé est partagée entre la Loi 25 (Québec) et la LPRPDE (fédéral). Dans le secteur public, chaque palier de gouvernement a sa propre loi d'accès à l'information et de protection des renseignements.

Chaque régime définit son propre champ d'application, ses obligations spécifiques et son autorité de contrôle. Bien que les principes fondamentaux se rejoignent largement, les modalités d'application et les sanctions diffèrent substantiellement.

Cadres juridiques applicables en détail

Loi 25 — Secteur privé québécois

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) a modifié la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) du Québec. Elle s'applique à toute entreprise privée qui exerce ses activités au Québec et qui collecte, détient, utilise ou communique des renseignements personnels dans le cadre de ses activités. Adoptée en 2021 et déployée par étapes jusqu'en septembre 2024, elle est généralement considérée comme le régime le plus strict au Canada.

LPRPDE — Secteur privé fédéral

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s'applique aux organisations du secteur privé dans le cadre d'activités commerciales interprovinciales ou internationales, ainsi qu'aux organisations sous compétence fédérale (banques, télécommunications, transport aérien, entreprises de transport ferroviaire interprovincial). Elle peut également s'appliquer aux organisations québécoises dans la mesure où elles exercent des activités commerciales dépassant les frontières provinciales.

Secteur public québécois

Les organismes publics du Québec (ministères, municipalités, commissions scolaires, réseaux de la santé) sont régis par la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, également modifiée par la Loi 25. Le principe directeur y est distinct : la transparence des documents publics, avec des exceptions pour protéger les renseignements personnels.

Secteur public fédéral

Les institutions fédérales sont régies par la Loi sur la protection des renseignements personnels (LPRP fédérale) pour ce qui concerne les renseignements personnels détenus par l'administration fédérale. Ce régime est distinct de la LPRPDE qui ne s'applique qu'au secteur privé.

Obligations communes et spécificités par régime

Les deux régimes principaux du secteur privé (Loi 25 et LPRPDE) partagent plusieurs obligations fondamentales, avec des différences d'intensité :

  • Désigner une personne responsable — RPRP dans la Loi 25, agent de conformité à la protection de la vie privée dans la LPRPDE.
  • Obtenir un consentement valide — la Loi 25 exige un consentement plus explicite et distinct selon les finalités.
  • Informer les personnes au moment de la collecte — finalités, catégories de tiers, droits applicables.
  • Mettre en place des mesures de sécurité raisonnables proportionnées à la sensibilité des renseignements.
  • Tenir un registre des incidents et notifier en cas de risque de préjudice sérieux.
  • Permettre l'accès et la rectification par les personnes concernées.
  • Détruire ou anonymiser les renseignements à la fin des finalités.
  • Évaluation des facteurs relatifs à la vie privée (EFVP) — obligatoire dans la Loi 25 pour les projets importants, bonne pratique dans la LPRPDE.
  • Transferts hors Québec / hors Canada — la Loi 25 impose une évaluation spécifique préalable à tout transfert hors Québec.

Quand les deux régimes s'appliquent, le plus strict prévaut en pratique pour chaque obligation concernée.

Exemples concrets PME — identifier le régime applicable

Entrepreneur en construction au Québec, clients résidentiels uniquement

Régime applicable : Loi 25 uniquement. L'emplacement des logiciels infonuagiques (Ontario, États-Unis) n'y change rien — mais les transferts hors Québec doivent faire l'objet d'une évaluation spécifique.

Boutique en ligne québécoise avec clients partout au Canada

Régime applicable : Loi 25 pour les clients québécois + LPRPDE pour les ventes hors Québec. En pratique, l'organisation doit respecter l'ensemble des obligations les plus strictes des deux régimes.

Bureau de consultants servant une banque canadienne

Régime applicable : Loi 25 pour les activités québécoises générales + LPRPDE pour les mandats touchant l'activité bancaire fédérale. Des clauses spécifiques dans les contrats de sous-traitance sont généralement requises.

⚠️ Erreur stratégique fréquente

Beaucoup d'organisations commencent leur démarche de conformité par :

  • écrire une politique de confidentialité,
  • mettre en place des outils de gestion,
  • former leurs équipes,

sans avoir d'abord validé le régime juridique applicable.

Résultat :

  • mesures mal adaptées ou incomplètes ;
  • travail à recommencer lorsque l'erreur est découverte ;
  • incohérences visibles en cas d'incident ou d'enquête.

Obligation légale ou bonne pratique? La distinction compte.

Identifier le régime applicable est strictement obligatoire. Plusieurs démarches complémentaires relèvent cependant des bonnes pratiques recommandées pour démontrer la diligence de l'organisation.

⚖️ Obligation légale

  • Identifier le régime applicable à ses activités
  • Désigner un responsable de la PRP
  • Respecter les obligations du régime applicable
  • Évaluer préalablement les transferts hors Québec (Loi 25)
  • Notifier les incidents selon les seuils prévus
  • Permettre l'exercice des droits des personnes

💡 Bonne pratique fortement recommandée

  • Documenter formellement l'analyse du régime applicable
  • Réviser l'analyse à chaque évolution des activités
  • Adopter le régime le plus strict par défaut
  • Former les gestionnaires sur les différences Loi 25 / LPRPDE
  • Prévoir des clauses sur le régime applicable dans les contrats
  • Consulter un expert en cas de doute juridique

Les bonnes pratiques ne sont pas facultatives en pratique : leur absence rend difficile la démonstration de la diligence en cas d'enquête ou de plainte.

Exemples d'application concrète

Organisation active uniquement au Québec

Une PME qui collecte des renseignements personnels exclusivement dans le cadre d'activités québécoises (clients, employés, fournisseurs tous au Québec) relève uniquement de la Loi 25. Ses mesures de conformité doivent refléter les obligations spécifiques de ce régime, notamment en matière de consentement, d'EFVP et de transferts.

Organisation avec activités commerciales interprovinciales

Une entreprise qui vend des biens ou services à des clients dans plusieurs provinces canadiennes est soumise à la LPRPDE pour ces activités. Si son siège est au Québec, elle demeure soumise à la Loi 25 pour ses activités québécoises — la conformité doit donc intégrer les exigences des deux régimes.

Organisation sous compétence fédérale

Les institutions financières, entreprises de télécommunications, transporteurs aériens et autres organisations sous compétence fédérale sont soumises à la LPRPDE pour l'ensemble de leurs activités commerciales, incluant leurs opérations au Québec. Les sous-traitants et fournisseurs de ces organisations peuvent également être visés dans le cadre de leurs mandats.

Risques en cas de non-conformité

L'exposition se mesure sur deux axes : les sanctions juridiques prévues par chaque régime et les coûts opérationnels d'un incident ou d'une plainte mal orientée.

Angle 1 — Sanctions juridiques

  • Loi 25 — Sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial, selon le montant le plus élevé.
  • Loi 25 — Sanctions pénales pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour certaines infractions graves.
  • LPRPDE — Sanctions pouvant atteindre 100 000 $ par infraction dans le cadre prévu par la loi.
  • Ordonnances de la CAI — contraignantes, avec force exécutoire dans le cadre de la Loi 25.
  • Actions privées — la Loi 25 reconnaît un droit d'action privée avec possibilité de dommages-intérêts punitifs.
  • Impact réputationnel — décisions publiques de la CAI et du Commissariat fédéral, exposition médiatique possible.

Angle 2 — Coûts opérationnels d'une mauvaise orientation juridique

  • Mesures inadaptées — politiques et procédures construites sur le mauvais régime, à reprendre.
  • Plaintes mal adressées — les personnes concernées peuvent déposer des plaintes à la mauvaise autorité, créant des délais et de la confusion.
  • Audits et réajustements — découverte en cours de route que les obligations applicables sont plus strictes qu'anticipé.
  • Perte de temps de gestion — la direction doit arbitrer en situation de doute au lieu d'appliquer un cadre clair.
  • Difficultés contractuelles — donneurs d'ouvrage et partenaires exigent de plus en plus des preuves de conformité au bon régime.

Une identification claire du régime applicable dès le départ évite la majorité de ces coûts — elle constitue la fondation de toute démarche de conformité efficace.

Lien avec la gouvernance PRP

L'identification du régime juridique applicable conditionne l'ensemble de la gouvernance en protection des renseignements personnels :

  • Politiques internes — leur rédaction doit refléter les obligations du ou des régimes applicables, pas un modèle générique.
  • Formation des employés — les exemples et cas pratiques doivent refléter le cadre réel de l'organisation.
  • Désignation du RPRP — ses responsabilités et ses interlocuteurs institutionnels dépendent du régime applicable.
  • Registre des traitements — structure et champs requis varient selon les obligations du régime.
  • Contrats avec sous-traitants — les clauses doivent spécifier le régime applicable et les responsabilités qui en découlent.
  • Évaluations (EFVP, analyses de risque) — les critères et seuils varient selon le régime.

Questions fréquentes

Mon entreprise a des clients dans plusieurs provinces — dois-je choisir une loi?

Vous ne choisissez pas — les deux régimes peuvent s'appliquer simultanément, chacun à la partie concernée de votre activité. En pratique, il est plus simple d'aligner l'organisation sur le régime le plus strict pour éviter d'avoir à gérer deux ensembles de pratiques distincts.

Suis-je soumis à la LPRPDE si j'héberge mes données aux États-Unis?

Non, l'hébergement des données ne détermine pas le régime applicable. Toutefois, la Loi 25 impose une évaluation spécifique préalable à tout transfert de renseignements personnels hors Québec — cette évaluation est distincte de la question du régime applicable.

Les organismes sans but lucratif sont-ils soumis à la Loi 25?

Les OSBL sont soumis à la Loi 25 pour les renseignements personnels qu'ils détiennent dans le cadre d'activités de nature commerciale ou qui impliquent des relations contractuelles avec des tiers. Les activités purement philanthropiques peuvent avoir un traitement différent — une analyse au cas par cas est recommandée.

Qu'en est-il des travailleurs autonomes et des entreprises individuelles?

Les travailleurs autonomes et les entreprises individuelles qui collectent des renseignements personnels dans le cadre de leurs activités sont soumis à la Loi 25 (au Québec) ou à la LPRPDE (activités interprovinciales). L'application est toutefois proportionnée à la taille et à la nature de l'activité.

Que se passe-t-il si je réalise après coup que j'ai appliqué le mauvais régime?

Il est préférable de régulariser la situation sans délai. Le fait de démontrer une démarche proactive de correction est généralement considéré favorablement par les autorités de contrôle. Un consultant peut aider à faire la transition sans rupture des opérations.

Concrètement

L'identification du régime juridique applicable est la première étape de toute démarche sérieuse de conformité. Si votre organisation ne sait pas clairement sous quel régime elle opère :

  • vos obligations légales existent quand même — le régime s'applique indépendamment de votre connaissance ;
  • vos mesures de conformité risquent d'être inadaptées, partielles ou mal calibrées ;
  • en cas d'incident ou de plainte, votre capacité de réaction sera ralentie par l'ambiguïté juridique.

La formation des équipes et une analyse claire du régime applicable sont les deux fondations opérationnelles — avant les politiques, avant les registres, avant les évaluations. Sans elles, les mesures de gouvernance sont construites sur une orientation juridique incertaine.

🎯 Diagnostic rapide

Votre organisation :

  • a des clients ou des activités hors Québec?
  • travaille avec des organisations fédérales (banques, télécoms, transport aérien)?
  • n'a jamais documenté formellement son régime applicable?

Si oui, vous êtes probablement dans un cas multi-régime — et votre conformité doit être adaptée en conséquence.

En résumé — Loi 25 vs LPRPDE

  • Loi 25 : s'applique aux activités au Québec (secteur privé)
  • LPRPDE : s'applique aux activités interprovinciales ou fédérales
  • Une organisation peut être soumise aux deux régimes simultanément
  • Quand les deux s'appliquent, le régime le plus strict prévaut en pratique

📘 Version pratique du même sujet

Pour un guide concret avec exemples tirés du terrain PME — entrepreneur, commerce en ligne, bureau de consultants — consultez la version pratique de ce module.

Guide — Identifier la bonne loi →

Besoin d'accompagnement pour identifier votre régime applicable?

Formation pour vos employés, diagnostic de maturité, accompagnement RPRP externe — plusieurs options adaptées aux PME québécoises et canadiennes.

Planifier une formation pour mon équipe Demander un diagnostic PRP

← Retour à la formation complète (7 modules)

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.