Module 2 · Guide pratique · Formation Loi 25 pour employés
Le seul module qui couvre les lois canadiennes applicables

Loi 25 ou LPRPDE :
quelle loi s'applique à votre PME au Canada?

Ce n'est pas l'emplacement de vos serveurs qui détermine la loi applicable — c'est la nature de vos activités. Ce guide vous aide à identifier le bon cadre juridique en 5 minutes.

Planifier une formation pour mon équipe Demander un diagnostic PRP →

Au Canada, il n'existe pas une seule loi sur la protection des renseignements personnels — il en existe plusieurs, et leur application dépend de ce que fait votre organisation, pas de l'endroit où elle est située. Un entrepreneur en construction de Québec, un commerçant en ligne qui vend dans plusieurs provinces et un bureau d'ingénieurs qui sert des clients fédéraux ne sont pas soumis au même régime — même s'ils utilisent les mêmes outils. Comprendre quelle loi s'applique à votre organisation, c'est la première étape avant toute démarche de conformité.

Les deux régimes principaux en bref

Au Canada, la protection des renseignements personnels dans le secteur privé est encadrée par deux régimes principaux : la Loi 25 pour les organisations qui exercent leurs activités au Québec, et la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) pour les activités commerciales interprovinciales et les organisations sous compétence fédérale.

Le critère déterminant n'est pas l'adresse de votre siège social, ni l'emplacement de vos serveurs informatiques — c'est la nature de vos activités. Une même organisation peut être soumise à un seul régime, aux deux à la fois, ou à un régime différent selon la partie de son activité concernée.

Comment savoir quelle loi s'applique à votre organisation

Voici une logique simple à suivre :

  • Activités uniquement au Québec → Loi 25 s'applique (PME, commerces locaux, entrepreneurs, travailleurs autonomes).
  • Activités commerciales traversant les frontières provinciales → LPRPDE s'applique (ventes dans plusieurs provinces, services à distance à des clients hors Québec).
  • Organisation sous compétence fédérale → LPRPDE s'applique (banques, télécommunications, transport aérien, compagnies fédérales).
  • Activités mixtes → les deux régimes peuvent s'appliquer selon la partie de l'activité concernée.
  • Organisme du secteur public québécois → Loi sur l'accès aux documents des organismes publics (logique de transparence).

Ce que ça veut dire concrètement

Si vous n'êtes pas certain du régime applicable à votre organisation :

  • vos obligations peuvent être incomplètes — certaines exigences du régime réel ne sont pas couvertes ;
  • vos procédures peuvent être mal adaptées — construites sur le mauvais cadre de référence ;
  • votre conformité peut être partiellement invalide — et corriger après coup est toujours plus coûteux que partir sur la bonne base.

Dans la réalité des PME québécoises…

🏗️

Un entrepreneur électricien qui dessert uniquement le Québec est soumis à la Loi 25 — même si son logiciel de comptabilité est hébergé à Toronto et que son infonuagique est en Ontario.

🛒

Une boutique en ligne québécoise qui vend partout au Canada peut être soumise à la fois à la Loi 25 (clients québécois) et à la LPRPDE (clients hors Québec) — le régime le plus strict s'applique en pratique.

💼

Un bureau de consultants au Québec qui sert une banque comme client peut se retrouver sous la LPRPDE pour certains mandats (activité fédérale) et sous la Loi 25 pour les autres.

Erreurs fréquentes à éviter

  • « Nos serveurs sont à Toronto, donc la LPRPDE s'applique » — Faux. L'emplacement physique des données ne détermine pas le régime. C'est la nature de l'activité qui compte.
  • « On est une petite entreprise, donc rien ne s'applique » — Faux. Aucun seuil de taille n'exonère une organisation. Un travailleur autonome qui collecte des coordonnées clients est concerné.
  • « La CAI et le Commissariat fédéral, c'est la même chose » — Faux. La CAI du Québec peut rendre des ordonnances contraignantes ; le Commissariat fédéral agit principalement comme ombudsman.
  • « On applique la loi la plus souple » — Faux. Une organisation soumise aux deux régimes doit respecter les deux — en pratique, le plus strict s'applique.

Ce que la Loi 25 et la LPRPDE impliquent concrètement

Bien que distinctes, les deux lois partagent des principes communs et imposent des obligations de base similaires :

  • Désigner une personne responsable de la protection des renseignements personnels dans l'organisation.
  • Obtenir un consentement valide avant de collecter et d'utiliser les renseignements.
  • Expliquer les finalités de la collecte de façon claire et compréhensible.
  • Protéger les renseignements par des mesures de sécurité proportionnées.
  • Signaler les incidents de confidentialité lorsque le risque de préjudice sérieux existe.
  • Donner accès aux personnes qui en font la demande à leurs propres renseignements.

La Loi 25 est plus stricte sur plusieurs points — notamment les évaluations des facteurs relatifs à la vie privée (EFVP), les transferts hors Québec et les sanctions pécuniaires.

Cas réel simplifié

Une PME québécoise typique

  • Opère principalement au Québec → Loi 25
  • Vend aussi en Ontario et au Nouveau-Brunswick → LPRPDE pour ces activités

Résultat : l'organisation doit gérer les deux régimes en parallèle.

Sans cette compréhension, elle appliquerait un seul cadre et laisserait des zones non couvertes — exactement le genre d'angle mort que les autorités de contrôle identifient en premier lors d'une enquête.

Pourquoi c'est critique

Se tromper de régime entraîne des coûts concrets :

  • Démarches inutiles — politiques, outils et formations construits sur le mauvais cadre.
  • Travail à recommencer — lorsque l'erreur est découverte, souvent lors d'un audit ou d'une plainte.
  • Risques amplifiés en cas d'incident — mauvais interlocuteur contacté, notifications mal calibrées, traces manquantes.

Identifier clairement le cadre applicable dès le départ est la fondation de toute démarche de conformité efficace.

En résumé

Définition : Au Canada, la Loi 25 s'applique aux organisations privées actives au Québec et la LPRPDE aux activités commerciales interprovinciales ou sous compétence fédérale.

3 faits clés

  • La nature des activités détermine le régime — pas l'emplacement des serveurs
  • Une organisation peut être soumise aux deux régimes selon les activités concernées
  • La CAI (Québec) a des pouvoirs d'ordonnance ; le Commissariat fédéral agit surtout en ombudsman

👉 Action : Si vous avez un doute sur le régime applicable, validez avec votre RPRP ou un consultant avant d'entreprendre votre démarche de conformité.

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les cadres juridiques canadiens, les obligations par régime et les différences clés entre Loi 25 et LPRPDE.

Cadres juridiques Canada/Québec — exigences légales →

Test rapide

Prenez 10 secondes. Votre organisation…

Si vous avez répondu oui aux deux premières et non à la troisième,
il est probable que votre organisation soit dans un cas multi-régime avec une conformité partiellement mal orientée.

Pas certain du régime applicable à votre situation?
Obtenez un bilan rapide de votre position juridique en quelques minutes.

Évaluer mon niveau de risque →

Initier votre équipe aux bases de la protection des renseignements personnels

La formation d'initiation PRP d'une heure permet à vos employés de comprendre les concepts de base — reconnaissance d'un renseignement personnel, cadres juridiques applicables, cycle de vie des données, rôle du RPRP, gestion des incidents et prise de décision. Conçue pour les PME et entrepreneurs québécois — sans jargon juridique, avec des exemples tirés du terrain.

Planifier une formation pour mon équipe Demander un diagnostic PRP

← Retour à la formation complète (7 modules)