Chronologie — Lois et normes en gouvernance PRP

L'évolution de la Loi 25, de la LPRPDE, du projet C-27, du RGPD et des normes ISO de gouvernance — dates clés, statut courant, changements à surveiller. Mis à jour le 9 mai 2026.

Cette page consolide les dates importantes de toutes les lois et normes en gouvernance utilisées dans mes mandats de conformité Loi 25 — celles qui structurent un programme PRP au Québec et au Canada. Elle est mise à jour quand une législation change ou qu'une norme est révisée. Pour les volets sécurité technique et intelligence artificielle, voir les pages Chronologie Sécurité numérique et Chronologie Intelligence artificielle.

Loi 25 (Québec) — LQ 2021, c 25

Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Adoptée par l'Assemblée nationale, supervisée par la Commission d'accès à l'information (CAI).

1
22 septembre 2021 — Adoption

Sanction royale du Projet de loi 64. Modifie 5 lois existantes dont la Loi sur le secteur privé (LRQ P-39.1).

2
22 septembre 2022 — Phase 1

Désignation obligatoire d'un responsable de la protection des renseignements personnels (RPRP), obligation de déclaration des incidents de confidentialité, registre des incidents.

3
22 septembre 2023 — Phase 2 (la plus exigeante)

Politique de confidentialité publique, évaluation des facteurs relatifs à la vie privée (EFVP), nouvelles règles de consentement, sanctions administratives jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial, action privée, transferts hors Québec encadrés.

4
22 septembre 2024 — Phase 3

Droit à la portabilité des données et droit de désindexation. À cette date, toutes les dispositions de la Loi 25 sont pleinement applicables.

5
2026 — En vigueur intégralement

Aucune révision législative annoncée. La CAI publie depuis 2023 des guides pratiques (incidents, EFVP, transferts) qui clarifient l'application. Premières sanctions administratives prononcées en 2024-2025 — la jurisprudence se construit.

Source officielle : CanLII — texte intégral · Commission d'accès à l'information

LPRPDE (Canada fédéral) — LC 2000, c 5

Loi sur la protection des renseignements personnels et les documents électroniques. Loi fédérale principale en PRP au Canada — supervisée par le Commissariat à la protection de la vie privée du Canada (CPVP).

  • 13 avril 2000 — adoption (LC 2000, c 5)
  • 1er janvier 2001 / 2002 / 2004 — entrée en vigueur progressive (industries fédérales → santé → toutes les organisations commerciales sauf provinces avec lois substantiellement similaires : QC, AB, BC)
  • 1er novembre 2018 — entrée en vigueur des obligations de déclaration des atteintes (issues du Digital Privacy Act / S-4 de 2015), article 10.1 et registre des atteintes (article 10.3)
  • 2025-2026 — modifications mineures via lois omnibus, aucune réforme substantielle
  • Au 9 mai 2026 — toujours la loi fédérale principale, en vigueur. Réforme attendue dans un nouveau projet fédéral PRP (post-C-27) — calendrier non officialisé. Dossier piloté par ISDE depuis juin 2025
Pour une PME québécoise : la Loi 25 prime au Québec pour les opérations locales. La LPRPDE s'applique pour les flux interprovinciaux ou internationaux (e-commerce avec clients hors QC). En pratique, la PME doit gérer les deux régimes pour les incidents touchant des résidents hors Québec.

Source officielle : Justice Canada — texte intégral · Commissariat à la protection de la vie privée

Projet de loi C-27 — LPVPC + Tribunal + LIAD/AIDA

Réforme fédérale ambitieuse en trois volets : Loi sur la protection de la vie privée des consommateurs, Tribunal dédié, Loi sur l'intelligence artificielle et les données.

  • 16 juin 2022 — dépôt du projet par le ministre Champagne
  • 28 novembre 2023 — amendements gouvernementaux (notamment IA générative et modèles de fondation)
  • 2024 — bloqué en comité INDU à l'étape de l'étude article par article
  • 6 janvier 2025mort au feuilleton à la prorogation du Parlement
  • Avril 2025 — élection fédérale anticipée
  • Juin 2025 — le ministre Solomon confirme officiellement que C-27 ne sera pas réintroduit dans sa forme initiale et que la LIAD/AIDA est retirée
  • Au 9 mai 2026 — un nouveau projet fédéral PRP est attendu (calendrier non publié). Probabilité que la PRP et l'IA soient découplées en deux projets distincts
Pour une PME québécoise : plus aucune obligation directe découlant du C-27. La LPRPDE demeure la loi fédérale, et la Loi 25 reste l'autorité au Québec. Surveiller le futur projet de remplacement, mais ne pas restructurer une démarche de conformité sur des dispositions qui ne reviendront probablement pas telles quelles.

Source officielle : LEGISinfo — statut figé à la prorogation · ISDE — Loi 2022 mise en œuvre charte numérique

RGPD (Union européenne) — Règlement (UE) 2016/679

Règlement général sur la protection des données. Référence mondiale dont s'inspire largement la Loi 25.

  • 14 avril 2016 — adoption Parlement européen
  • 4 mai 2016 — publication au Journal officiel de l'UE
  • 25 mai 2018 — entrée en vigueur après 2 ans de période transitoire
  • Juillet 2023 — adoption du Data Privacy Framework UE-États-Unis (transferts)
  • 2024-2025 — lignes directrices CEPD sur l'IA générative
  • 16 juin 2025 — accord politique sur des règles procédurales transfrontalières renforcées
  • Au 9 mai 2026 — texte stable depuis 2018. Évolutions principalement par voie jurisprudentielle (CJUE) et lignes directrices CEPD
Pour une PME québécoise : s'applique extraterritorialement si la PME (1) offre des biens ou services à des résidents de l'UE ou (2) profile leur comportement. Site de e-commerce avec clients UE = RGPD applicable en plus de la Loi 25.

Source officielle : EUR-Lex — texte officiel · Comité européen de la protection des données

ISO/IEC 27001 — Management de la sécurité de l'information

Norme internationale certifiable. Volet gouvernance = clauses 4 à 10 (contexte, leadership, planification, support, opération, évaluation, amélioration).

  • 15 octobre 2005 — ISO/IEC 27001:2005 (édition 1, origine BS 7799-2)
  • 25 septembre 2013 — ISO/IEC 27001:2013 (édition 2)
  • 25 octobre 2022 — ISO/IEC 27001:2022 (édition 3) — alignement sur Annexe SL, refonte de l'Annexe A (114 → 93 contrôles regroupés en 4 thèmes)
  • Février 2024 — Amendement 1:2024 « Climate action changes » : ajoute le climat comme enjeu pertinent à évaluer (clauses 4.1 et 4.2)
  • 31 octobre 2025 — fin de la période de transition pour les certifications 2013 → 2022
  • Au 9 mai 2026 — version courante : ISO/IEC 27001:2022 + Amd 1:2024. Stable. Évolution future en lien avec ISO/IEC 27090 (sécurité IA, en développement)

Source officielle : ISO — fiche 27001 · Amd 1:2024

ISO/IEC 27701 — Système de management des informations relatives à la vie privée (PIMS)

Norme la plus directement pertinente pour démontrer la conformité Loi 25 et RGPD via certification tierce.

  • Août 2019 — ISO/IEC 27701:2019 (édition 1) : extension de 27001 et 27002 (non certifiable seule)
  • 14 octobre 2025 — ISO/IEC 27701:2025 (édition 2) — norme autonome certifiable indépendamment de 27001, alignement avec 27001:2022 et 27002:2022, guidance étendue (cloud, IA, IoT, biométrie, données de santé)
  • Octobre 2025 → octobre 2028 — période de transition de 3 ans pour les organisations déjà certifiées 27701:2019
  • Au 9 mai 2026 — version courante : ISO/IEC 27701:2025
Pour une PME québécoise : particulièrement utile pour les PME en B2B qui doivent rassurer leurs clients institutionnels. Couvre les rôles de responsable du traitement et de sous-traitant. La certification 27701:2025 est désormais autonome — un atout commercial concret.

Source officielle : ISO — fiche 27701

Autres normes ISO en gouvernance

ISO/IEC 27000:2018 — Vocabulaire

Norme gratuite de référence terminologique pour la famille 27xxx. Édition 5 (février 2018) toujours active. Révision attendue pour aligner avec 27001:2022 / 27002:2022, sans calendrier officiel publié. ISO — fiche 27000

ISO 31000:2018 — Management du risque

Lignes directrices génériques (non certifiables). Édition 2 (février 2018) confirmée par le comité TC 262 en octobre 2023, validité prolongée 5 ans. Sert de base à ISO/IEC 23894 (risque IA) et fournit la méthode pour les EFVP exigées par la Loi 25. ISO — fiche 31000

ISO/IEC 38507:2022 — Implications de l'IA en gouvernance

Lignes directrices pour le conseil d'administration et la direction sur l'usage de l'IA. Publiée en avril 2022, stable. Voir aussi Chronologie IA. ISO — fiche 38507

ISO/IEC 42001:2023 — Système de management de l'IA (SMIA)

Première norme certifiable pour l'IA, publiée le 18 décembre 2023. Stable. Path de conformité naturel pour PME exposées à l'AI Act UE. Détails complets dans Chronologie IA. ISO — fiche 42001

À surveiller — changements annoncés ou attendus

  • Nouveau projet de loi fédéral PRP (post-C-27) — annoncé pour fin 2025 / début 2026 par ISDE, calendrier exact non publié au 9 mai 2026
  • Cadre fédéral IA distinct — la LIAD/AIDA étant retirée, une nouvelle approche fédérale est en élaboration (probablement inspirée de l'AI Act UE et NIST AI RMF)
  • Règles procédurales RGPD transfrontalières — accord politique du 16 juin 2025, entrée en vigueur attendue (date non officialisée)
  • Révision ISO/IEC 27000 — alignement attendu avec 27001:2022 / 27002:2022, sans calendrier publié
  • Loi 25 — pas de révision législative annoncée, mais jurisprudence en construction (premières sanctions administratives 2024-2025) et nouveaux guides CAI à attendre

Pour aller plus loin sur ces normes

Le hub Gouvernance internationale présente les normes ISO en mode pédagogique avec des guides pratiques pour PME.

Hub Normes internationales — Gouvernance