Module 1 · Exigences de la Loi 25 · Formation Initiation PRP
Cadre juridique applicable aux entreprises québécoises

Renseignement personnel selon la Loi 25 —
définition légale et obligations au Québec

Comprendre la notion juridique de renseignement personnel est le point de départ de toute démarche de conformité. Ce texte présente le cadre de la Loi 25, les obligations applicables et les risques associés.

Planifier une formation pour mon équipe Demander un diagnostic PRP →

Contexte : pourquoi la notion de renseignement personnel est centrale dans la Loi 25

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — communément appelée Loi 25 — encadre la collecte, l'utilisation, la communication et la conservation des renseignements personnels par les organisations qui exercent leurs activités au Québec. Adoptée en 2021 et déployée par étapes jusqu'en septembre 2024, elle impose un cadre plus strict que le régime antérieur.

Toute démarche de conformité commence par une question simple : qu'est-ce qu'un renseignement personnel au sens de la loi? Cette définition détermine le périmètre des obligations, les registres à tenir, les mesures de sécurité à déployer et la nature des communications requises envers les personnes concernées. Une compréhension imprécise de cette notion conduit généralement à une conformité partielle et à des risques de non-conformité involontaire.

Ce que vous devez retenir — version dirigeant

  • Si votre organisation collecte des données concernant des personnes, vous êtes concerné — sans seuil de taille.
  • Vos employés sont votre principal vecteur de risque — la majorité des incidents viennent d'erreurs humaines quotidiennes.
  • Vous devez pouvoir expliquer et justifier vos pratiques — la Commission d'accès à l'information peut vous les demander.
  • La conformité n'est pas un document à produire une fois — c'est une organisation à mettre en place et à maintenir.

Ce que ça implique pour votre organisation

Si vos employés ne reconnaissent pas un renseignement personnel au quotidien :

  • vos obligations existent quand même,
  • mais elles ne sont pas appliquées dans les gestes du quotidien,
  • et vos mesures de gouvernance reposent sur une fondation absente.

La majorité des PME ne se font pas piéger sur la complexité juridique — elles se font piéger sur la reconnaissance quotidienne des données qu'elles manipulent.

Définition légale du renseignement personnel

Selon la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) modifiée par la Loi 25, un renseignement personnel est « tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l'identifier ».

Cette définition comporte trois éléments déterminants :

  • Le caractère concernant — L'information doit porter sur une personne, c'est-à-dire un individu et non une organisation.
  • La personne physique — Seules les personnes physiques sont visées. Les renseignements concernant les personnes morales (entreprises, organismes) ne sont pas des renseignements personnels au sens de la loi.
  • La capacité d'identification — L'identification peut être directe (nom complet, photo) ou indirecte (information qui, croisée avec d'autres sources, permet d'identifier la personne).

La notion d'identification indirecte est particulièrement importante : une information apparemment anodine peut constituer un renseignement personnel lorsqu'elle est combinée à d'autres éléments de contexte. Par exemple, un titre de poste peut devenir identifiant dans une petite équipe ; une date de naissance croisée avec un répertoire devient une donnée identifiante.

Cadre juridique applicable au Québec

Régime principal — Loi 25 (secteur privé)

Pour les entreprises privées exerçant leurs activités au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP), modifiée par la Loi 25, constitue le cadre principal. Elle s'applique sans seuil de taille : travailleurs autonomes, PME et grandes organisations sont toutes soumises aux obligations fondamentales.

Régime fédéral — LPRPDE

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s'applique aux activités commerciales interprovinciales et aux organisations sous compétence fédérale (banques, télécommunications, transport aérien). Le critère déterminant est la nature de l'activité, pas l'emplacement géographique des serveurs. Une organisation peut être soumise aux deux régimes selon les activités concernées.

Secteur public

Les organismes publics québécois sont régis par la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, également modifiée par la Loi 25. Le principe directeur y est distinct : la transparence avec exceptions, plutôt que la protection avec exceptions.

Obligations des organisations concernant les renseignements personnels

Dès qu'une organisation manipule des renseignements personnels, elle doit respecter un ensemble d'obligations structurantes :

  • Désigner un responsable de la protection des renseignements personnels (RPRP). Par défaut, il s'agit de la personne ayant la plus haute autorité dans l'organisation.
  • Déterminer et documenter les finalités de la collecte avant de recueillir l'information.
  • Obtenir un consentement libre, éclairé, spécifique et explicite pour la collecte, l'utilisation et la communication de renseignements personnels.
  • Limiter la collecte aux renseignements nécessaires aux finalités déterminées.
  • Informer les personnes concernées au moment de la collecte : finalités, catégories de tiers destinataires, droits applicables.
  • Mettre en place des mesures de sécurité raisonnables compte tenu de la sensibilité des renseignements, de leur finalité et de leur quantité.
  • Tenir un registre des incidents de confidentialité et aviser la Commission d'accès à l'information (CAI) lorsque le risque de préjudice sérieux existe.
  • Adopter des politiques et pratiques encadrant la gouvernance des renseignements personnels et les rendre accessibles.
  • Effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) pour les projets impliquant un traitement important ou sensible.
  • Détruire ou anonymiser les renseignements personnels lorsque les finalités sont atteintes.

Ces obligations constituent le socle minimal applicable. Certaines activités ou secteurs imposent des exigences additionnelles (santé, services financiers, éducation).

Exemples concrets PME — comment ces obligations se traduisent sur le terrain

Obligation : tenir un registre des incidents de confidentialité

Un courriel de soumission envoyé au mauvais client doit être consigné (date, nature, mesures prises) — même s'il a été rappelé par l'employé 30 secondes plus tard, et même si aucune donnée sensible n'a été ouverte par le destinataire.

Obligation : évaluation des facteurs relatifs à la vie privée (EFVP)

Avant d'adopter un nouveau CRM hébergé à l'extérieur du Québec ou d'implanter un logiciel de géolocalisation des véhicules de l'équipe, une EFVP documentée est attendue — pas un document de 50 pages, mais une évaluation proportionnée aux risques.

Obligation : destruction ou anonymisation à la fin des finalités

Un dossier client conservé 10 ans après la fin du contrat est généralement non conforme. La durée de conservation doit être justifiée par une finalité active (garantie légale, obligation fiscale, suivi de mandat) — pas par habitude.

⚠️ Erreur stratégique fréquente

Beaucoup d'organisations investissent en priorité dans :

  • la rédaction d'une politique de confidentialité,
  • l'adoption d'outils de gestion des renseignements,
  • la mise en place de registres des traitements,

sans avoir d'abord formé les employés à reconnaître concrètement ce qu'est un renseignement personnel dans leur travail.

Résultat :

  • politiques qui existent sur papier mais ne reflètent pas les pratiques réelles ;
  • registres incomplets qui ignorent des traitements invisibles aux yeux des employés ;
  • incidents non détectés et donc non consignés.

Obligation légale ou bonne pratique? La distinction compte.

Toutes les mesures évoquées en protection des renseignements personnels n'ont pas le même statut juridique. Savoir distinguer ce qui est strictement obligatoire de ce qui est fortement recommandé permet de prioriser les efforts et de démontrer la diligence de l'organisation.

⚖️ Obligation légale

  • Désigner un RPRP
  • Obtenir un consentement valide
  • Informer les personnes au moment de la collecte
  • Tenir un registre des incidents
  • Aviser la CAI et les personnes en cas de préjudice sérieux
  • Publier politiques et pratiques
  • EFVP pour traitements importants
  • Destruction à la fin des finalités

💡 Bonne pratique fortement recommandée

  • Former régulièrement les employés
  • Documenter les décisions dans les zones grises
  • Cartographier les flux de données
  • Audits internes périodiques
  • Mettre à jour les contrats avec sous-traitants
  • Sensibiliser la direction aux risques
  • Tests de réaction aux incidents

Les bonnes pratiques ne sont pas facultatives en pratique : leur absence affaiblit la capacité de l'organisation à démontrer la diligence attendue par la CAI en cas d'enquête ou de plainte.

Exemples d'application concrète

Gestion des dossiers clients dans une PME

Une entreprise de services qui conserve les coordonnées, l'historique de facturation et les notes de suivi de ses clients doit déterminer une durée de conservation justifiée, limiter les accès aux employés concernés et prévoir un mécanisme de destruction sécurisée à la fin de la relation d'affaires.

Recrutement et gestion des candidatures

Un CV reçu par courriel contient des renseignements personnels dès sa réception. L'organisation doit informer le candidat des finalités (évaluation de candidature), limiter la diffusion interne aux personnes impliquées dans le recrutement et détruire les candidatures non retenues dans un délai raisonnable.

Utilisation d'outils infonuagiques et sous-traitants

Confier le traitement de renseignements personnels à un fournisseur externe (CRM, hébergement, services TI) n'exonère pas l'organisation de ses obligations. Un contrat doit encadrer les mesures de protection, et une évaluation est requise lorsque des renseignements sont communiqués hors du Québec.

Risques en cas de non-conformité

L'exposition d'une organisation se mesure sur deux axes : les sanctions juridiques prévues par la loi et les coûts opérationnels réels d'un incident. Les dirigeants se concentrent souvent sur les premiers et sous-estiment les seconds.

Angle 1 — Sanctions juridiques

Le régime modifié par la Loi 25 a substantiellement renforcé les sanctions applicables :

  • Sanctions administratives pécuniaires — pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial de l'exercice précédent, selon le montant le plus élevé.
  • Sanctions pénales — pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour certaines infractions.
  • Ordonnances de la CAI — La Commission d'accès à l'information peut ordonner des mesures correctives contraignantes.
  • Actions privées — La Loi 25 reconnaît un droit d'action privée permettant à une personne ayant subi un préjudice de demander des dommages-intérêts punitifs.
  • Impact réputationnel — Les décisions de la CAI et les incidents notifiés peuvent devenir publics, avec des conséquences sur la confiance des clients et des partenaires d'affaires.

Angle 2 — Coûts opérationnels d'un incident

Les coûts qui frappent le plus souvent une PME ne sont pas les sanctions, mais la mobilisation interne qu'un incident exige :

  • Temps de gestion interne — diagnostic de l'incident, documentation au registre, identification des personnes concernées, évaluation du risque de préjudice.
  • Mobilisation de la direction et du RPRP — coordination, communication interne, arbitrage des décisions de notification.
  • Communication aux personnes concernées et à la CAI — rédaction des avis, suivi des retours, réponse aux questions.
  • Impact sur les relations commerciales — donneurs d'ouvrage, partenaires, clients commerciaux posent de plus en plus de questions sur les pratiques PRP avant de signer.
  • Perturbation des opérations — révision des processus, ajustement des accès, formation corrective de l'équipe.

Une démarche de conformité structurée réduit ces coûts — elle ne les crée pas. L'investissement dans la formation et la gouvernance se mesure en jours de mobilisation évités lors du prochain incident.

Lien avec la gouvernance PRP

La bonne compréhension de la notion de renseignement personnel conditionne l'ensemble de la gouvernance en protection des renseignements personnels (PRP) :

  • Registre des traitements — L'inventaire des renseignements personnels manipulés repose sur leur identification préalable.
  • Politiques internes — Les politiques de gestion, de conservation et de destruction doivent couvrir l'ensemble des renseignements qualifiés comme personnels.
  • Formation des employés — Les réflexes quotidiens (vérification des destinataires, limitation des partages, signalement d'incidents) dépendent de la capacité à reconnaître un renseignement personnel.
  • Évaluation des sous-traitants — Les ententes avec les fournisseurs doivent distinguer les traitements impliquant des renseignements personnels des autres traitements.

Une définition partagée à l'échelle de l'organisation — par la formation et par la documentation — est un prérequis pour la cohérence des pratiques et la capacité à démontrer la diligence en cas d'audit ou d'enquête de la CAI.

Questions fréquentes

Un numéro de téléphone d'entreprise est-il un renseignement personnel?

Cela dépend du contexte. Un numéro général d'entreprise n'est pas un renseignement personnel. Un numéro nominatif (ex. cellulaire d'une personne, poste direct) est un renseignement personnel dès qu'il permet d'identifier la personne concernée.

Les renseignements concernant un employé sont-ils couverts par la Loi 25?

Oui. Les renseignements relatifs au personnel (dossier d'employé, évaluations, informations de paie) sont des renseignements personnels pleinement visés par la loi, au même titre que les renseignements de clientèle.

La Loi 25 impose-t-elle une localisation des données au Québec?

Non, la loi n'exige pas que les renseignements personnels soient stockés physiquement au Québec. Toutefois, toute communication de renseignements hors Québec doit faire l'objet d'une évaluation des facteurs relatifs à la vie privée avant d'être mise en œuvre.

Quelle est la différence entre anonymisation et dépersonnalisation?

L'anonymisation rend l'identification de la personne impossible de façon permanente et irréversible : le renseignement cesse d'être personnel. La dépersonnalisation (parfois appelée pseudonymisation) réduit la capacité d'identification mais demeure réversible : le renseignement conserve son statut de renseignement personnel.

Les renseignements d'une personne décédée sont-ils protégés?

La Loi 25 vise principalement les personnes vivantes. Toutefois, certains renseignements concernant une personne décédée peuvent continuer de bénéficier de protections en vertu d'autres régimes (secret professionnel, droit à la vie privée des proches).

Concrètement

Les obligations de la Loi 25 existent indépendamment de la capacité de votre organisation à les appliquer. Si vos employés ne savent pas reconnaître un renseignement personnel dans leur quotidien :

  • vos obligations légales existent quand même ;
  • mais elles ne sont pas appliquées en pratique ;
  • ce qui expose l'organisation en cas d'incident, de plainte ou d'enquête de la CAI.

La formation des employés est le point de départ opérationnel — avant les politiques, avant les registres, avant les audits. Sans elle, les mesures de gouvernance sont construites sur une fondation absente : personne dans l'organisation ne sait reconnaître ce que la loi cherche à protéger.

🎯 Diagnostic rapide

Votre organisation :

  • a-t-elle déjà formé formellement ses employés à reconnaître un RP?
  • a-t-elle un protocole documenté pour signaler un incident?
  • peut-elle démontrer que les politiques sont appliquées au quotidien?

Si non à une seule question, vous êtes probablement en situation de conformité théorique sans application pratique — une exposition réelle en cas d'incident ou d'enquête.

En résumé — Renseignement personnel selon la Loi 25

  • Définition légale : tout renseignement concernant une personne physique et permettant de l'identifier, directement ou indirectement
  • Portée : s'applique à toutes les organisations au Québec, sans seuil de taille
  • Obligation centrale : démontrer en tout temps la capacité d'expliquer et de justifier ses pratiques
  • Fondation opérationnelle : formation des employés à la reconnaissance concrète des RP dans leur quotidien

📘 Version pratique du même sujet

Pour un guide concret avec exemples tirés du terrain — chantier, courriel, Excel, téléphone — consultez la version pratique de ce module.

Guide — Reconnaître un renseignement personnel →

Besoin d'accompagnement pour votre conformité à la Loi 25?

Formation pour vos employés, diagnostic de maturité, accompagnement RPRP externe — plusieurs options adaptées aux PME québécoises.

Planifier une formation pour mon équipe Demander un diagnostic PRP

← Retour à la formation complète (7 modules)

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.