La Loi 25 du Québec (formellement, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) s'est déployée en trois phases à partir du 22 septembre 2022, avec les dernières dispositions (portabilité des données) entrées en vigueur le 22 septembre 2024. Toutes les exigences sont maintenant pleinement en vigueur. Si votre organisation recueille des renseignements personnels sur des résidents du Québec, la loi s'applique presque certainement à vous, peu importe où vous êtes constitué ou hébergé.
Cet article couvre ce que la Loi 25 exige réellement, comment la résidence des données canadiennes affecte votre posture de conformité, et où la responsabilité repose encore sur vous.
Ceci n'est pas un avis juridique. Si votre organisation a des activités importantes au Québec ou traite des renseignements personnels sensibles, consultez un avocat spécialisé en vie privée au Québec.
Ce qu'est la Loi 25
La Loi 25 est la modernisation par le Québec de sa législation sur la protection des renseignements personnels dans le secteur privé (la Loi sur la protection des renseignements personnels dans le secteur privé, en vigueur depuis 1994). La réforme a été motivée par le fait que la loi originale a été rédigée avant les téléphones intelligents, le cloud et la collecte de données à grande échelle par les entreprises privées.
La loi mise à jour rapproche le cadre québécois du RGPD en termes de portée et de sanctions. Elle introduit :
- Une exigence de désigner un responsable de la protection des renseignements personnels
- Des politiques de confidentialité obligatoires rédigées en langage clair et publiées sur votre site Web
- Des exigences de consentement plus claires et plus explicites, particulièrement pour les données sensibles
- La protection de la vie privée par défaut : les produits et services technologiques offerts au public doivent avoir leurs paramètres de confidentialité réglés au plus haut niveau par défaut, sans aucune action de l'utilisateur
- Des évaluations des facteurs relatifs à la vie privée (ÉFVP) avant le déploiement de nouveaux systèmes d'information et avant le transfert de renseignements personnels hors du Québec
- Un registre des incidents de confidentialité et une notification obligatoire à la Commission d'accès à l'information (CAI) et aux personnes concernées pour les incidents graves
- Des droits individuels : accès, rectification, portabilité et droit à la désindexation (similaire au droit à l'oubli)
À qui elle s'applique
La Loi 25 s'applique largement à toute entreprise qui recueille, utilise ou communique des renseignements personnels concernant des personnes physiques dans le cadre de l'exploitation d'une entreprise au Québec. Cette portée s'étend au-delà des entreprises basées au Québec. Si vous servez des résidents du Québec, vous êtes probablement couvert peu importe si votre entreprise est constituée en Ontario, en Colombie-Britannique ou à l'extérieur du Canada.
Il n'y a pas d'exemption significative pour les petites entreprises pour la plupart des dispositions. Les petites entreprises ne sont pas automatiquement exclues.
Les exigences qui importent le plus pour votre décision d'hébergement
De toutes les exigences de la Loi 25, celle la plus directement affectée par l'endroit où vous hébergez est l'ÉFVP pour les transferts transfrontaliers.
Avant de communiquer des renseignements personnels à quiconque à l'extérieur du Québec (y compris à un fournisseur de services tiers à l'extérieur du Québec), vous devez effectuer une évaluation des facteurs relatifs à la vie privée (article 17 de la Loi) pour évaluer si les renseignements recevraient une protection adéquate dans la juridiction de destination. Si l'évaluation révèle que la destination n'offre pas un niveau de protection adéquat, vous ne pouvez pas effectuer le transfert à moins de prendre des mesures pour atténuer le risque.
Ceci s'applique même aux services cloud. Si votre application fonctionne sur une infrastructure hébergée dans un centre de données américain, ou utilise des services cloud américains, il s'agit d'une communication transfrontalière de renseignements personnels. Vous devriez effectuer et documenter une ÉFVP pour ce transfert, évaluer l'adéquation et, dans bien des cas, mettre en place des protections contractuelles.
Ce n'est pas une petite tâche. Les ÉFVP exigent une analyse documentée des lois de la juridiction de destination, de la nature des données transférées, des mesures de sécurité en place et des risques résiduels. Pour l'infrastructure américaine en particulier, vous devriez aborder le CLOUD Act.
Comment la résidence des données canadiennes aide
Si vos données d'application restent au Canada, sous un fournisseur d'hébergement canadien non assujetti à la juridiction américaine, vous contournez largement le problème de transfert transfrontalier pour ces données.
Quand vos serveurs d'application, bases de données et stockage de fichiers sont au Canada, il n'y a pas de transfert transfrontalier de renseignements personnels à évaluer pour vos données d'application principales. La partie la plus difficile de l'exigence d'ÉFVP, l'analyse d'adéquation pour une juridiction étrangère avec des lois sur la vie privée différentes, ne s'applique pas.
MapleDeploy fournit une infrastructure canadienne dédiée à Toronto. Chaque client obtient sa propre machine virtuelle isolée, sa propre instance Coolify, et des données qui restent au Canada. C'est la pièce infrastructure de la conformité à la Loi 25 pour vos données d'application.
Nous prenons nos propres obligations en vertu de la Loi 25 au sérieux. MapleDeploy maintient un registre des incidents de confidentialité, notifie la CAI tel que requis pour les incidents de confidentialité graves (voir notre politique de notification de violation), effectue des ÉFVP avant d'ajouter de nouveaux sous-traitants, et applique la protection de la vie privée par défaut dans la conception de nos systèmes. Vous pouvez consulter notre politique de confidentialité pour les détails.
Ce que la résidence des données canadiennes ne couvre pas
Il est important d'être direct à ce sujet : la résidence des données canadiennes résout la pièce infrastructure, pas l'ensemble du portrait de conformité. La Loi 25 est plus large que l'endroit où se trouvent vos serveurs.
Votre organisation doit encore :
Désigner un responsable de la protection des renseignements personnels. Quelqu'un doit être formellement responsable de la protection des renseignements personnels au sein de votre organisation. C'est un rôle nommé, pas une responsabilité générale.
Publier une politique de confidentialité. Elle doit expliquer quels renseignements vous recueillez, pourquoi, comment vous les utilisez et les protégez, comment les individus peuvent exercer leurs droits, et comment joindre votre responsable de la protection des renseignements personnels.
Gérer le consentement. La collecte de renseignements personnels exige un consentement valide. Pour les catégories de données sensibles, ce consentement doit être explicite. Les flux de consentement, les avis de témoins et les pratiques de collecte de données de votre application sont votre responsabilité.
Effectuer des ÉFVP pour vos propres outils tiers. Même avec une infrastructure hébergée au Canada, votre application utilise probablement des services tiers : processeurs de paiement, outils d'analytique, fournisseurs de courriel, logiciels de soutien à la clientèle, etc. Tout service qui reçoit des renseignements personnels de résidents du Québec nécessite sa propre évaluation d'adéquation s'il est hors du Québec. Le fait que MapleDeploy gère l'hébergement ne vous dispense pas de cette obligation.
Gouverner les données à l'interne. Vous avez besoin de politiques et procédures pour la façon dont votre équipe accède, manipule et stocke les renseignements personnels. La formation, les contrôles d'accès et la responsabilisation interne ne sont pas des questions d'infrastructure.
Répondre aux demandes d'exercice de droits individuels. Les demandes d'accès, de rectification, de portabilité et de désindexation exigent des processus et une propriété désignée.
Gérer les incidents de confidentialité. Si un incident de confidentialité présente un risque de préjudice sérieux pour une personne, vous devez notifier la CAI et les personnes concernées. Vous avez besoin d'un processus documenté pour détecter, évaluer et signaler les incidents.
Pénalités
Les pénalités de la Loi 25 sont importantes. Il y a deux paliers (en anglais). Les sanctions administratives pécuniaires atteignent jusqu'à 10 millions de dollars CAD ou 2 % du chiffre d'affaires mondial de l'exercice précédent, selon le montant le plus élevé. Les amendes pénales pour violations plus graves ou intentionnelles atteignent 25 millions de dollars CAD ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé. La CAI peut aussi ordonner aux organisations de publier des avis de violations à leurs propres frais.
Pour les plus petites entreprises, le risque le plus immédiat est réputationnel et réglementaire : une enquête de la CAI, une ordonnance publique ou une notification obligatoire à vos utilisateurs peut être dommageable bien avant que les pénalités n'atteignent leur plafond.
Par où commencer
Si votre organisation sert des résidents du Québec et que vous n'avez pas commencé votre travail de conformité à la Loi 25, un point de départ raisonnable ressemble à ceci :
- Cartographiez quels renseignements personnels vous recueillez, où ils vont, et qui y touche
- Désignez un responsable de la protection des renseignements personnels et documentez le rôle
- Effectuez des ÉFVP pour tout flux de données transfrontalier, en commençant par les données les plus sensibles
- Révisez et mettez à jour votre politique de confidentialité
- Auditez vos flux de consentement et pratiques de collecte
- Mettez en place une procédure de réponse aux incidents de confidentialité
Choisir une infrastructure canadienne pour votre application retire l'un des éléments les plus complexes de cette liste : l'ÉFVP pour les transferts transfrontaliers de vos données d'application principales. C'est une réduction réelle du travail de conformité et du fardeau de documentation continue.
Pour le reste, consultez un conseiller juridique familier avec le droit de la vie privée au Québec. La CAI publie aussi des documents d'orientation qui valent la peine d'être lus directement.
Si vous évaluez des options d'hébergement en tenant compte de la Loi 25, notre aperçu de l'hébergement canadien couvre les détails d'infrastructure et de juridiction en entier.
Infrastructure canadienne, sans la complexité transfrontalière
Vos données d'application restent à Toronto. Essayez MapleDeploy gratuitement pendant 14 jours.