Loi 25 Québec : 7 droits que vous avez (peu connus)

Sophie, 29 ans, Trois-Rivières, demande à une ancienne employeuse d’effacer son dossier RH. L’employeuse refuse : « On garde les dossiers 10 ans, c’est la politique. » Sophie lit la Loi 25 sur le site de la CAI, envoie une lettre formelle citant l’article 28.1. Deux semaines plus tard : dossier supprimé, confirmation écrite.

La Loi 25 — nom officiel : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est en vigueur depuis 2022 (phase 1), 2023 (phase 2) et 2024 (phase 3 : droit à la portabilité). Elle donne aux citoyens québécois des droits que presque personne n’exerce, parce que presque personne ne sait qu’ils existent.

Selon un sondage de la Commission d’accès à l’information publié en 2024, seulement 18 % des Québécois connaissent la Loi 25 par son nom. Et moins de 5 % ont déjà exercé un droit en vertu de cette loi.

Je vais vous montrer les 7 droits principaux que vous avez, avec des modèles de lettres concrets à copier-coller. Prenez 20 minutes, et vous serez mieux informé que 95 % de la population.

Pourquoi la Loi 25 existe

Avant 2022, le Québec était régi par la Loi sur la protection des renseignements personnels dans le secteur privé (1994). Une loi datée, avec peu de dents, des amendes ridicules (maximum 50 000 $).

La Loi 25 change tout :

• Amendes jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial — le plus élevé des deux.
• Obligation de nommer un responsable de la protection des renseignements personnels dans chaque organisation.
• Obligation de notifier la CAI et les personnes concernées en cas de fuite de données qui présente un risque sérieux de préjudice.
• Droits citoyens élargis : accès, rectification, suppression, portabilité, désindexation, opposition au profilage.

Honnêtement, c’est la loi de protection des données la plus solide en Amérique du Nord. Inspirée du RGPD européen, mais adaptée au Québec. Personne n’en parle assez.

Droit #1 — Accès à vos renseignements personnels

Base légale : Articles 27 et 28 de la Loi sur la protection des renseignements personnels dans le secteur privé.

Toute entreprise qui détient des renseignements personnels sur vous doit, sur demande, vous fournir la liste complète de ce qu’elle a.

Concrètement, ça inclut :

• Votre nom, adresse, date de naissance, courriel, téléphone.
• Votre historique de transactions.
• Les notes internes à votre sujet (oui, les notes du service client !).
• Les profils marketing qu’elle a construits sur vous.
• Les partages à des tiers (sous-traitants, partenaires).

Comment faire la demande

Envoyez une lettre formelle (courriel ou papier) au responsable de la protection des renseignements personnels de l’entreprise. Chaque entreprise doit publier ses coordonnées, souvent dans sa politique de confidentialité, section « Contact ».

Modèle à copier :

Objet : Demande d’accès à mes renseignements personnels en vertu de l’article 27 de la Loi sur la protection des renseignements personnels dans le secteur privé

Madame, Monsieur,

Par la présente, je demande l’accès à tous les renseignements personnels me concernant que votre entreprise détient, conformément à l’article 27 de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1).

Veuillez me fournir :

• La liste complète des renseignements personnels me concernant;
• L’usage que vous en faites;
• La liste des tiers à qui ces renseignements ont été communiqués au cours des 12 derniers mois;
• Les sources auprès desquelles ces renseignements ont été obtenus.

Je vous rappelle que vous disposez de 30 jours pour répondre à cette demande, conformément à l’article 32 de la Loi.

Mon numéro de client / dossier / adresse courriel associé au compte : [VOS COORDONNÉES].

Cordialement, [Votre nom, date]

Gardez une copie avec preuve d’envoi (accusé de réception courriel ou envoi recommandé).

Droit #2 — Rectification des renseignements inexacts

Base légale : Article 28 de la Loi.

Si les renseignements qu’une entreprise a sur vous sont inexacts, incomplets ou équivoques, vous pouvez exiger qu’elle les corrige.

Exemple concret : Vidéotron a votre ancienne adresse depuis 2019, malgré 3 déménagements. Demandez une rectification écrite. Ils doivent corriger et informer les tiers à qui ils ont transmis la fausse info (ex. : agences de crédit).

Modèle :

Objet : Demande de rectification — article 28 Loi P-39.1

[…] L’information suivante vous concernant est inexacte : [PRÉCISER]. La bonne information est : [PRÉCISER]. Je demande la rectification, ainsi que la notification de cette correction à tous les tiers à qui l’information erronée a été communiquée au cours des 12 derniers mois.

Droit #3 — Suppression (droit à l’effacement)

Base légale : Article 28.1 de la Loi — en vigueur depuis septembre 2023.

Vous avez le droit d’exiger la suppression de vos renseignements personnels dans quatre situations :

1. Les renseignements ne sont plus nécessaires à la finalité pour laquelle ils ont été recueillis.
2. Vous retirez votre consentement, si le consentement était la base du traitement.
3. Les renseignements sont traités illégalement.
4. Le traitement porte une atteinte à votre vie privée qui n’est pas justifiée.

Attention : l’entreprise peut refuser si elle a une obligation légale de conservation (comptabilité : 6 ans selon la Loi de l’impôt; dossiers médicaux : durées variables selon le type) ou si les données sont nécessaires à un contrat en cours (votre facture Hydro-Québec active, par exemple).

Modèle :

Objet : Demande de suppression de mes renseignements personnels — article 28.1 Loi P-39.1

[…] Je demande la suppression complète de tous les renseignements personnels me concernant que vous détenez, en vertu de l’article 28.1 de la Loi sur la protection des renseignements personnels dans le secteur privé.

Motif : [les renseignements ne sont plus nécessaires / je retire mon consentement / je résilie la relation contractuelle].

Veuillez me confirmer par écrit la suppression effective dans le délai de 30 jours prévu par la loi. Le cas échéant, veuillez me préciser les renseignements que vous devez légalement conserver et pour quelle durée.

Droit #4 — Portabilité (en vigueur depuis septembre 2024)

Base légale : Article 27 alinéa 3 de la Loi, phase 3.

Vous pouvez exiger qu’une entreprise vous fournisse vos renseignements personnels dans un format technologique structuré et couramment utilisé (JSON, CSV, XML).

Pratique quand vous changez de fournisseur. Exemple : vous quittez Vidéotron pour Bell. Demandez à Vidéotron votre historique de consommation internet en CSV. Envoyez-le à Bell pour éviter de recommencer à zéro les personnalisations.

Ce droit ne s’applique qu’aux renseignements que vous avez fournis à l’entreprise — pas à ceux qu’elle a produits elle-même (notes internes, profils marketing).

Modèle :

Objet : Demande de portabilité — article 27 al. 3 Loi P-39.1

[…] Je demande la communication de tous les renseignements personnels me concernant que j’ai communiqués à votre entreprise, dans un format technologique structuré et couramment utilisé (CSV, JSON ou XML).

Droit #5 — Désindexation et déréférencement

Base légale : Article 28.1 alinéa 2 de la Loi.

Si une entreprise diffuse publiquement des renseignements personnels qui vous concernent (par exemple un site web qui affiche votre nom associé à un vieil article), vous pouvez demander qu’elle cesse la diffusion ou désindexe la page des moteurs de recherche.

Conditions :

• La diffusion cause un préjudice sérieux à votre réputation ou à votre vie privée.
• Le préjudice l’emporte sur l’intérêt public à l’information.

C’est l’équivalent québécois du « droit à l’oubli » européen.

Exemple : un vieil article d’un journal local qui mentionne une accusation criminelle dont vous avez été acquitté. Vous pouvez demander la désindexation Google, et parfois la suppression de l’article.

Droit #6 — Opposition au profilage et décisions automatisées

Base légale : Article 12.1 et 12.2 de la Loi.

Si une entreprise utilise vos données pour :

• Vous profiler (analyser ou prédire votre comportement, vos préférences, votre situation financière).
• Prendre des décisions entièrement automatisées qui vous affectent (ex. : refus de crédit par un algorithme).

Elle doit vous en informer, et vous pouvez :

1. Refuser le profilage (sauf cas nécessaires au contrat).
2. Demander des explications sur les décisions automatisées : quels renseignements ont été utilisés, quelles étaient les principales raisons.
3. Demander une révision humaine de la décision.

Scénario concret : une compagnie d’assurance vous refuse une police auto via son système algorithmique. Vous avez le droit de demander : « Quels renseignements avez-vous utilisés ? Quelles ont été les raisons principales ? Je demande qu’un humain révise la décision. »

Droit #7 — Droit à la notification en cas de fuite

Base légale : Article 3.5 et 3.6 de la Loi — phase 2 (depuis septembre 2022).

Quand une entreprise subit une fuite de renseignements personnels qui présente un risque sérieux de préjudice (vol d’identité, fraude, humiliation, atteinte à la réputation), elle doit :

1. Notifier la CAI rapidement.
2. Notifier les personnes concernées (vous !) rapidement, sauf exception rare.
3. Tenir un registre des incidents consultable par la CAI.

Si vous apprenez qu’une entreprise a subi une fuite impliquant vos données, et qu’elle ne vous a pas notifié, c’est un motif solide pour porter plainte à la CAI.

Desjardins (fuite de 2019 touchant 9,7 millions de membres) est l’exemple-type. Ce type d’incident est maintenant formellement encadré par la Loi 25.

Porter plainte à la CAI — mode d’emploi

Si une entreprise :

• Ignore votre demande.
• Dépasse le délai de 30 jours sans justification.
• Refuse sans motif valable.
• Fournit des renseignements manifestement incomplets.

Vous pouvez porter plainte à la Commission d’accès à l’information du Québec (CAI). C’est gratuit.

Comment procéder

Via le formulaire en ligne sur cai.gouv.qc.ca > « Porter plainte ». Ou par la poste :

Commission d’accès à l’information du Québec 2045, rue Stanley, bureau 900 Montréal (Québec) H3A 2V4 Téléphone : 1-888-528-7741

Joignez :

• Copie de votre demande originale à l’entreprise.
• Copie de la réponse (ou preuve d’absence de réponse).
• Description claire du problème.
• Vos coordonnées.

Délai de traitement : généralement 3-6 mois, parfois plus pour les cas complexes. La CAI peut ordonner à l’entreprise de se conformer, et dans les cas graves, recommander des sanctions administratives pécuniaires.

Ce qui marche vraiment et ce qui marche moins bien

Je vais être honnête — la Loi 25 est une bonne loi, mais l’application laisse parfois à désirer. Voici mes observations après avoir aidé des dizaines de Québécois à exercer leurs droits :

Ce qui marche vite :

• Grandes entreprises québécoises (Desjardins, banques, Vidéotron, Bell). Elles ont un service dédié, répondent en 2-3 semaines, coopèrent.
• Géants américains avec bureau canadien (Apple, Google, Amazon). Lents mais finissent par livrer.

Ce qui marche moins bien :

• PME de 5-20 employés. Souvent elles ne savent même pas que la Loi 25 existe. Votre demande peut être ignorée plusieurs semaines avant que quelqu’un réalise qu’il faut répondre.
• Services en ligne basés à l’étranger (Europe de l’Est, Asie). Ils ignorent carrément. Plainte CAI = seule option.
• Commerces physiques traditionnels (garages, boutiques) qui gardent des fiches clients papier. C’est le Far West.

Honnêtement, la règle empirique : plus l’entreprise est grosse et visible, plus elle va respecter la loi rapidement. Plus elle est petite ou distante, plus il faut insister.

Stratégie : faire le « grand ménage » annuel

Je pense qu’une bonne pratique citoyenne, c’est de faire un ménage annuel de vos données. Une fois par année, par exemple en janvier, vous consacrez 2-3 heures à :

1. Lister toutes les entreprises où vous avez un compte actif (banques, e-commerce, apps, abonnements).
2. Pour chaque compte que vous n’utilisez plus depuis 12 mois : demande de suppression en vertu de l’article 28.1.
3. Pour les comptes actifs : demande d’accès (article 27) pour voir ce qu’ils ont.
4. Rectifier ce qui est faux.
5. Retirer les consentements marketing non désirés.

C’est l’équivalent numérique de faire le ménage du printemps. Ça réduit votre surface d’exposition aux fuites, ça force les entreprises à garder vos données à jour, et ça vous redonne une vraie agency sur votre identité numérique.

Besoin d’aide pour exercer vos droits ?

Rédiger une lettre Loi 25, gérer le suivi, porter plainte à la CAI si nécessaire — ça prend du temps et un minimum de rigueur juridique. Si vous voulez déléguer ou être accompagné, Sequr offre un service de « grand ménage Loi 25 » pour particuliers et PME.

On prend la liste de vos comptes, on rédige les demandes, on suit les délais, on escalade à la CAI si besoin. Tout à distance, partout au Québec.

À mon avis, la Loi 25 est un des meilleurs outils citoyens qu’on a eus en une génération. Exercez-la. Plus de Québécois l’exercent, plus les entreprises vont sérieusement investir pour protéger nos données.

FAQ

Qu’est-ce que la Loi 25 au Québec?

La Loi 25 (officiellement : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est entrée en vigueur en 3 phases entre 2022 et 2024. Elle donne aux citoyens québécois des droits concrets sur leurs données personnelles, et impose des obligations strictes aux entreprises — amendes jusqu’à 25 M$ ou 4 % du chiffre d’affaires mondial.

Combien de temps une entreprise a pour répondre à ma demande Loi 25?

30 jours. L’entreprise doit vous confirmer la réception rapidement, et fournir les renseignements ou la décision motivée dans un délai de 30 jours. Si elle dépasse ce délai sans justification, vous pouvez porter plainte à la Commission d’accès à l’information (CAI).

Comment porter plainte à la Commission d’accès à l’information?

En ligne sur cai.gouv.qc.ca, ou par courrier postal à : Commission d’accès à l’information, 2045, rue Stanley, bureau 900, Montréal (Québec) H3A 2V4. Téléphone : 1-888-528-7741. La plainte est gratuite.

Est-ce qu’une entreprise peut refuser de supprimer mes données?

Oui, dans certains cas : obligation légale de conservation (ex. : comptabilité 6 ans), nécessité pour un contrat en cours, intérêt légitime démontré. Mais elle doit motiver le refus par écrit, et vous pouvez contester auprès de la CAI.

La Loi 25 s’applique-t-elle aux entreprises hors Québec?

Oui, si elles traitent des données de résidents québécois. Google, Meta, Amazon, et les entreprises canadiennes des autres provinces doivent respecter la Loi 25 pour les Québécois. C’est un des points les plus forts de la loi.