PIPEDA et Loi 25 : guide de conformité pour les PME québécoises
Si tu opères une PME au Québec, tu es soumis à deux régimes de protection des données : la Loi 25 provinciale et le PIPEDA fédéral. Beaucoup de propriétaires d’entreprise ne le savent pas — ou pensent à tort qu’ils n’ont à satisfaire qu’une seule loi. Ce guide clarifie les différences, les chevauchements, et ce que tu dois faire concrètement pour être en règle avec les deux.
Les deux régimes : aperçu
PIPEDA — Loi fédérale
La Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) est la loi fédérale canadienne sur la protection de la vie privée dans le secteur privé. Elle s’applique aux organisations qui collectent, utilisent ou communiquent des renseignements personnels dans le cadre d’activités commerciales.
Elle est supervisée par le Commissariat à la protection de la vie privée du Canada (CPVP).
Loi 25 — Loi provinciale québécoise
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) est la loi québécoise, modernisée et entrée pleinement en vigueur en septembre 2023. Elle s’inspire du RGPD européen et est plus exigeante que le PIPEDA sur plusieurs points.
Elle est supervisée par la Commission d’accès à l’information (CAI) du Québec.
Qui est soumis à quoi ?
Si tu es une entreprise québécoise qui collecte des données de résidents québécois dans le cadre d’activités commerciales : → Tu es soumis à la Loi 25
Si tu collectes, utilises ou communiques des renseignements personnels dans le cadre d’activités commerciales interprovinciales ou internationales : → Tu es aussi soumis au PIPEDA
La règle pratique : si tu vends à des clients hors Québec (autres provinces ou à l’international), tu es soumis aux deux. Si tu opères uniquement au Québec, la Loi 25 s’applique. PIPEDA s’applique quand même si tu as des employés dans d’autres provinces ou si tu utilises des sous-traitants en dehors du Québec.
Le critère de “substantially similar” : le gouvernement fédéral a reconnu que la Loi 25 (et son prédécesseur la Loi sur la protection des renseignements personnels du Québec) est “essentiellement similaire” au PIPEDA pour les entreprises qui opèrent uniquement dans la province. En pratique, cela signifie que respecter intégralement la Loi 25 te met généralement en conformité avec PIPEDA pour les activités purement québécoises.
Comparaison des obligations clés
| Obligation | PIPEDA | Loi 25 |
|---|---|---|
| Consentement | Explicite ou implicite selon le contexte | Explicite pour données sensibles ; plus strict |
| Responsable désigné | Recommandé | Obligatoire + publication |
| Notification d’incident | Obligatoire (risque réel de préjudice) | Obligatoire (72h pour risque sérieux) |
| Droit à l’oubli | Non explicite | Oui |
| Portabilité des données | Non explicite | Oui (depuis sept. 2023) |
| Évaluation des facteurs (EFVP/PIA) | Recommandée | Obligatoire pour projets à risque élevé |
| Sanctions pénales | Jusqu’à 100 000$ | Jusqu’à 25M$ ou 4% CA mondial |
| Sanctions administratives | Non | Oui |
| Privacy by Design | Non explicite | Obligatoire (dès la conception) |
Ce que la Loi 25 exige que PIPEDA n’exige pas explicitement
1. Responsable de la protection des renseignements personnels (RPRP) nommé et publié
PIPEDA recommande un responsable mais ne l’exige pas formellement. La Loi 25 l’exige depuis septembre 2022 et impose de publier l’identité du RPRP (ou du dirigeant en son absence) sur ton site web.
2. Politique de confidentialité structurée et accessible
La Loi 25 exige que la politique de confidentialité soit “en termes simples et clairs” et facilement accessible. Elle doit couvrir spécifiquement :
- Les technologies de profilage utilisées
- Les transferts hors Québec
- Les renseignements recueillis automatiquement
- L’utilisation pour des décisions automatisées
3. Évaluation des facteurs relatifs à la vie privée (EFVP)
Obligatoire avant tout projet impliquant des renseignements personnels à haut risque. PIPEDA encourage les évaluations de la vie privée mais ne les impose pas formellement.
4. Consentement granulaire et explicite
La Loi 25 est plus stricte sur le consentement : il doit être distinct pour chaque finalité, révocable facilement, et exempt de conditions injustifiées.
5. Droit à l’oubli et portabilité
Ces droits sont explicitement dans la Loi 25. PIPEDA offre des droits d’accès et de correction, mais pas le droit à l’effacement ou la portabilité de la même façon.
Les obligations communes aux deux lois
Consentement valide
Les deux lois exigent un consentement éclairé et valide pour la collecte et l’utilisation des renseignements personnels.
Limitation de la collecte
Ne collecter que les renseignements nécessaires aux fins déclarées.
Mesures de sécurité appropriées
Protéger les renseignements personnels par des mesures de sécurité adaptées à leur sensibilité.
Accès et correction
Permettre aux individus d’accéder à leurs renseignements et de les faire corriger.
Notification des incidents
Les deux lois exigent une notification des incidents de confidentialité présentant un risque réel de préjudice.
Les sanctions comparées
PIPEDA :
- Sanctions pénales : jusqu’à 100 000$ par infraction
- Pouvoirs limités du CPVP : recommandations, ordonnances de conformité (depuis la Loi C-11 de 2022)
Loi 25 :
- Sanctions pénales : jusqu’à 25 millions de dollars ou 4% du chiffre d’affaires mondial
- Sanctions administratives pécuniaires pouvant aller jusqu’à 10 millions de dollars ou 2% du CA mondial
- Pouvoirs renforcés de la CAI : enquêtes, ordonnances, sanctions directes
La Loi 25 est significativement plus musclée. Une violation de la Loi 25 pour une PME peut être existentiellement dommageable.
Plan de conformité pratique pour une PME québécoise
Phase 1 : Fondations (priorité immédiate)
- Nommer un RPRP et publier son identité sur le site web
- Inventorier tous les renseignements personnels collectés (quoi, pourquoi, où, pour combien de temps)
- Mettre à jour la politique de confidentialité
- Réviser les formulaires de consentement
- Mettre en place un registre des incidents de confidentialité
Phase 2 : Structure (dans les 60-90 jours)
- Réviser les contrats avec les sous-traitants qui traitent des données pour toi
- S’assurer que les transferts hors Québec sont encadrés (clauses contractuelles)
- Mettre en place un processus pour répondre aux demandes d’accès dans les 30 jours
- Évaluer les technologies de profilage utilisées (publicité ciblée, analytics)
Phase 3 : Amélioration continue
- Intégrer des évaluations EFVP dans le processus de tout nouveau projet
- Réviser annuellement la politique de confidentialité
- Former les employés qui traitent des données personnelles
- Documenter et tester le processus de réponse aux incidents
Ressources officielles
- Commission d’accès à l’information (CAI) — Loi 25
- Commissariat à la protection de la vie privée du Canada — PIPEDA
Tu veux un audit de conformité Loi 25 et PIPEDA pour ta PME ? J’aide les PME québécoises à identifier leurs lacunes et à mettre en place un programme de conformité adapté à leur taille. Contacte-moi à khalid@sequr.ca.
Voir aussi : Loi 25 Québec : ce que chaque PME doit savoir et faire maintenant — Guide complet cybersécurité pour PME au Québec — Test de pénétration : c’est quoi et pourquoi t’en as besoin
