📋 Sur cette page
Depuis septembre 2023, la troisième et dernière phase de la Loi 25 est en vigueur au Québec. Cette loi — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (projet de loi 64) — est la réforme la plus significative de la protection des données personnelles au Québec depuis les années 1990. Elle vous donne des droits que vous pouvez exercer dès maintenant, auprès de pratiquement toute organisation qui détient vos données au Québec.
Vos droits sous la Loi 25 — vue d'ensemble
Droit d'accès
Vous pouvez demander à toute organisation quels renseignements personnels elle détient sur vous, comment ils sont utilisés, à qui ils sont communiqués, et d'où ils proviennent. L'organisation doit répondre dans un délai raisonnable.
Droit de rectification
Si des informations vous concernant sont inexactes, incomplètes ou ambiguës, vous pouvez demander leur correction. L'organisation doit vous informer des corrections apportées et, si elle refuse, documenter le refus.
Droit à l'effacement (cessation)
Le cœur de ce guide. Vous pouvez demander la suppression de vos renseignements personnels collectés sans consentement valide, ou dont la finalité est atteinte. Ce droit a des conditions et des exceptions — détaillées ci-dessous.
Droit à la portabilité
Vous pouvez demander à recevoir vos données dans un format structuré et couramment utilisé (ex. CSV, JSON) pour les transférer à un autre fournisseur. Ce droit s'applique aux données collectées avec votre consentement et traitées de façon automatisée.
Le droit à l'effacement : ce que ça couvre (et ce que ça ne couvre pas)
La Loi 25 ne crée pas un droit absolu à l'effacement comme le RGPD européen. Elle crée ce qu'on appelle le droit à la "cessation de diffusion" et à l'effacement dans des circonstances précises :
Quand vous POUVEZ demander l'effacement :
- Les renseignements ont été collectés sans votre consentement valide
- La finalité pour laquelle ils ont été collectés est accomplie — par exemple, votre compte a été fermé depuis plus d'un an et il n'y a plus de raison légale de conserver vos données
- Vous avez retiré votre consentement à la collecte ou à l'utilisation
- Des renseignements inexacts vous concernant sont diffusés sur internet et causent préjudice
- La loi n'autorise plus la détention de ces renseignements
Quand l'effacement peut être REFUSÉ légalement :
- L'organisation est tenue de conserver les données en vertu d'une obligation légale (ex. : obligations comptables, fiscales, réglementaires)
- Les données sont nécessaires à une procédure judiciaire en cours
- L'effacement nuirait à une enquête légale ou à l'application de la loi
- Les données sont requises pour la recherche scientifique ou statistique avec des mesures de protection adéquates
Procédure étape par étape
Identifiez l'organisation et son responsable de la protection
Depuis la Loi 25, toute organisation détenant des renseignements personnels doit avoir un Responsable de la protection des renseignements personnels (RPRP) — souvent le PDG par défaut pour les PME. Cherchez sur le site web de l'organisation (souvent dans la politique de confidentialité) ou contactez le service client pour obtenir les coordonnées du RPRP.
Faites votre demande par écrit
La demande d'effacement doit être faite par écrit — courriel ou courrier recommandé. Un modèle de lettre est fourni ci-dessous. Conservez une copie de tout ce que vous envoyez, avec les dates.
Prouvez votre identité si demandé
L'organisation peut demander une preuve d'identité pour s'assurer que c'est bien vous qui faites la demande. Une copie d'une pièce d'identité (passeport, permis de conduire) est généralement suffisante. Si la demande d'identification semble disproportionnée, c'est une tactique de délai potentielle — mentionnez-le dans votre correspondance.
Attendez la réponse et notez les délais
L'organisation a 30 jours civils pour répondre à votre demande. Si la demande est complexe, ce délai peut être prolongé de 30 jours supplémentaires — mais l'organisation doit vous en informer avant l'expiration du premier délai.
Si refus ou silence : déposez une plainte à la CAI
Si l'organisation refuse sans motif valide, ne répond pas dans les délais, ou répond de façon insatisfaisante, vous pouvez déposer une plainte à la Commission d'accès à l'information (CAI) du Québec. Voir la section ci-dessous.
Modèle de lettre de demande d'effacement
📄 Modèle à adapter — demande d'effacement (Loi 25)
À l'attention du Responsable de la protection des renseignements personnels
[Nom de l'organisation]
[Adresse]
Objet : Demande d'effacement de renseignements personnels — Loi 25
Madame, Monsieur,
Je soussigné(e), [votre nom complet], demeurant à [votre adresse], exerce par la présente mon droit à l'effacement de mes renseignements personnels en vertu de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25, L.R.Q., c. P-39.1).
Je vous demande de procéder à la suppression complète des renseignements personnels suivants que vous détenez à mon sujet :
- [Décrivez les données concernées : ex. "toutes mes données de compte depuis la fermeture de mon compte le JJ/MM/AAAA"]
- [Ou : "mes données de profil et d'historique d'achat"]
Le motif de ma demande est le suivant : [ex. "la finalité de collecte est atteinte depuis la fermeture de mon compte" / "je retire mon consentement à l'utilisation de mes données à des fins de marketing" / "ces données ont été collectées sans consentement valide"].
Conformément à la loi, j'attends une réponse de votre part dans les 30 jours suivant la réception de la présente. Je souhaite recevoir une confirmation écrite de l'effacement effectué ou, en cas de refus, les motifs légaux justifiant ce refus.
Je joins à la présente une copie de [pièce d'identité] pour confirmer mon identité.
Dans l'attente de votre réponse, je vous prie d'agréer mes salutations distinguées.
[Votre signature]
[Votre nom]
[Votre adresse courriel]
[Date]
Délais légaux et obligations de l'entreprise
- 30 jours civils pour répondre à votre demande d'accès ou d'effacement.
- Prolongation possible de 30 jours supplémentaires si la demande est complexe — mais l'organisation doit vous en informer avant l'expiration du premier délai.
- En cas d'effacement accordé, il doit être effectué dans un délai raisonnable — la loi ne précise pas exactement, mais la CAI considère généralement que 30 à 60 jours après la décision est acceptable.
- L'organisation doit informer les tiers à qui elle a communiqué vos données de la demande d'effacement, dans la mesure du possible.
Si l'entreprise refuse : vos recours
Étape 1 : Demandez les motifs écrits
Tout refus doit être motivé par écrit. Si l'organisation refuse sans explication ou avec des motifs vagues, demandez explicitement les motifs légaux précis justifiant le refus. Cela vous permettra d'évaluer si le refus est fondé ou non.
Étape 2 : Déposez une plainte à la Commission d'accès à l'information (CAI)
La CAI est l'organisme québécois responsable de l'application de la Loi 25. Vous pouvez déposer une plainte en ligne sur cai.gouv.qc.ca ou par écrit à :
Commission d'accès à l'information du Québec
575, rue Saint-Amable, bureau 1.10
Québec (Québec) G1R 2G4
Téléphone : 1 888 528-7741 (sans frais)
Étape 3 : Sanctions prévues par la Loi 25
Les amendes prévues par la Loi 25 sont substantielles : jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour les organisations qui ne respectent pas leurs obligations. Ces sanctions sont graduelles — la CAI privilégie d'abord la mise en conformité avant d'imposer des amendes. Mais l'existence de ces sanctions crée une incitation réelle pour les organisations à prendre vos demandes au sérieux.
Cas particuliers : données en ligne (moteurs de recherche, réseaux sociaux)
Si vous souhaitez faire effacer des informations vous concernant indexées sur Google ou publiées sur des réseaux sociaux, la procédure est différente. Google dispose d'un formulaire de demande de suppression pour les données personnelles sur myaccount.google.com. Les réseaux sociaux (Facebook, Instagram, TikTok) ont des procédures de suppression de compte — consultez notre guide Supprimer vos comptes de réseaux sociaux pour les détails.