Loi 25 en pratique : cas concrets et décisions de la CAI (2025-2026)

Q: Comment porter plainte à la CAI si une entreprise a violé mes droits?

Vous pouvez déposer une plainte directement sur cai.quebec.ca, via le formulaire en ligne ou par courrier. Avant de déposer, vous devez avoir tenté de résoudre le problème directement avec l'organisation (et avoir conservé la preuve de vos démarches). La CAI enquête ensuite — un processus qui prend généralement de 6 à 18 mois. La plainte est gratuite.

Q: Mon entreprise doit-elle déclarer tout incident de sécurité à la CAI?

Non — seulement les incidents qui présentent un risque de préjudice sérieux aux personnes concernées. Un risque de préjudice sérieux existe notamment si l'incident implique des renseignements sensibles (santé, finances, numéros d'identification), s'il affecte un grand nombre de personnes, ou si les données pourraient être utilisées pour commettre une fraude ou un crime. La déclaration doit être faite 'avec diligence' à la CAI et aux personnes touchées.

La Loi 25 — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est souvent présentée comme un ensemble de règles théoriques. Mais depuis l'entrée en vigueur complète de ses dispositions les plus importantes en septembre 2023, la Commission d'accès à l'information (CAI) a commencé à exercer ses pouvoirs d'enquête et de sanction. Ce guide passe de la théorie à la pratique.

Rappel : les grandes dates de la Loi 25

Septembre 2022 — Phase 1

Déclaration des incidents et responsable de la protection des données

Obligation de déclarer à la CAI tout incident de confidentialité présentant un risque de préjudice sérieux. Obligation de désigner un responsable de la protection des renseignements personnels (RPRP). Publication des coordonnées du RPRP obligatoire.

Septembre 2023 — Phase 2 et 3

Évaluations des facteurs relatifs à la vie privée, nouvelles règles de consentement, portabilité

Obligation d'évaluation des facteurs relatifs à la vie privée (EFVP) avant tout projet impliquant des données personnelles. Nouvelles règles de consentement explicite. Droit à la portabilité des données. Droit à la désinformation. Application pleine des pouvoirs de sanction de la CAI.

2024-2026 — Application active

Premières enquêtes, décisions et signaux d'application

La CAI mène des enquêtes suite aux plaintes des citoyens et aux déclarations d'incidents obligatoires. Les premières décisions documentées touchent principalement les secteurs de la santé, du commerce de détail et des services professionnels au Québec.

Les amendes et sanctions prévues

La Loi 25 prévoit deux niveaux de sanctions — l'un administratif, l'autre pénal — dont les montants sont comparables aux amendes du RGPD européen.

⚠️ Sanctions administratives

10 M$ ou 2%

Jusqu'à 10 millions de dollars ou 2% du chiffre d'affaires mondial pour une première infraction — selon le montant le plus élevé. Ces sanctions s'appliquent aux violations comme le défaut de désigner un RPRP, le non-respect des délais de réponse aux demandes d'accès, ou l'absence de politique de confidentialité.

🚨 Sanctions pénales

25 M$ ou 4%

Jusqu'à 25 millions de dollars ou 4% du chiffre d'affaires mondial pour les infractions les plus graves — notamment le défaut de déclarer un incident sérieux à la CAI, la collecte de données sans consentement, ou l'entrave à une enquête de la CAI.

📊 Contexte : ces amendes sont-elles réellement imposées? Comme pour le RGPD lors de ses premières années d'application (2018-2021), la CAI a adopté une approche progressive. Les premières enquêtes ont largement favorisé l'éducation et les mesures correctives plutôt que les amendes maximales. Mais la phase d'éducation tire à sa fin : en 2025-2026, la CAI signale clairement qu'elle est prête à imposer des sanctions financières significatives aux organisations qui ne jouent pas le jeu.

Cas concrets documentés (2024-2026)

La CAI ne publie pas systématiquement les noms des organisations sanctionnées pour toutes les infractions (contrairement à l'Union européenne avec son registre RGPD). Voici les catégories d'incidents documentés dans les rapports annuels de la CAI et les communiqués publics :

1 200+

Incidents de confidentialité déclarés à la CAI en 2022-2023 (première année d'application de la phase 1)

~40%

Des incidents impliquaient des cyberattaques (rançongiciels principalement)

~35%

Des incidents étaient des divulgations accidentelles ou erreurs humaines

Catégories d'organisations les plus touchées

Secteur santé

Cliniques médicales et professionnels de la santé

Les cliniques médicales, dentaires et les professionnels de la santé en pratique privée constituent l'une des catégories les plus fréquentes d'incidents déclarés à la CAI. Les causes : envois de courriels aux mauvaises personnes (avec des informations de santé visibles), rançongiciels sur des systèmes non mis à jour, et accès non autorisés par d'anciens employés. La nature sensible des données de santé déclenche automatiquement l'obligation de déclaration.

Commerce de détail

Détaillants et e-commerce québécois

Des incidents de sécurité chez des détaillants québécois de taille moyenne ont été déclarés — notamment des fuites de bases de données clients (nom, adresse, historique d'achats, parfois numéros de carte de crédit partiels). La CAI a émis des ordonnances correctives exigeant la mise en place de mesures de sécurité minimales dans ces organisations.

Services professionnels

Cabinets comptables et juridiques

Les cabinets traitant des données financières ou légales sensibles ont été parmi les premières cibles d'enquêtes après que des plaintes ont été déposées pour non-respect des délais de réponse aux demandes d'accès (30 jours). La CAI a émis des rappels et, dans certains cas, des ordonnances formelles.

Ressources humaines

Collecte excessive lors du recrutement

Des plaintes ont été déposées contre des organisations qui collectaient des informations excessives lors du recrutement (numéros d'assurance sociale, informations médicales, données biométriques) sans base légale suffisante. La CAI a produit des lignes directrices spécifiques sur la collecte de données en contexte d'emploi.

Les incidents les plus fréquents

D'après les statistiques publiées par la CAI, les incidents à déclaration obligatoire les plus fréquents sont :

Rançongiciels (ransomware) — environ 35-40% des incidents. Les organisations touchées ont souvent des systèmes non mis à jour ou pas de sauvegardes testées.
Divulgations accidentelles — courriels envoyés aux mauvaises personnes, pièces jointes mal destinataires, données partagées involontairement via des services nuage. Environ 30-35% des incidents.
Accès non autorisés par des employés ou ex-employés — accès à des dossiers clients ou employés sans justification professionnelle. Environ 15-20% des incidents.
Hameçonnage (phishing) suivi d'intrusion — un employé clique sur un lien malveillant, permettant l'accès au réseau interne. Environ 10-15% des incidents.

Incidents à déclaration obligatoire

La Loi 25 impose aux organisations une obligation de déclarer les incidents de confidentialité qui présentent un risque de préjudice sérieux. La déclaration doit être faite « avec diligence » — interprété par la CAI comme le plus tôt possible après la découverte de l'incident.

Quand un incident déclenche l'obligation de déclarer?

Un risque de préjudice sérieux existe notamment si :

L'incident implique des renseignements sensibles : données de santé, données financières, numéros d'assurance sociale, information biométrique, données de mineurs
L'incident affecte un grand nombre de personnes
Les données pourraient être utilisées pour commettre une fraude, une usurpation d'identité ou un autre crime
Des données confidentielles ont été diffusées publiquement
Le contexte laisse croire que les données ont été ou seront utilisées à des fins malveillantes

Comment déclarer un incident à la CAI

Accédez au portail de la CAI : cai.quebec.ca → Organisations → Déclaration d'un incident de confidentialité
Complétez le formulaire en ligne : nature de l'incident, nombre de personnes touchées, types de renseignements, mesures prises
Notifiez les personnes touchées simultanément : par email, par courrier, ou par tout moyen permettant une communication directe. Le message doit décrire l'incident, les renseignements touchés, et les mesures disponibles.
Consignez l'incident dans votre registre interne — toute organisation assujettie doit maintenir un registre des incidents, accessible à la CAI sur demande

⚠️ Délai de déclaration : « avec diligence » La loi ne précise pas un nombre de jours fixe — elle exige la diligence. La CAI interprète cela comme une déclaration dans les 72 heures pour les incidents les plus graves (similaire au RGPD), et au maximum quelques semaines pour les incidents moins urgents. Attendre plusieurs mois après découverte est une infraction distincte.

Ce que les particuliers peuvent faire : porter plainte à la CAI

Si une organisation a violé vos droits sous la Loi 25 — refus d'accès à vos données, non-réponse dans les délais, collecte non consentie, refus de corriger des informations erronées — vous pouvez déposer une plainte à la CAI.

La procédure de plainte

Tentez d'abord de résoudre directement : envoyez une demande formelle à l'organisation et conservez la preuve. La CAI exigera que vous ayez fait cette démarche avant d'accepter votre plainte.
Documentez tout : conservez les courriels, lettres, captures d'écran et dates. Notez le nom des interlocuteurs si vous avez eu des échanges téléphoniques.
Déposez votre plainte sur cai.quebec.ca : section « Citoyens » → Dépôt d'une plainte. Le formulaire est en ligne. La plainte est gratuite.
La CAI vous accuse réception et ouvre un dossier. Vous recevrez un numéro de dossier.
Enquête de la CAI : la CAI contacte l'organisation, demande des explications et des documents. Elle peut effectuer des vérifications sur place.
Résolution : la CAI peut émettre une ordonnance, recommander des mesures correctives, ou, dans les cas graves, transmettre le dossier pour sanction pénale.

Délais typiques

Une enquête de la CAI prend généralement 6 à 18 mois. Les plaintes simples (non-respect d'un délai de réponse, refus d'accès sans justification) sont résolues plus rapidement. Les enquêtes complexes impliquant des violations systémiques peuvent prendre deux ans ou plus.

💡 La plainte collective : un outil sous-utilisé Plusieurs personnes ayant subi le même préjudice de la même organisation peuvent déposer des plaintes séparées ou coordonner leurs démarches. La CAI tient compte du nombre de plaignants dans l'évaluation de la gravité d'une infraction. Si vous faites partie d'un groupe touché par le même incident, signalez-le lors de votre dépôt de plainte.

L'impact sur les PME québécoises

La CAI a adopté une approche progressive avec les petites et moyennes entreprises. De 2022 à 2024, l'accent a été mis sur l'éducation et les outils d'accompagnement plutôt que sur les sanctions. Des centaines de séances d'information, guides et outils d'autoévaluation ont été publiés.

Mais en 2025-2026, la CAI signale clairement un changement de ton. La période de grâce tire à sa fin. Les PME qui n'ont pas encore :

Désigné un responsable de la protection des renseignements personnels (RPRP)
Mis à jour leur politique de confidentialité
Établi un processus de réponse aux demandes d'accès
Configuré un registre des incidents

...courent un risque croissant de faire l'objet d'une plainte ou d'une enquête proactive de la CAI.

Ce que la CAI vérifie en priorité chez les PME

D'après les orientations publiques de la CAI, les vérifications auprès des PME portent en priorité sur :

La désignation du RPRP — est-ce que les coordonnées d'un responsable sont publiées sur le site web de l'entreprise?
La gestion des demandes d'accès — l'organisation a-t-elle un processus établi pour répondre dans les 30 jours?
La collecte minimale — l'organisation collecte-t-elle seulement ce qui est nécessaire à ses fins déclarées?
La réponse aux incidents — l'organisation a-t-elle déclaré les incidents qu'elle aurait dû déclarer?

🚨 Secteurs sous surveillance renforcée en 2025-2026 La CAI a identifié des secteurs prioritaires pour ses efforts d'application : le secteur de la santé (cliniques privées, pharmacies, professionnels), les agences de recrutement et RH, les entreprises de marketing numérique, et les organisations manipulant des données financières de consommateurs.

Questions fréquentes

Quel est le montant maximal des amendes sous la Loi 25?

Les sanctions pénales peuvent atteindre 25 millions de dollars ou 4% du chiffre d'affaires mondial, selon le montant le plus élevé. Les sanctions administratives peuvent atteindre 10 millions de dollars ou 2% du chiffre d'affaires mondial. Ces montants s'appliquent par infraction — une organisation avec de multiples violations peut théoriquement cumuler plusieurs sanctions.

Comment porter plainte à la CAI?

Déposez votre plainte sur cai.quebec.ca, section Citoyens. Vous devez d'abord avoir tenté de résoudre le problème directement avec l'organisation et conservé les preuves. La plainte est gratuite. La CAI vous confirme la réception et ouvre un dossier d'enquête. Le délai typique est de 6 à 18 mois selon la complexité.

Mon entreprise doit-elle déclarer tout incident de sécurité à la CAI?

Non — seulement les incidents présentant un risque de préjudice sérieux aux personnes concernées. Ce risque existe notamment quand l'incident implique des données sensibles (santé, finances, NAS), affecte un grand nombre de personnes, ou quand les données pourraient servir à commettre une fraude. En cas de doute, déclarez — le non-signalement d'un incident qui aurait dû être déclaré est une infraction plus grave que la déclaration d'un incident qui ne l'exigeait pas.

La Loi 25 s'applique-t-elle aussi aux organismes gouvernementaux québécois?

Les organismes publics québécois sont régis par une loi distincte — la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l'accès). Elle s'applique aux ministères, municipalités, commissions scolaires et autres organismes publics. La CAI supervise les deux régimes, mais les règles diffèrent légèrement.

Est-ce que la Loi 25 protège les employés dans le contexte du travail?

Oui, partiellement. La Loi 25 (secteur privé) et la Loi sur l'accès (secteur public) encadrent la collecte de données sur les employés. Les employeurs ne peuvent pas collecter plus d'informations que nécessaire, doivent respecter des limites sur la surveillance des employés (courriels professionnels, géolocalisation des véhicules de flotte, etc.). Notre guide sur la surveillance des employés en télétravail couvre ce sujet en détail.

Aller plus loin

La Loi 25 est un outil puissant pour les citoyens québécois. Connaître vos droits et savoir comment les exercer est la première étape. Si vous êtes une PME, la mise en conformité n'est plus optionnelle — mais elle est aussi plus accessible qu'il y paraît avec les bons outils.

Loi 25 en pratique :cas concrets et décisions de la CAI (2025-2026)