Combien de temps une entreprise a-t-elle pour répondre à ma demande d'accès?

La Loi 25 exige un accusé de réception dans les 10 jours civils, et une réponse complète dans les 30 jours civils suivant la réception de votre demande. Si la demande est complexe, l'entreprise peut demander une prolongation de 10 jours supplémentaires, mais elle doit vous en aviser par écrit.

Que faire si l'entreprise ignore ma demande ou la refuse sans raison valable?

Vous pouvez porter plainte à la Commission d'accès à l'information (CAI) du Québec. La CAI peut enquêter, émettre des ordonnances et imposer des amendes allant jusqu'à 25 millions de dollars ou 4% du chiffre d'affaires mondial de l'organisation.

La Loi 25 s'applique-t-elle aux entreprises hors Québec?

Oui, si elles collectent ou utilisent des renseignements personnels de résidents du Québec — même si elles sont basées ailleurs au Canada ou à l'étranger. Un site américain qui cible des Québécois peut être assujetti à la Loi 25.

Vos droits Loi 25 en tant que particulier au Québec — Accès, rectification, suppression

Q: Puis-je demander la suppression de mes données à un courtier en données?

Oui. Depuis septembre 2023, la Loi 25 vous donne le droit à la désinformation et à la suppression de vos données personnelles. Les courtiers en données (Canada411, YellowPages, PeopleSearch Canada, etc.) sont assujettis à cette loi s'ils opèrent au Québec ou collectent des données de résidents québécois.

Vous avez cherché votre nom sur Google et trouvé vos coordonnées sur un site que vous ne connaissiez pas. Ou une entreprise détient des informations sur vous et vous voulez savoir lesquelles. La Loi 25 — la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — vous donne des outils concrets pour agir.

Ces droits s'appliquent à toute organisation qui collecte ou utilise des renseignements personnels sur des résidents du Québec — entreprises québécoises, canadiennes, ou même étrangères qui ciblent des Québécois.

Vos quatre droits principaux

🔍

Droit d'accès

Vous pouvez demander à toute organisation de vous communiquer quels renseignements personnels elle détient sur vous, pourquoi elle les détient, et depuis quand. Elle doit aussi vous dire à qui elle les a transmis.

✏️

Droit de rectification

Si une information vous concernant est inexacte, incomplète ou équivoque, vous pouvez exiger qu'elle soit corrigée. L'organisation doit vous confirmer par écrit la correction effectuée.

🗑️

Droit à l'effacement et à la désinformation

Vous pouvez demander la suppression de vos données lorsqu'elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées. Ce droit inclut la désinformation : faire retirer des informations publiées en ligne sans votre consentement.

📦

Droit à la portabilité

Depuis septembre 2023, vous pouvez demander à recevoir vos données personnelles dans un format technologique structuré et couramment utilisé — pour les transférer vers un autre service. Ce droit s'applique aux données informatisées que vous avez fournies directement.

⚖️ Loi 25, pas RGPD La Loi 25 s'inspire du RGPD européen mais ce n'est pas la même loi. Les droits à l'effacement et à la portabilité existent au Québec depuis les phases 2 et 3 de la loi (entrée en vigueur en septembre 2023), mais leur portée peut différer de celle du RGPD. Si vous avez des droits sous les deux régimes, vous pouvez exercer les deux séparément.

À qui envoyer votre demande

Toute organisation assujettie à la Loi 25 doit avoir désigné un responsable de la protection des renseignements personnels (RPRP). C'est votre point de contact obligatoire.

Pour trouver le RPRP d'une organisation :

Consultez la politique de confidentialité du site web — le nom ou le titre doit y figurer depuis septembre 2022
Cherchez « responsable protection renseignements » + nom de l'entreprise sur Google
Envoyez un courriel à l'adresse générale (info@, support@) en demandant d'être redirigé vers le responsable
Pour les grandes entreprises canadiennes, cherchez « Chief Privacy Officer » ou « Directeur vie privée »

⚠️ Pas de RPRP identifiable? Si l'organisation n'a pas publié les coordonnées de son responsable, c'est déjà une violation de la Loi 25. Mentionnez-le dans votre demande — et dans votre plainte à la CAI si nécessaire.

Comment formuler votre demande

Identifiez-vous clairement Nom complet, adresse courriel, et tout identifiant que l'organisation possède sur vous (numéro de client, nom d'utilisateur, adresse postale ancienne, etc.). Plus vous êtes précis, plus la réponse sera complète.
Précisez le type de demande Indiquez explicitement si vous faites une demande d'accès, de rectification, d'effacement ou de portabilité — ou plusieurs à la fois. Citez la Loi 25 et l'article applicable si possible.
Décrivez les données concernées Soyez aussi précis que possible. « Toutes les données que vous détenez sur moi » est valide, mais si vous savez que votre numéro de téléphone est affiché publiquement, mentionnez-le explicitement.
Précisez le format souhaité (portabilité) Si vous exercez le droit à la portabilité, précisez le format (CSV, JSON, PDF). En l'absence de précision, l'organisation choisit un format « technologique structuré et couramment utilisé ».
Envoyez par courriel et conservez une copie Le courriel laisse une trace datée. Gardez la capture d'écran ou le courriel envoyé — vous en aurez besoin si l'organisation ne répond pas dans les délais.

Délais légaux obligatoires

Étape	Délai légal	Ce que l'organisation doit faire
Accusé de réception	10 jours civils	Confirmer que votre demande a bien été reçue et préciser si des informations supplémentaires sont requises.
Réponse complète	30 jours civils	Vous fournir les renseignements demandés, ou vous informer des raisons d'un refus partiel ou total.
Prolongation possible	+10 jours	Si la demande est complexe, l'organisation peut demander 10 jours supplémentaires — mais doit vous en aviser par écrit avant la fin du délai de 30 jours.
Refus — voies de recours	30 jours après refus	Vous avez 30 jours pour contester le refus devant la Commission d'accès à l'information (CAI).

Modèle de lettre — à copier-coller

Remplacez les champs entre crochets. Ce modèle couvre une demande d'accès combinée à une demande de suppression — la situation la plus fréquente quand on trouve ses coordonnées sur un site sans y avoir consenti.

Modèle de demande — Loi 25 (LPRPDE si fédéral)[Votre prénom et nom] [Votre adresse postale ou courriel] [Date] À l'attention du responsable de la protection des renseignements personnels [Nom de l'organisation] [Adresse ou courriel du responsable] Objet : Demande d'accès et de suppression de renseignements personnels — Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) Madame, Monsieur, Je vous contacte pour exercer mes droits en vertu de la Loi 25 du Québec (L.R.Q., c. P-39.1 telle que modifiée). **1. Demande d'accès (art. 27 LPRPDE / art. 83 Loi 25)** Je vous demande de me communiquer l'ensemble des renseignements personnels que votre organisation détient à mon sujet, notamment : - les catégories de renseignements collectés; - les fins pour lesquelles ils sont utilisés; - les tiers à qui ils ont été communiqués; - la source de ces renseignements. **2. Demande de suppression / désinformation (art. 28 Loi 25)** Dans la mesure où ces renseignements ne sont plus nécessaires aux fins pour lesquelles ils ont été collectés, ou ont été collectés sans mon consentement, je vous demande de les supprimer définitivement de vos systèmes, y compris tout profil public les affichant. Je suis [prénom nom], né(e) le [date de naissance optionnelle], résidant au [ville, province]. Mon adresse courriel est [courriel]. [Si applicable : Mon numéro de client est [XXXXX] / Mon numéro de téléphone associé à votre service est [XXX-XXX-XXXX].] Conformément à la Loi 25, j'attends un accusé de réception dans les 10 jours civils et une réponse complète dans les 30 jours civils suivant la réception de ce message. Sans réponse dans ce délai, je me réserve le droit de déposer une plainte auprès de la Commission d'accès à l'information du Québec. Cordialement, [Votre prénom et nom] [Votre signature si envoi postal]

💡 Envoi par courriel ou courrier recommandé? Le courriel suffit dans presque tous les cas — et il laisse une trace horodatée automatique. Utilisez le courrier recommandé uniquement si vous avez déjà essayé par courriel sans réponse, ou si vous faites affaire avec une grande organisation (banque, télécoms) et que vous anticipez un litige.

Si on vous refuse — plainte à la CAI

Un refus n'est pas la fin de la démarche. La Commission d'accès à l'information (CAI) est l'organisme de surveillance chargé d'appliquer la Loi 25. Elle a le pouvoir d'enquêter, d'émettre des ordonnances de conformité et d'imposer des amendes.

Quand la CAI intervient

L'organisation n'a pas répondu dans les 30 jours
Elle a refusé votre demande sans motif légal valable
Elle n'a pas de responsable de la protection des renseignements identifiable
Elle maintient des informations inexactes malgré votre demande de rectification
Elle a subi une fuite de données vous concernant sans vous en avoir informé

Comment déposer une plainte à la CAI

Tentez d'abord de résoudre la situation directement La CAI vous demandera si vous avez d'abord contacté l'organisation. Gardez vos courriels envoyés comme preuve.
Remplissez le formulaire de plainte sur le site de la CAI Rendez-vous sur cai.gouv.qc.ca → section « Déposer une plainte ». Le formulaire est disponible en ligne. Vous pouvez aussi envoyer une lettre par la poste ou vous présenter en personne au 575, rue Saint-Amable, bureau 1.10, Québec (G1R 2G4).
Joignez votre correspondance avec l'organisation Incluez : copie de votre demande initiale, accusé de réception (s'il y en a un), réponse de l'organisation ou preuve qu'il n'y a pas eu de réponse.
La CAI enquête et peut rendre une ordonnance Si votre plainte est fondée, la CAI peut ordonner à l'organisation de se conformer — et imposer des amendes administratives pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé.

⏰ Délai pour contester un refus Vous avez 30 jours à compter du refus (ou de la fin du délai de réponse) pour contester devant la CAI. Passé ce délai, vous pouvez toujours déposer une plainte, mais votre recours en révision est plus limité.

Cas concret : vos données chez un courtier

Les courtiers en données — Canada411, YellowPages, PeopleSearch Canada, Whitepages Canada, 411.ca — collectent des informations publiques (annuaires, actes notariés, rôles d'évaluation) et les revendent ou les affichent librement. Ils sont assujettis à la Loi 25 si leurs services visent des Québécois.

La démarche est la même : demandez l'accès, puis la suppression. La plupart ont maintenant un formulaire de désinformation — cherchez « remove my info » ou « supprimer mon profil » sur leur site. Si le formulaire n'existe pas, la lettre ci-dessus s'applique.

Canada411 et YellowPages ont des processus de suppression documentés. PeopleSearch Canada est moins coopératif — une demande formelle par écrit avec copie à la CAI est souvent plus efficace qu'un simple formulaire web.

🔎 Prochaine étape : audit complet de votre empreinte numérique Si vous voulez savoir exactement qui détient vos données et comment les faire supprimer une à une, consultez notre guide d'audit de l'empreinte numérique au Québec. Il couvre les principaux courtiers canadiens avec les démarches spécifiques à chacun.

Questions fréquentes

La Loi 25 s'applique-t-elle aux entreprises fédérales (banques, télécoms)?

Les entreprises sous réglementation fédérale — banques (RBC, TD, Desjardins fédéral), télécommunications (Bell, Rogers, Telus), transport interprovincial — sont régies par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au niveau fédéral. Vos droits sont similaires, mais vous devez vous adresser au Commissariat à la protection de la vie privée du Canada (CPVPC) en cas de plainte, et non à la CAI. Les délais sont aussi de 30 jours.

Est-ce que ça coûte quelque chose de faire une demande?

Non. L'accès à vos renseignements personnels est gratuit. Une organisation ne peut pas vous facturer pour traiter une demande d'accès standard. Elle peut toutefois demander des frais raisonnables pour une demande impliquant un volume exceptionnellement élevé de documents — mais seulement après vous en avoir avisé et obtenu votre accord.

Que se passe-t-il si l'organisation n'existe plus ou a été rachetée?

Vos droits suivent les données. Si une entreprise a été rachetée, le nouveau propriétaire hérite des obligations en matière de protection des données. Si l'entreprise a fait faillite, le syndic ou le liquidateur a des obligations de protection des renseignements personnels pendant la liquidation. Contactez la CAI si vous ne savez pas vers qui vous tourner.

Puis-je demander la suppression de mes données si j'ai signé un contrat avec l'entreprise?

Pas nécessairement pendant la durée du contrat — l'organisation peut conserver les données nécessaires à l'exécution du contrat. Mais une fois le contrat terminé, les données qui ne sont plus nécessaires doivent être supprimées à votre demande. Vous pouvez aussi demander la portabilité pendant la durée du contrat pour transférer vos données vers un concurrent.

Comment savoir si une organisation a subi une fuite de données me concernant?

La Loi 25 oblige les organisations à vous notifier personnellement si une fuite présente un risque sérieux de préjudice à votre égard. Elles doivent aussi signaler l'incident à la CAI. Si vous suspectez une fuite non déclarée, vous pouvez demander à la CAI d'enquêter. Des outils comme haveibeenpwned.com permettent aussi de vérifier si votre courriel apparaît dans des fuites connues.

Aller plus loin

La Loi 25 est un outil, pas une solution complète. Même après avoir fait supprimer vos données d'un courtier, votre activité en ligne continue de générer de nouvelles données. Un VPN chiffre votre trafic et empêche votre fournisseur internet de voir vos habitudes de navigation — une protection que la Loi 25 seule ne peut pas vous donner.

Vos droits Loi 25 :comment les exercer concrètement