Loi 25 du Québec — Vos droits à la vie privée, expliqués

💡 Pourquoi c'est sur un site de navigation? Naviguer.ca couvre la navigation au sens large — sur l'eau et en ligne. Quand vous achetez un bateau usagé sur Kijiji, que vous réservez une place de marina en ligne ou que vous payez une assurance bateau, vos données personnelles circulent. La Loi 25 vous protège dans toutes ces transactions.

Ce que la Loi 25 vous donne (et que la PIPEDA ne donne pas)

La PIPEDA, c'est la loi fédérale sur la vie privée. Elle date de l'an 2000 et n'a jamais été sérieusement mise à jour. Le projet de loi C-27 qui devait la remplacer est mort en janvier 2025 quand le Parlement a été dissous.

La Loi 25, elle, est moderne. Voici ce qu'elle change pour vous.

Droit	PIPEDA (fédéral)	Loi 25 (Québec) ✅
Effacement de vos données	Pas explicite ❌	Oui — droit à la désindexation ✓
Consentement pour les cookies	Implicite souvent accepté	Consentement explicite obligatoire ✓
Portabilité des données	Non ❌	Oui — format structuré ✓
Amendes maximales	100 000 $ ⚠️	25 000 000 $ ou 4% du CA ✓
Notification de fuite	72 heures (OPC)	Rapide + CAI + individus ✓
Évaluation d'impact vie privée	Pas obligatoire	Obligatoire pour les projets à risque ✓
Responsable vie privée	Pas obligatoire	Obligatoire — coordonnées publiques ✓

Vos 5 droits concrets sous la Loi 25

Droit d'accès — savoir ce qu'on a sur vous

Toute entreprise qui fait affaire au Québec doit vous dire quelles données personnelles elle détient à votre sujet. Ça inclut votre marina, votre courtier d'assurance, votre concessionnaire de bateaux — pas juste les géants tech.

Vous faites une demande écrite. L'entreprise a 30 jours pour répondre. C'est gratuit.

Droit de rectification — corriger les erreurs

Si une entreprise a des informations inexactes sur vous, vous pouvez exiger la correction. Utile quand un registre de marina ou un dossier d'assurance contient des erreurs qui pourraient affecter votre couverture ou vos tarifs.

Droit à la désindexation — disparaître des moteurs de recherche

C'est le « droit à l'oubli » version québécoise. Vous pouvez demander qu'un lien vers vos renseignements personnels soit retiré des résultats de recherche. Le reste du Canada n'a pas ce droit.

Ça ne veut pas dire que l'information disparaît d'internet — mais elle ne sort plus quand quelqu'un vous Google.

Droit à la portabilité — récupérer vos données

Vous pouvez demander une copie de vos données dans un format structuré et couramment utilisé (CSV, JSON, etc.). Pratique si vous changez de fournisseur de service ou si vous voulez simplement savoir ce qu'une entreprise a accumulé au fil des ans.

Droit de retrait du consentement — dire non après coup

Vous avez cliqué « accepter » sans lire? Sous la Loi 25, vous pouvez retirer votre consentement à tout moment. L'entreprise doit cesser d'utiliser vos données pour le but concerné.

Comment exercer vos droits — guide étape par étape

⚠️ La réalité : La majorité des entreprises québécoises ne rendent pas la chose facile. Beaucoup n'ont même pas encore de formulaire de demande en ligne. Vous devrez souvent envoyer un courriel au responsable de la protection des renseignements personnels — et oui, ils doivent maintenant en avoir un, avec ses coordonnées publiées sur leur site web.

Pour une demande d'accès ou d'effacement

Trouvez le responsable de la vie privée sur le site web de l'entreprise (souvent dans la politique de confidentialité ou en bas de page)
Envoyez un courriel avec votre nom complet, une pièce d'identité si demandée, et précisez votre demande (accès, rectification, effacement, portabilité)
L'entreprise a 30 jours pour répondre
Si elle refuse ou ne répond pas : plainte à la Commission d'accès à l'information (CAI) du Québec — cai.gouv.qc.ca

Exemple de courriel type

    Objet : Demande d'accès à mes renseignements personnels — Loi 25

    Bonjour,

    En vertu de la Loi 25 sur la protection des renseignements personnels dans le secteur privé du Québec, je demande l'accès à l'ensemble des renseignements personnels que votre organisation détient à mon sujet.

    Nom : [votre nom]

    Courriel associé au compte : [votre courriel]

    Numéro de client (si applicable) : [numéro]

    Je vous prie de me répondre dans le délai de 30 jours prévu par la loi.

    Cordialement,

    [Votre nom]

Le consentement aux cookies a changé

Avant la Loi 25, la plupart des sites québécois ne demandaient même pas votre accord pour les cookies. La bannière « En continuant à naviguer, vous acceptez… » suffisait.

C'est fini. Le consentement doit être :

✅

Libre

Pas de dark patterns. Refuser doit être aussi facile qu'accepter. Les boutons « Tout accepter » en gros et « Gérer les préférences » en petit? Techniquement non conforme.

✅

Éclairé

L'entreprise doit vous dire clairement pourquoi elle collecte vos données, à qui elle les partage, et combien de temps elle les garde. En langage simple.

✅

Spécifique

Un consentement par finalité. Accepter les cookies analytiques ne veut pas dire accepter les cookies publicitaires. Chaque usage doit être séparé.

Les amendes sont sérieuses

La PIPEDA fédérale peut imposer des amendes de 100 000 $. C'est une blague pour une entreprise de taille moyenne.

La Loi 25 prévoit des amendes allant jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial — le plus élevé des deux. C'est le même barème que le RGPD européen.

En pratique, la CAI n'a pas encore imposé d'amende à ce niveau. Mais les premières enquêtes sont en cours, et le simple fait que ces montants existent change le calcul pour les entreprises québécoises. Protéger vos données coûte maintenant moins cher que de ne pas le faire.

Ce que la Loi 25 ne fait pas

Soyons honnêtes sur les limites.

Elle ne s'applique qu'au Québec. Si vous achetez un bateau en Ontario via un vendeur ontarien, c'est la PIPEDA qui s'applique — beaucoup plus faible.
Elle ne bloque pas la Loi CLOUD américaine. Même si vos données sont au Québec, si elles sont chez Google ou Microsoft, le gouvernement américain peut y accéder. On en parle dans notre article sur la Loi CLOUD et vos données.
L'application est encore jeune. La CAI a les pouvoirs mais pas encore l'historique de jurisprudence. Ça va prendre quelques années avant que les entreprises prennent les demandes au sérieux systématiquement.
Votre fournisseur internet n'est pas couvert de la même façon. Rogers, Bell et Telus sont des entreprises fédérales — c'est la PIPEDA qui les régit, pas la Loi 25. On a un guide séparé sur ce que les télécoms savent sur vous.

FAQ — Loi 25 du Québec

La Loi 25 s'applique-t-elle aux petites entreprises?

Oui. Contrairement à ce que beaucoup pensent, la Loi 25 s'applique à toute entreprise qui collecte des renseignements personnels au Québec, peu importe sa taille. Votre marina locale, votre courtier d'assurance, votre mécanicien nautique — tous sont couverts.

Quelle est la différence avec le RGPD européen?

La Loi 25 s'inspire fortement du RGPD mais reste distincte. Les deux prévoient le consentement explicite, le droit à l'effacement et des amendes sévères. La principale différence : le RGPD a une portée extraterritoriale plus large et une jurisprudence de 8 ans. La Loi 25 est plus jeune et la CAI moins agressive que les autorités européennes — pour l'instant.

Je vis en Ontario mais j'achète d'un vendeur québécois. La Loi 25 s'applique?

Oui, si le vendeur est basé au Québec et collecte vos renseignements au Québec. C'est le lieu de l'entreprise qui compte, pas votre province de résidence. Si vous achetez un bateau usagé d'un vendeur de Montréal, vos données sont protégées par la Loi 25.

Comment savoir si un site web est conforme à la Loi 25?

Quelques indices : une bannière de cookies avec un vrai bouton « Refuser » (pas juste « Tout accepter »), une politique de confidentialité à jour qui nomme un responsable de la vie privée avec ses coordonnées, et la possibilité de retirer votre consentement. Si rien de ça n'est visible, l'entreprise est probablement non conforme.

⚖️ Loi 25 du Québec : vos droits à la vie privée