Points clés : conformité de l’employeur à la vie privée au Canada
- Loi 25 du Québec pleinement en vigueur depuis septembre 2023 — la loi sur la vie privée la plus stricte au Canada, avec des sanctions alignées sur le RGPD : amendes administratives jusqu’à 10 M$ ou 2 % du chiffre d’affaires mondial (le plus élevé) ; sanctions pénales jusqu’à 25 M$ ou 4 %
- Toute organisation (y compris les petites entreprises) doit désigner un responsable de la protection des renseignements personnels — par défaut le PDG ; nom et coordonnées doivent être publiés sur le site web
- Obligation de notification de violation dans les 30 jours — informer la CAI (Commission d’accès à l’information) et les personnes touchées ; le défaut de notifier constitue une infraction distincte
- EFVP obligatoire pour les transferts transfrontaliers — tout transfert de renseignements personnels hors du Québec exige une évaluation des facteurs relatifs à la vie privée, incluant l’analyse de l’adéquation du pays destinataire
- Le projet de loi fédéral C-27 est mort lors de la prorogation du 6 janvier 2025 — le Canada reste sous la LPRPDE (2000) sans cadre fédéral sur l’IA ; la Loi 25 du Québec est devenue de facto la norme canadienne en matière de conformité
Pourquoi les employeurs doivent reconsidérer la conformité à la vie privée en 2026
Au début de 2025, le paysage réglementaire canadien en matière de vie privée a connu un changement décisif : la prorogation parlementaire du 6 janvier a fait mourir tous les projets de loi à l’étude, y compris la Loi sur la protection de la vie privée des consommateurs (LPVPC) et la Loi sur l’intelligence artificielle et les données (LIAD) — connues ensemble sous le nom de projet de loi C-27. Ce cadre de modernisation longuement attendu, ainsi que l’élection fédérale d’avril 2025, ont été définitivement mis de côté.
L’implication : le Canada en 2026 s’appuie toujours sur la LPRPDE — la loi de l’an 2000 — comme socle fédéral en matière de vie privée. Cette loi vieille de 25 ans a été rédigée avant l’informatique en nuage, l’IA, l’analyse de données massives, la biométrie ou les contrats intelligents. À l’inverse, la Loi 25 du Québec (officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est entrée pleinement en vigueur en septembre 2023 et constitue ce qui se rapproche le plus, au Canada, d’un équivalent du RGPD.
Pour toute entreprise qui embauche au Canada ou traite des données de clients, la réalité pratique est la suivante : la Loi 25 du Québec n’est plus seulement « la loi du Québec » — c’est la norme de facto en conformité au Canada. Si vos opérations touchent un client, employé ou bénéficiaire de service au Québec, la Loi 25 est votre seuil de conformité.
Loi 25 du Québec : « l’équivalent canadien du RGPD »
Cinq obligations fondamentales à connaître
| Obligation | Exigence précise |
|---|---|
| 1. Personne responsable de la protection des RP | Obligatoire pour TOUTES les organisations (sans seuil) ; par défaut le PDG ; nom et coordonnées doivent être publiés sur le site |
| 2. Évaluation des facteurs relatifs à la vie privée (EFVP) | Deux déclencheurs obligatoires : (a) tout nouveau projet TI ou changement majeur impliquant des RP ; (b) tout transfert de RP hors du Québec |
| 3. Consentement éclairé | Exprès, non implicite ; doit préciser chaque finalité particulière ; les personnes peuvent retirer leur consentement en tout temps |
| 4. Notification de violation | Les incidents posant un « risque de préjudice sérieux » doivent être notifiés à la CAI et aux personnes touchées dans les 30 jours ; tenir un registre des incidents (≥5 ans) |
| 5. Transfert transfrontalier | EFVP + analyse de l’adéquation du pays destinataire + entente formelle avec le destinataire + avis aux personnes ; si insuffisant, le transfert est interdit |
Structure des sanctions sous la Loi 25
| Type de sanction | Individu | Entreprise |
|---|---|---|
| Administrative (CAI) | Jusqu’à 50 000 $ | Jusqu’à 10 M$ CAD ou 2 % du CA mondial (le plus élevé) |
| Pénale (violations sérieuses) | Jusqu’à 100 000 $ | Jusqu’à 25 M$ CAD ou 4 % du CA mondial (le plus élevé) |
| Recours civil privé | Les individus peuvent poursuivre directement | Dommages légaux minimum de 1 000 $ (sans preuve de perte réelle) |
Signification pratique du « 2 % du CA mondial » : pour une entreprise de taille moyenne avec 500 M$ de revenus annuels, 2 % = 10 M$, ce qui constitue le plafond ; pour un groupe de 5 G$, 2 % = 100 M$, dépassant largement le plafond. Cette conception double « plafond + pourcentage » garantit que les sanctions font mal peu importe la taille de l’entreprise — entièrement alignée avec le RGPD.
LPRPDE fédérale : portée, lacunes et avenir
Portée de la LPRPDE
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) a été adoptée en 2000 et est entrée pleinement en vigueur en 2004. C’est la loi fédérale canadienne sur la vie privée du secteur privé. Elle s’applique à :
- Les organisations privées qui collectent, utilisent ou divulguent des RP au-delà des frontières provinciales ou internationales
- Les industries de compétence fédérale (banques, télécommunications, aviation, chemins de fer, radiodiffusion)
- Ne s’applique PAS aux : organismes du secteur public (régis par la Loi sur la protection des renseignements personnels) ; renseignements personnels des employés (sauf dans les industries de compétence fédérale)
Exemption clé : si une province a adopté une loi sur la vie privée du secteur privé « essentiellement similaire » (PIPA), la loi provinciale s’applique au lieu de la LPRPDE. C’est pourquoi la Loi 25 du Québec a remplacé la LPRPDE pour la majeure partie de l’activité interne au Québec. L’Alberta et la C.-B. ont également leurs propres lois PIPA.
Les « 10 principes d’information équitable » de la LPRPDE
| Principe | Sens essentiel |
|---|---|
| 1. Responsabilité | Désigner un responsable ; élaborer des politiques |
| 2. Détermination des fins | Préciser les fins avant la collecte |
| 3. Consentement | Obtenir le consentement (exprès ou implicite) |
| 4. Limite de la collecte | Seulement le nécessaire ; moyens légaux |
| 5. Limite d’utilisation, de divulgation, de conservation | Utiliser uniquement aux fins indiquées ; détruire quand non nécessaire |
| 6. Exactitude | Maintenir les renseignements exacts, complets, à jour |
| 7. Mesures de sécurité | Mesures techniques, administratives, physiques raisonnables |
| 8. Transparence | Politique de confidentialité aisément accessible |
| 9. Accès aux RP | Permettre la consultation et la correction |
| 10. Possibilité de porter plainte | Fournir un mécanisme de plainte |
Différences clés : LPRPDE vs. Loi 25
| Dimension | LPRPDE (fédérale) | Loi 25 (Québec) |
|---|---|---|
| Portée | Transfrontalière / industries fédérales | Toutes les organisations du Québec |
| Personne responsable | Recommandée | Obligatoire (incluant les petites entreprises) |
| EFVP | Recommandée | Obligatoire pour nouveaux TI et transfrontalier |
| Notification de violation | « Risque réel de préjudice grave » | « Risque de préjudice sérieux » + délai ferme de 30 jours |
| Norme de consentement | Consentement implicite acceptable | Consentement exprès |
| Portabilité des données | Aucune | Oui (aligné RGPD) |
| Droit à l’effacement | Limité | Explicite |
| Sanction maximale | 100 000 $ | 10 M$–25 M$ ou 2-4 % du CA mondial |
Conformité à la vie privée en contexte d’employeur : limites de la surveillance des employés
Le domaine le plus à risque pour la conformité de l’employeur est la surveillance des employés (utilisation des ordinateurs, courriels, vidéosurveillance, géolocalisation, biométrie). La Loi 25 y prête une attention particulière, avec des contraintes strictes :
Cadre de conformité
- Test de nécessité : la surveillance doit être nécessaire pour atteindre une finalité d’affaires légitime, sans alternative moins intrusive
- Avis exprès : avant que l’employé ne commence à utiliser le système, l’employeur doit divulguer l’existence, la portée, la finalité, les types de données collectées et la période de conservation
- Politique écrite : politique de surveillance documentée dans le manuel de l’employé ; signature de reconnaissance
- Minimisation des données : ne collecter que le nécessaire ; pas de collecte « au cas où »
- Restrictions d’accès : limiter qui peut accéder aux données ; tenir un journal d’audit
- Période de conservation : durée définie ; détruire ou anonymiser à l’expiration
- Examen périodique : au moins annuel — réévaluer la nécessité, la portée et les changements technologiques
Types de surveillance à haut risque et exigences de conformité
| Type de surveillance | Exigences de conformité |
|---|---|
| Journaux d’utilisation des ordinateurs / courriels | Avis exprès + politique écrite + restreindre l’examen profond du contenu |
| Vidéosurveillance (zones de bureau) | Avis exprès + affichage + zones restreintes (pas de salles de pause, toilettes, vestiaires) |
| GPS / suivi de véhicule | Seuil de nécessité élevé + heures de travail uniquement + notification de l’employé |
| Présence biométrique (empreinte, faciale) | Seuil le plus élevé : doit servir à la sécurité/authentification ; alternative non biométrique requise ; consentement exprès |
| Logiciel de surveillance du télétravail | Seuil le plus élevé : consentement exprès ; notification en temps réel ; désactivation hors heures ; restreindre captures d’écran et frappe |
Questions et réponses pratiques
Q1 : Je dirige une entreprise de 5 personnes — ai-je vraiment besoin d’un responsable formel de la protection des RP ?
Oui. La Loi 25 impose un responsable de la protection des RP à toutes les organisations, peu importe la taille — il n’y a aucune exemption fondée sur l’effectif. Dans une petite entreprise, ce rôle revient typiquement par défaut au PDG/fondateur. Mais vous devez : (1) publier publiquement le nom et les coordonnées sur le site web ; (2) vous assurer que cette personne comprend et applique les politiques ; (3) agir comme point de contact CAI.
Q2 : Mes données client sont sur des serveurs AWS aux États-Unis. Cela déclenche-t-il les règles de transfert transfrontalier de la Loi 25 ?
Oui. Tout stockage ou traitement de RP qui sort du Québec (y compris les services en nuage avec serveurs physiques hors Québec) constitue un transfert transfrontalier. Vous devez : (1) effectuer une EFVP évaluant le niveau de protection du pays destinataire (États-Unis) ; (2) signer une entente de traitement de données (DPA) formelle avec AWS ; (3) informer les personnes que leurs données seront stockées hors du Québec.
Q3 : Un employé me poursuit en alléguant la surveillance de son courriel personnel. La poursuite tiendra-t-elle ?
Cela dépend si la surveillance respecte trois exigences : nécessité, avis exprès, politique écrite. Si vous (a) avez un manuel de l’employé écrit avec une politique de surveillance explicite, (b) les employés ont signé une reconnaissance, (c) la portée de la surveillance est raisonnable et liée à une finalité d’affaires — vous êtes probablement conforme. Mais s’il n’y a pas eu d’avis ou si la surveillance excède la finalité déclarée (p. ex. lecture de conversations personnelles), vous avez très probablement un délit civil de violation de la vie privée, et l’employé peut réclamer des dommages moraux et punitifs.
Q4 : En cas de violation, dois-je immédiatement notifier tous les clients ?
Uniquement si l’incident pose un « risque de préjudice sérieux ». Procédure : (1) évaluer immédiatement la portée, la sensibilité, le nombre de personnes touchées, le préjudice potentiel ; (2) notifier la CAI dans les 30 jours (même si l’évaluation est en cours) ; (3) notifier simultanément les personnes touchées, avec faits concrets et conseils d’atténuation ; (4) tenir un registre : TOUS les incidents (y compris ceux sous le seuil de notification) doivent être consignés et conservés au moins 5 ans. Construisez un modèle d’intervention dès maintenant pour pouvoir activer le jour même.
Feuille de route pratique 2026
| Phase | Action |
|---|---|
| Jour 1 : fondation | Désigner le responsable ; publier sur le site web ; bâtir l’inventaire interne des données |
| Mois 1 : cadre politique | Rédiger politique de confidentialité, politique de conservation, politique de surveillance, plan d’intervention en cas de violation |
| Mois 2–3 : conformité des employés | Mettre à jour le manuel de l’employé ; obtenir les reconnaissances ; former le personnel clé |
| Mois 3 : conformité technique | EFVP des systèmes existants ; évaluer les transferts transfrontaliers ; signer des DPA avec tous les sous-traitants |
| Mois 6 : audit | Audit externe de la vie privée ; exercice de violation simulée ; affiner le processus d’intervention |
| Continu | Examen annuel des politiques ; EFVP avant la mise en service de tout nouveau système TI ; suivre les actions d’application de la CAI et les mises à jour de directives |
Position de SiLaw : dans le vide réglementaire, des standards plus élevés signifient un risque plus faible
La réglementation canadienne sur la vie privée en 2026 se trouve dans un état inhabituel : aucune nouvelle loi fédérale (le projet C-27 est mort), la loi la plus stricte au niveau provincial (Loi 25 du Québec = équivalent RGPD), et les autres provinces en transition. Dans ce paysage, « construire au standard le plus élevé » est paradoxalement la stratégie la moins risquée — parce que : (1) les normes de la Loi 25 servent de base aux autres provinces ; (2) le Canada finira par adopter une nouvelle loi fédérale, et les standards ne feront que monter ; (3) les attentes des employés et des clients convergent vers les normes du RGPD ; (4) les clients transfrontaliers (notamment européens ou californiens CCPA) exigeront au minimum une conformité équivalente au RGPD. Considérez les exigences de la Loi 25 comme une infrastructure pour l’ensemble de votre activité canadienne — non comme « une nuisance propre au Québec ». C’est l’investissement de conformité le plus rentable en 2026.
Références
1. Loi 25 – Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Québec)
2. LPRPDE – Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, c.5
3. CAI – Commission d’accès à l’information du Québec : cai.gouv.qc.ca
4. CPVP – Commissariat à la protection de la vie privée du Canada : priv.gc.ca
5. Statut de la prorogation du projet de loi C-27 (janvier 2025) : fasken.com/en/knowledge/2025/01/prorogations-digital-impact
6. Régime d’application de la Loi 25 : osler.com/en/insights/updates/law-25-a-new-enforcement-scheme
7. Comparaison Loi 25 vs RGPD : mondaq.com/canada/privacy-protection/1228870
8. Règles de transfert transfrontalier du Québec sous la Loi 25 : gowlingwlg.com
9. Vie privée au travail et surveillance des employés : cai.gouv.qc.ca/employeurs
10. Exigences de notification des violations LPRPDE : priv.gc.ca/breach
Avertissement : cet article fournit des informations générales uniquement et ne constitue pas un avis juridique. Consultez un avocat membre du Barreau pour votre situation spécifique.
📚 Navigation Job-S5 — Conformité opérationnelle de l’employeur
- S5-1 : Clauses obligatoires du contrat de travail — Alerte Waksdale et comparaison des quatre provinces
- S5-2 : Première embauche en sept étapes — Conformité paie ARC et responsabilité des administrateurs
- S5-3 : Santé et sécurité au travail (SST) — Obligations de l’employeur dans les quatre provinces
- S5-4 : Inscription à l’AT — Guide complet WSIB / CNESST / WorkSafeBC / WCB
- S5-5 : Liste de conformité Loi 96 du Québec — seuil de 25 employés en vigueur
- S5-6 (cet article) : Loi 25 et LPRPDE — obligations du responsable de la protection des renseignements personnels
- Sommaire de la série : Job-S5 Conformité opérationnelle de l’employeur — parcours complet
