Entrée en vigueur de la loi 25 : une bonne chose pour les entreprises?

Par: Jean-François Latreille
Avocat, associé principal | Dubé Latreille Avocats Inc.

Entrée en vigueur de la loi 25 : une bonne chose pour les entreprises?

Ces dernières semaines, la Loi 25 a généré beaucoup d’intérêt sur les réseaux sociaux et dans les cercles d’affaires de la Belle Province… et pour cause! En effet, une partie de ses dispositions entrent en vigueur dès aujourd’hui (le 22 septembre 2022) – parmi lesquelles on retrouve l’obligation de désigner un Responsable de la protection des renseignements personnels[1] – ce qui soulève déjà auprès des entreprises des enjeux de conformité.


Il faut rappeler que la Loi 25, intitulée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a eu l’effet d’une onde de choc dans l’écosystème numérique québécois lorsqu’elle a été adoptée en septembre 2021 puisque dorénavant les entreprises allaient devoir faire preuve de transparence (!) et agir de manière responsable dans leur gestion et protection des renseignements personnels sous peine de sanctions financières sévères. Rien de tel pour retenir l’attention des dirigeants et des conseils d’administration! Or, considérant les modifications et les ressources substantielles qui devront être consacrées pour satisfaire à ces nouvelles exigences, la Loi 25 est-elle une bonne chose pour les entreprises du Québec?

Dans un premier temps, il faut reconnaître que les lois du Québec en matière de protection des renseignements personnels avaient grandement besoin d’être révisées et actualisées pour répondre aux nouveaux enjeux soulevés par l’essor extraordinaire des nouvelles technologies. En effet, la désuétude de la législation en vigueur faisait en sorte que les autorités québécoises étaient incapables d’encadrer efficacement la gestion et la protection des renseignements personnels faute de moyens coercitifs. Ces lacunes profondes ont d’ailleurs entraîné un laxisme généralisé et des abus de la part des organisations au détriment des individus dont le droit à la vie privée était et continue à être malmené. 

D’autre part, il y a le fléau de la cyber-criminalité, soit un phénomène planétaire en pleine croissance. Considérant la quasi-totale impunité dont jouissent les pirates et le rapport coût-bénéfice que leur procure cette activité illicite, ce problème risque de perdurer[2] et de continuer à faire des ravages ainsi que nous le rappelle presque quotidiennement l’actualité (voir les incidents récents suivants : UPA[3], Collège Montmorency[4], BRB (Bombardier)[5], la chaîne hôtelière IHG[6] (chaîne Holiday Inn), Uber[7], Bell Solutions[8], Ville de Laval[9], etc.).

Or, ces cyber-attaques entraînent très souvent la compromission de milliers de fichiers comportant des renseignements personnels. Sans surprise, ces incidents entraînent des troubles et inconvénients importants chez les victimes (atteintes à la vie privée, fraude, etc.), ce qui se traduit par une perte de confiance importante envers les entreprises et institutions. 

C’est pourquoi les gouvernements de diverses juridictions, aux prises avec les mêmes problèmes, ont été amenés à revoir leurs politiques et réglementation pour remédier à la situation. L’Europe, à cet égard, a pris les devants avec l’adoption de son remarquable Règlement général sur la protection des données («RGPD») qui, depuis 2018, influence considérablement les réformes législatives dans le domaine (la Loi 25 s’en inspire largement) et le commerce international (par exemple à l’égard du flux de données transfrontaliers). En fait, le RGPD a façonné à l’échelle internationale l’émergence d’un mouvement grandissant suivant lequel les entreprises doivent souscrire à certaines normes de conformité en matière de protection des renseignements personnels pour pouvoir échanger des données d’un marché à l’autre[10]. Par effet d’entraînement, l’influence de ce mouvement se reflète de plus en plus dans la règlementation interne de certains États comme c’est le cas au Canada (Loi 25, Projet de loi C-27 au fédéral, etc.). 

Vu ce qui précède, la Loi 25, il est vrai, va nécessiter des transformations substantielles de la part des entreprises en matière de gestion et protection des renseignements personnels. Par contre, pour les motifs récités, ce changement était nécessaire et, ultimement, inévitable. En effet, l’intervention du gouvernement était indispensable pour mettre fins aux mauvaises pratiques qui avaient libre cours. 

D’autre part, en dotant le Québec en premier de nouvelles normes qui s’inspirent du modèle européen pour rejoindre la tendance internationale, les entreprises québécoises bénéficieront d’une longueur d’avance sur les autres juridictions canadiennes, ce qui pourrait leur conférer un avantage concurrentiel significatif. 

Finalement, même si la Loi 25 doit encore faire ses preuves devant la Commission d’accès à l’information (CAI) et les tribunaux, celle-ci devrait être perçue par les entreprises comme une opportunité de revoir leurs façons de faire pour protéger toutes les données qu’elles détiennent (ce qui inclut la propriété intellectuelle, secrets commerciaux, données confidentielles, etc.) et aussi afin de se préparer à la survenance éventuelle d’un cyber-incident pour minimiser leurs risques. 

Entre-temps, il ne faut pas tarder à amorcer les changements qu’impose la Loi 25 pour se conformer. En effet, comme la plupart des modalités de la loi entrent en vigueur le 22 septembre 2023 (incluant les sanctions administratives et pénales), le compte à rebours est déjà commencé. Au travail!


1 – À défaut de ce faire, la plus haute autorité de l’organisation concernée devra répondre des obligations de la loi (art. 103, Loi 25). 
2 – Du moins tant que la sécurité de l’information ne sera pas intégrée (built-in) et reléguée aux utilisateurs (end users).
3 – https://lp.ca/wuUlAw?sharing=true
4 – https://www.lapresse.ca/actualites/enquetes/2022-09-08/cyberattaque-au-college-montmorency/une-foule-de-donnees-sensibles-sur-le-dark-web.php
5 – https://ici.radio-canada.ca/nouvelle/1907531/brp-reactions-cyberattaque-impacts
6 – https://www-bbc-com.cdn.ampproject.org/c/s/www.bbc.com/news/technology-62937678.amp
7 – https://www.securityweek.com/serious-breach-uber-spotlights-hacker-social-deception?utm_source=dlvr.it&utm_medium=linkedin
8 – https://www.lapresse.ca/affaires/entreprises/2022-09-16/a-la-suite-d-une-attaque-informatique/fuite-de-donnees-chez-bell-solutions-techniques.php
9 – https://www.lapresse.ca/actualites/2022-09-15/la-ville-de-laval-victime-d-une-attaque-informatique.php
10 – Voir l’exemple éloquent de l’arrêt SHREMS II (16 juillet 2020) de la Cour de justice de l’Union Européenne qui a invalidé un processus de certification automatique pour le transfert de données européennes vers les États-Unis au motif que ledit processus (Privacy Shield) ne respectait pas les normes de protection européennes;  https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue

Jean-François Latreille

Avocat, associé principal | Dubé Latreille Avocats Inc.

Ces articles pourraient vous intéresser

Soutenir l'humain face aux données. Un défi colossal !

Lire la suite

LPR Technologies : des solutions adaptées à vos défis

Lire la suite

Services juridiques et
conformité à la Loi 64

Gestion de la réputation et communication de crise

Technologies de l'information

Cyberenquêtes et tests d’intrusion

Gestion des données personnelles

Formation en prévention des
fraudes et en cybersécurité