Ce que la Loi 25 du Québec exige réellement

La Loi 25 modifie la loi existante sur la protection des renseignements personnels dans le secteur privé au Québec (Act Respecting the Protection of Personal Information in the Private Sector) et la rapproche du GDPR européen tout en conservant des caractéristiques distinctement canadiennes. Les exigences essentielles qui touchent les éditeurs et les opérateurs numériques sont :

• Un consentement explicite et granulaire avant de collecter ou d'utiliser des renseignements personnels à toute fin allant au-delà de celle initialement divulguée.
• Un responsable de la protection de la vie privée désigné (le cadre supérieur par défaut, sauf délégation formelle) dont le nom et les coordonnées doivent être publiés sur le site Web.
• Des évaluations des facteurs relatifs à la vie privée (EFVP / PIA) obligatoires avant le lancement de tout projet impliquant des renseignements personnels, en particulier les transferts transfrontaliers ou les nouvelles technologies.
• Une notification de violation à la Commission d'accès à l'information (CAI) et aux personnes touchées lorsque la violation présente un risque de préjudice grave.
• Des droits individuels incluant l'accès, la rectification, la suppression, la portabilité et — de manière unique — le droit d'être informé de la prise de décision automatisée et de demander une révision humaine.

L'organisme d'application est la Commission d'accès à l'information du Québec (CAI), qui a émis des avis d'enquête formels à plusieurs éditeurs et plateformes internationaux tout au long de 2025. Contrairement à certains régulateurs, la CAI a montré sa volonté de poursuivre des entités non canadiennes qui desservent les résidents du Québec.

Les spécificités du consentement aux cookies : plus strictes que le GDPR dans des domaines clés

La Loi 25 n'utilise pas directement le mot « cookie », mais sa définition de la technologie qui identifie, localise ou profile un individu englobe les cookies, les pixels, le fingerprinting et les identifiants mobiles basés sur SDK. L'article 8.1 est la disposition critique : toute technologie de ce type qui est activée par défaut doit être désactivée par défaut et nécessite un consentement actif pour être activée.

Ni cases pré-cochées, ni consentement implicite

Ce libellé est plus strict que le cadre ePrivacy du GDPR sur un point précis : non seulement le consentement doit être opt-in, mais la technologie sous-jacente doit être techniquement désactivée jusqu'à ce que le consentement soit donné. Une bannière de cookies qui charge des outils analytiques avant que l'utilisateur ne clique sur accepter viole la Loi 25, même si la bannière elle-même est techniquement correcte. Les éditeurs doivent implémenter un véritable chargement conditionnel de scripts lié au consentement, similaire au mode avancé de Google Consent Mode v2 — le mode de base est généralement insuffisant.

La personnalisation basée sur les profils nécessite un consentement distinct

Si vous utilisez des cookies pour créer un profil utilisateur à des fins de publicité personnalisée, la Loi 25 traite cela comme un objectif distinct nécessitant sa propre couche de consentement, en plus du consentement de base pour le dépôt de cookies. Un seul bouton « tout accepter » qui regroupe le stockage, l'analyse et la personnalisation est à risque — le régulateur québécois a signalé une préférence pour des boutons granulaires par objectif.

Transferts transfrontaliers : l'exigence de PIA

Le Québec est la seule province canadienne qui exige une évaluation des facteurs relatifs à la vie privée formelle avant de transférer des renseignements personnels hors du Québec — y compris vers le reste du Canada, les États-Unis et les centres de données européens. La PIA doit évaluer :

• La sensibilité des données concernées.
• La finalité et la nécessité du transfert.
• Le cadre juridique de la juridiction de destination.
• Les garanties contractuelles et techniques en place.

Pour les éditeurs, cela concerne le plus souvent les outils analytiques, la gestion des balises, les journaux CDN et les données de serveur publicitaire transitant vers une infrastructure américaine. Une PIA d'adéquation québécoise ne bloque pas ces transferts, mais exige une évaluation documentée et — point critique — une confirmation écrite de la partie destinataire attestant que les données seront protégées selon des principes équivalents. Les contrats SaaS standards hébergés aux États-Unis incluent rarement ce libellé par défaut et doivent être modifiés.

Les avis de prise de décision automatisée

L'article 12.1 de la Loi 25 est unique en droit nord-américain : si une entreprise utilise des renseignements personnels pour prendre une décision fondée exclusivement sur un traitement automatisé, elle doit :

• Informer l'individu au moment ou avant que la décision ne soit prise.
• Sur demande, expliquer les renseignements personnels utilisés, les raisons et les principaux facteurs ayant conduit à la décision.
• Donner la possibilité de soumettre des observations à un réviseur humain.

Pour l'adtech, cela englobe les décisions programmatiques sur les demandes d'enchères, la tarification dynamique, la notation de la fraude et tout classement de contenu assisté par AI. Les éditeurs contrôlent rarement ces algorithmes directement — ils s'appuient sur des SSP et des DSP — mais la Loi 25 traite l'éditeur comme une partie conjointement responsable lorsque la décision utilise des données collectées par l'éditeur. L'ajout d'une courte divulgation sur la décision automatisée dans votre avis de confidentialité constitue l'étape de conformité minimale viable.

Liste de contrôle pratique pour la conformité en 2026

Étape 1 : cartographier le trafic québécois et les flux de données

Utilisez la géolocalisation IP dans vos outils analytiques pour estimer le volume de visiteurs québécois. Même si le Québec représente moins de 5 % de votre audience, la pénalité de 4 % du chiffre d'affaires rend son ignorance disproportionnellement risquée. Cartographiez chaque cookie, pixel et SDK qui se déclenche pour les utilisateurs québécois et l'endroit où ses données aboutissent.

Étape 2 : déployer une CMP à consentement conditionnel

Votre CMP doit prendre en charge un blocage véritable au niveau des scripts, et non un simple rejet cosmétique de bannière. FlexyConsent et d'autres CMP certifiés Google proposent des règles géographiques spécifiques au Québec qui associent la logique de la Loi 25 aux signaux Consent Mode v2 et GPP US-national plus larges. Le mode Québec préconfiguré devrait mettre toutes les catégories non essentielles à « off » par défaut.

Étape 3 : nommer et publier un responsable de la protection de la vie privée

Si votre organisation n'a pas de présence canadienne, votre PDG ou équivalent est le responsable de la protection de la vie privée par défaut, sauf délégation formelle par écrit. Publiez le nom et l'adresse électronique dans votre avis de confidentialité — la CAI vérifie cela dès la première inspection.

Étape 4 : réaliser une PIA avant tout nouveau projet

Chaque nouveau fournisseur, chaque nouveau transfert transfrontalier, chaque nouvelle technologie de suivi nécessite une PIA documentée. Les PIA modèles de la CAI sont acceptées ; vous n'avez pas besoin d'un avis juridique personnalisé pour les contrats analytiques courants ou CDN.

Étape 5 : mettre à jour votre avis de confidentialité

Le Québec exige des divulgations spécifiques : les coordonnées du responsable de la protection de la vie privée, les catégories de renseignements personnels collectés, les périodes de conservation, les destinataires tiers, les destinations des transferts transfrontaliers et les pratiques de décision automatisée. Un avis GDPR générique ne satisfait presque jamais la Loi 25 sans ajouts substantiels.

Interaction de la Loi 25 du Québec avec la LPRPDE et l'avenir de la Loi 25

La LPRPDE (PIPEDA), la loi fédérale canadienne sur la protection de la vie privée, s'applique aux activités commerciales partout au Canada — mais la Loi 25 du Québec a préséance au Québec parce que la province a été déclarée substantiellement similaire aux fins de la protection de la vie privée dans le secteur privé. En pratique, cela signifie que les opérations au Québec relèvent par défaut de la Loi 25 et que la LPRPDE ne s'applique qu'aux activités qui franchissent les frontières provinciales.

Le Canada modernise également la LPRPDE à travers la Consumer Privacy Protection Act (CPPA) proposée. Si le CPPA est adopté sous sa forme actuelle, il rapprochera le reste du Canada du modèle québécois — consentement explicite, pénalités significatives, un commissaire fédéral à la protection de la vie privée avec pouvoir de rendre des ordonnances, et transparence de la décision automatisée. Les éditeurs qui construisent leur infrastructure autour de la Loi 25 du Québec aujourd'hui seront bien positionnés pour les changements fédéraux de demain.

En résumé : la Loi 25 du Québec n'est pas une curiosité provinciale. C'est le modèle qui indique la direction que prend la protection de la vie privée au Canada et le régime de confidentialité le plus agressif des Amériques. Les éditeurs, annonceurs et fournisseurs SaaS desservant le trafic canadien devraient traiter la conformité à la Loi 25 comme une priorité pour 2026, et non comme un projet futur.