Obligations en vigueur depuis septembre 2022

Désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Internet de l’organisation ou d’une autre manière si elle n’en a pas.


En cas d’incident de confidentialité impliquant des renseignements personnels :

  • Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice ne soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent.
  • Aviser la Commission d’accès à l’information du Québec et la personne concernée si l’incident présente un risque de préjudice sérieux.
  • Tenir un registre de tous les incidents dont une copie pourra être transmise à la Commission d’accès à l’information du Québec à sa demande.

Respecter le nouvel encadrement applicable de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’études, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale.


Évaluer les facteurs relatifs à la vie privée avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques.


Divulguer préalablement à la Commission d’accès à l’information du Québec la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques.


Les modifications apportées par la Loi 25 entreront progressivement en vigueur jusqu’en 2024. Prochaine étape ; septembre 2023.


Ce contenu est tiré de Aide-mémoire : résumé des nouvelles obligations des entreprises  publié par la Commission d’accès à l’information du Québec.

Note : Ce résumé ne tient pas compte des spécificités propres à chaque organisation.