Conformité données : Loi 25, LPRPDE, CCPA, LGPD
Guide complet sur la conformité données personnelles au Canada et à l'échelle mondiale : Loi 25, LPRPDE, CCPA, LGPD, POPIA.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokLa protection des renseignements personnels n'est plus une obligation purement européenne. Au 1er janvier 2026, 137 pays disposaient d'une législation nationale sur la protection des données. Pour les compagnies canadiennes qui traitent des données de clients brésiliens, sud-africains, californiens ou européens, la conformité à la Loi 25 du Québec et à la LPRPDE n'est qu'un point de départ.
Ce guide compare les principaux cadres réglementaires, identifie les points de convergence et les divergences majeures, et propose un cadre opérationnel pour les compagnies exposées à plusieurs juridictions simultanément.
Cet article est fourni à titre informatif uniquement et ne constituent pas un conseil juridique, financier ou réglementaire.
Tableau comparatif : Loi 25, LPRPDE, RGPD, CCPA et LGPD
| Loi | Juridiction | Principaux droits | Amendes maximales | Autorité de contrôle |
|---|---|---|---|---|
| Loi 25 | Québec | Accès, rectification, effacement, portabilité, désindexation | 25 millions CAD ou 4 % du CA mondial | CAI (Commission d'accès à l'information) |
| LPRPDE | Canada (fédéral) | Accès, rectification, contestation de la conformité | 100 000 CAD par infraction | Commissariat à la protection de la vie privée |
| RGPD | Union européenne | Accès, rectification, effacement, portabilité, opposition | 20 millions EUR ou 4 % du CA mondial | CNIL, EDPB |
| CCPA/CPRA | Californie | Savoir, supprimer, refuser la vente, corriger | 7 500 USD par violation intentionnelle | CPPA |
| LGPD | Brésil | Accès, correction, anonymisation, portabilité, effacement | 2 % du CA brésilien, max 50 M BRL | ANPD |
Loi 25 du Québec : le cadre de référence québécois
La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est entrée pleinement en vigueur en septembre 2024. Elle s'applique à toute organisation qui collecte, utilise ou communique des renseignements personnels au Québec.
Les données internes CheckFile, issues de l'analyse de plus de 2,4 millions de documents, montrent que la classification automatique atteint 96,1 % de précision, réduisant de 83 % le temps de traitement par dossier.
La Commission d'accès à l'information du Québec (CAI) est l'autorité de contrôle. Les amendes peuvent atteindre 25 millions CAD ou 4 % du chiffre d'affaires mondial (CAI — Loi 25).
Les obligations clés incluent : la nomination d'un responsable de la protection des renseignements personnels, la réalisation d'évaluations des facteurs relatifs à la vie privée (EFVP), la notification des incidents de confidentialité, et le droit à la portabilité des données.
LPRPDE : la loi fédérale canadienne
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s'applique aux organisations du secteur privé dans l'ensemble du Canada pour les activités commerciales. Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé s'applique en lieu de la LPRPDE pour les activités intraprovinciales, car le Québec a été reconnu comme ayant une législation essentiellement similaire (Commissariat à la protection de la vie privée du Canada).
Le Commissariat à la protection de la vie privée du Canada supervise l'application de la LPRPDE. Il peut mener des enquêtes, formuler des recommandations et renvoyer des affaires à la Cour fédérale. Les amendes actuelles demeurent relativement modestes (jusqu'à 100 000 CAD par infraction), mais le projet de loi C-27 prévoit de les augmenter considérablement.
Le projet de loi C-27 (Loi sur la mise en œuvre de la Charte numérique) vise à remplacer la LPRPDE par la Loi sur la protection de la vie privée des consommateurs (LPVPC), qui renforcerait les sanctions et les droits des personnes. Les sanctions pourraient atteindre 10 millions CAD ou 3 % du chiffre d'affaires mondial pour les violations administratives, et 25 millions CAD ou 5 % du chiffre d'affaires mondial pour les infractions les plus graves. Les compagnies canadiennes doivent suivre de près l'évolution de ce projet de loi pour anticiper les nouvelles exigences.
Les dix principes de la LPRPDE
La LPRPDE repose sur dix principes relatifs à l'équité dans le traitement de l'information, tirés du Code type de la CSA sur la protection des renseignements personnels :
- Responsabilité : l'organisation est responsable des renseignements personnels dont elle a la gestion
- Détermination des fins : les fins de la collecte doivent être déterminées avant ou au moment de la collecte
- Consentement : toute personne doit être informée de la collecte et y consentir
- Limitation de la collecte : seuls les renseignements nécessaires aux fins déterminées sont collectés
- Limitation de l'utilisation, de la communication et de la conservation : les renseignements ne sont utilisés que pour les fins déterminées
- Exactitude : les renseignements doivent être aussi exacts et à jour que nécessaire
- Mesures de sécurité : protection par des mesures proportionnées au degré de sensibilité
- Transparence : les politiques et pratiques doivent être accessibles
- Accès aux renseignements personnels : toute personne peut consulter les renseignements la concernant
- Contestation : toute personne peut contester la conformité de l'organisation
Approfondir le sujet
Découvrez nos guides pratiques et ressources pour maîtriser la conformité documentaire.
Explorer nos guidesCCPA/CPRA : la loi californienne et son rayonnement
Le California Consumer Privacy Act (CCPA), substantiellement renforcé par le California Privacy Rights Act (CPRA) en janvier 2023, s'applique aux compagnies qui font affaire avec des résidents californiens et remplissent au moins l'un de ces critères : chiffre d'affaires annuel supérieur à 25 millions USD, traitement des données de plus de 100 000 consommateurs, ou réalisation de plus de 50 % du chiffre d'affaires par la vente de données personnelles.
Contrairement à la Loi 25 et au RGPD, le CCPA/CPRA s'articule autour d'un droit de refus (opt-out) plutôt que d'un consentement préalable (opt-in). La California Privacy Protection Agency (CPPA) peut infliger des amendes allant jusqu'à 7 500 USD par violation intentionnelle.
Les compagnies canadiennes exportant vers les États-Unis ou disposant de filiales californiennes doivent cartographier les flux de données croisés entre leur conformité Loi 25/LPRPDE et les exigences CCPA/CPRA.
LGPD : la loi brésilienne
La Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018) est entrée en vigueur en septembre 2020. Elle s'applique à tout traitement de données réalisé sur le territoire brésilien ou à destination de personnes situées au Brésil. L'ANPD peut imposer des amendes allant jusqu'à 2 % du chiffre d'affaires au Brésil, plafonnées à 50 millions BRL par infraction.
RGPD : le cadre européen de référence
Le RGPD (Règlement (UE) 2016/679) reste le cadre de protection des données le plus complet et le plus influent à l'échelle mondiale. Il s'applique à toute organisation qui traite des données de résidents de l'UE, indépendamment de son lieu d'établissement — un effet extraterritorial qui concerne directement les compagnies canadiennes exportant vers l'Europe.
Les amendes ne sont plus théoriques. En 2025, les autorités européennes ont prononcé des sanctions dépassant le milliard d'euros. La CNIL française, à elle seule, a prononcé plus de 45 sanctions en 2024 pour des montants cumulés dépassant 100 millions EUR. Les manquements les plus fréquents concernent l'absence de base légale, les durées de conservation excessives et les transferts hors UE sans garanties adéquates.
Pour les compagnies canadiennes, le Canada bénéficie d'une décision d'adéquation de l'UE pour le secteur privé, ce qui facilite les transferts de données depuis l'Europe. Cependant, cette décision est révisée périodiquement et les compagnies doivent s'assurer que leurs pratiques restent conformes aux standards européens.
POPIA, PIPL et autres cadres majeurs
Afrique du Sud — POPIA
Le POPIA sud-africain (Act 4 of 2013) est pleinement exécutoire depuis juillet 2021. Les sanctions atteignent jusqu'à 10 millions ZAR et des peines d'emprisonnement pouvant aller jusqu'à 10 ans. Le POPIA introduit le concept d'« information officer » que chaque organisation doit enregistrer auprès de l'Information Regulator — proche de la notion de responsable de la protection des renseignements personnels au Québec.
Chine — PIPL
La PIPL chinoise s'applique à tout traitement de données de personnes situées en Chine, y compris par des compagnies étrangères. Elle exige un consentement distinct pour chaque finalité de traitement et impose dans certains cas une localisation des données en Chine. Les amendes atteignent jusqu'à 50 millions CNY ou 5 % du chiffre d'affaires annuel en Chine. Pour les compagnies canadiennes opérant en Chine, les obligations de localisation et d'évaluation d'impact constituent les défis les plus significatifs.
Inde — DPDPA 2023
Le Digital Personal Data Protection Act 2023 indien prévoit des amendes pouvant atteindre 250 crores INR (environ 40 millions CAD). Les règles d'application sont en cours de finalisation au premier trimestre 2026.
Convergences et divergences
Malgré des différences importantes, les grandes lois de protection des données convergent sur cinq principes fondamentaux : la licéité du traitement, la minimisation des données, la transparence envers les personnes concernées, la sécurité des données et la limitation des transferts internationaux.
Les divergences les plus significatives sur le plan opérationnel concernent trois points.
Premièrement, le modèle de consentement : la Loi 25 et le RGPD exigent un consentement positif explicite pour les données sensibles, tandis que le CCPA/CPRA privilégie un droit de retrait (opt-out) pour la vente des données. La LGPD et la PIPL se rapprochent du modèle opt-in.
Deuxièmement, le champ d'application territorial : la Loi 25 s'applique dès qu'une organisation collecte des renseignements personnels au Québec. La LPRPDE couvre les activités commerciales au Canada. Le RGPD s'applique dès qu'une organisation cible des résidents de l'UE, indépendamment de son établissement.
Troisièmement, les obligations de localisation : certaines juridictions comme la Chine imposent la localisation des données. Ni la Loi 25 ni la LPRPDE n'imposent de localisation au Canada, mais la CAI exige une évaluation avant tout transfert hors Québec.
La gestion de ces divergences nécessite une cartographie précise des flux documentaires. La plateforme CheckFile permet d'automatiser les vérifications de conformité documentaire tout en maintenant une piste d'audit exploitable par les régulateurs de chaque juridiction.
Pour une approche structurée de la vérification de conformité documentaire multi-juridictionnelle, consultez notre guide de vérification des documents.
Obligations documentaires croisées : KYC, AML et renseignements personnels
Le recoupement entre les obligations de lutte contre le blanchiment (LRPCFAT / AML) et les réglementations sur les renseignements personnels crée des tensions pratiques. Les délais de conservation de la LRPCFAT imposent de conserver les données clients cinq ans après la fin de la relation d'affaires, alors que la Loi 25 et la LPRPDE exigent de supprimer les données dès qu'elles ne sont plus nécessaires.
Cette tension est résolue par le principe de base légale. La conservation pour obligation légale prime sur le droit à l'effacement, mais uniquement pour la durée strictement nécessaire à l'obligation légale. Au-delà de cette durée, les données doivent être purgées conformément au principe de limitation de la conservation.
Dans le secteur financier canadien, le BSIF et l'AMF Québec attendent des institutions qu'elles documentent cette articulation dans leur politique de conservation des données. La même logique s'applique sous la LGPD (article 16, sur la conservation pour obligations légales), le POPIA (section 14, sur la destruction des données) et le UK GDPR (principe de limitation de la conservation, article 5.1.e).
La plateforme CheckFile a traité plus de 2,4 millions de documents dans 32 juridictions, avec un taux de conformité aux audits de 99,2 %, ce qui témoigne de l'importance d'une infrastructure de traitement documentaire conforme par conception.
Notre guide KYC complet pour les entreprises détaille les obligations documentaires spécifiques au secteur financier.
Transferts internationaux de données
Les transferts de renseignements personnels hors du Québec ou du Canada font l'objet d'un encadrement strict qui constitue l'un des défis opérationnels les plus significatifs pour les compagnies multi-juridictionnelles.
Au Québec : l'EFVP obligatoire
La Loi 25 exige qu'avant de communiquer des renseignements personnels à l'extérieur du Québec, l'organisation réalise une EFVP pour évaluer si le cadre juridique de l'État de destination offre une protection adéquate (CAI — Transferts hors Québec). Cette obligation d'évaluation s'applique à chaque flux et doit être documentée. L'EFVP doit couvrir la nature des renseignements transférés, les fins du transfert, les mesures de protection mises en place et les risques pour les personnes concernées.
Au fédéral : la LPRPDE et le principe de protection comparable
La LPRPDE exige que les organisations assurent un niveau de protection comparable lorsque les données sont transférées à un tiers pour traitement, y compris à l'étranger. Le Canada bénéficie d'une décision d'adéquation de l'Union européenne pour le secteur privé, ce qui facilite les transferts depuis l'UE vers le Canada. Cependant, les flux inverses (du Canada vers l'UE) doivent respecter les exigences du RGPD.
Mécanismes de transfert disponibles
- Évaluations d'adéquation : vérifier que le pays de destination offre un niveau de protection adéquat. Le Canada a été reconnu adéquat par l'UE, les États-Unis bénéficient du Data Privacy Framework (depuis juillet 2023)
- Clauses contractuelles : pour les transferts vers des pays sans protection adéquate, inclure des clauses contractuelles types inspirées du modèle européen
- Consentement explicite : dans des cas exceptionnels uniquement, et toujours avec une information claire sur les risques associés au transfert
L'arrêt Schrems II (CJUE, 2020) a établi l'obligation d'évaluer le niveau de protection dans le pays de destination avant tout transfert, même sur la base de clauses contractuelles. Cette obligation influence les pratiques canadiennes, en particulier pour les compagnies qui traitent des données de résidents européens.
Pour les compagnies canadiennes qui travaillent avec des partenaires américains, le Data Privacy Framework (DPF) adopté en juillet 2023 facilite les transferts depuis l'UE vers les États-Unis pour les compagnies certifiées. Cependant, les transferts depuis le Canada vers les États-Unis sont encadrés par la LPRPDE et la Loi 25, qui exigent un niveau de protection comparable — pas nécessairement identique — dans le pays de destination. La documentation de chaque flux de données et de l'évaluation effectuée est essentielle pour démontrer la conformité en cas de contrôle.
Pour les compagnies utilisant des services infonuagiques (cloud), la localisation des centres de données est un facteur déterminant. Les principaux fournisseurs (AWS, Azure, Google Cloud) proposent des régions canadiennes (Montréal, Toronto) qui facilitent la conformité à la Loi 25 et à la LPRPDE. Cependant, certaines fonctionnalités automatisées (IA, analyse de données) peuvent traiter les données dans d'autres régions, ce qui nécessite une évaluation spécifique. La documentation de l'architecture technique et des flux de données est un prérequis pour toute EFVP impliquant des services infonuagiques.
Construire un programme de conformité multi-juridictionnel
Un programme de conformité efficace pour les compagnies exposées à plusieurs réglementations repose sur quatre piliers.
Cartographie des données et flux documentaires. Identifier quels types de données sont collectés, de quels résidents (Québec, Canada, UE, Californie, etc.), par quel canal, conservés où, et transférés vers qui. Cette cartographie est la base commune aux obligations de la Loi 25, de la LPRPDE et des autres réglementations.
Politique de conservation unifiée. Définir des durées de conservation qui satisfont simultanément les obligations les plus contraignantes dans chaque juridiction. En pratique, cela signifie souvent aligner sur la durée la plus longue imposée par une obligation légale, puis programmer la purge à l'échéance.
Mécanismes de transfert documentés. Pour chaque flux de données vers une juridiction tierce, documenter le mécanisme applicable et l'évaluation effectuée (EFVP au Québec).
Piste d'audit exploitable. Les régulateurs de toutes les juridictions exigent la capacité à démontrer la conformité. Une solution de vérification documentaire qui horodate chaque traitement, enregistre les consentements et génère des rapports d'audit répond simultanément aux exigences de la Loi 25, de la LPRPDE et du RGPD.
Pour les organisations souhaitant auditer leur niveau de conformité actuel, notre checklist d'audit de conformité fournit un cadre pratique par réglementation.
Aller plus loin
Pour approfondir ce sujet, consultez notre guide complet sur la vérification documentaire.
FAQ — Protection des données à l'échelle mondiale
Qu'est-ce qu'une EFVP et quand est-elle obligatoire au Québec ?
L'évaluation des facteurs relatifs à la vie privée (EFVP) est obligatoire au Québec avant tout projet d'acquisition, de développement ou de refonte d'un système d'information impliquant des renseignements personnels, ainsi qu'avant tout transfert de renseignements hors Québec. La CAI fournit des lignes directrices sur la conduite des EFVP. Une EFVP documentée constitue également une pièce maîtresse en cas de contrôle réglementaire.
La Loi 25 s'applique-t-elle à une compagnie ontarienne qui a des clients au Québec ?
Oui, dès lors que la compagnie collecte des renseignements personnels auprès de personnes situées au Québec. La Loi 25 a un effet extraterritorial similaire au RGPD. Une compagnie ontarienne qui offre ses services à des consommateurs québécois via un site Web accessible au Québec est assujettie à la Loi 25 pour le traitement de ces renseignements.
Comment gérer les droits à l'effacement lorsqu'ils s'appliquent dans plusieurs juridictions ?
Le droit à l'effacement existe sous différentes formes dans toutes les grandes réglementations. La clé est de distinguer les données soumises à une obligation de conservation légale (LBA, fiscalité, droit du travail) — pour lesquelles le droit à l'effacement est limité — des données dont la conservation repose uniquement sur l'intérêt légitime ou le consentement.
Quelles sont les sanctions encourues en cas de violation simultanée de la Loi 25 et du CCPA/CPRA ?
Les sanctions s'appliquent de façon indépendante par chaque autorité compétente dans sa juridiction. Une violation de données touchant à la fois des résidents du Québec et des résidents californiens peut donner lieu à une sanction de la CAI (jusqu'à 25 millions CAD) et à une action de la California Privacy Protection Agency (jusqu'à 7 500 USD par violation intentionnelle), sans compensation entre les deux procédures.
La désignation d'un responsable de la protection des renseignements personnels est-elle obligatoire ?
Oui, au Québec. La Loi 25 exige que toute organisation désigne un responsable de la protection des renseignements personnels. Par défaut, cette responsabilité incombe à la personne ayant la plus haute autorité dans l'organisation, mais elle peut être déléguée par écrit. La LPRPDE exige également qu'une personne soit désignée pour assurer la conformité de l'organisation (Commissariat à la protection de la vie privée — Principes).
Qu'est-ce qu'une EFVP et quand est-elle obligatoire au Québec ?
L'évaluation des facteurs relatifs à la vie privée (EFVP) est obligatoire au Québec avant tout projet d'acquisition, de développement ou de refonte d'un système d'information impliquant des renseignements personnels, ainsi qu'avant tout transfert de renseignements hors Québec. La CAI fournit des lignes directrices sur la conduite des EFVP.
Construire un programme de conformité multi-juridictionnel au Canada
Un programme de conformité efficace pour les compagnies canadiennes exposées à plusieurs réglementations repose sur quatre piliers.
Cartographie des données et flux documentaires. Identifier quels types de données sont collectés, de quels résidents (Québec, Canada, UE, Californie, Brésil), par quel canal, conservés où, et transférés vers qui. Cette cartographie est la base commune aux obligations de la Loi 25, de la LPRPDE, du RGPD et des autres réglementations.
Politique de conservation unifiée. Définir des durées de conservation qui satisfont simultanément les obligations les plus contraignantes dans chaque juridiction. En pratique, cela signifie souvent aligner sur la durée la plus longue imposée par une obligation légale, puis programmer la purge à l'échéance.
Mécanismes de transfert documentés. Pour chaque flux de données vers une juridiction tierce, documenter le mécanisme applicable et l'évaluation effectuée (EFVP au Québec, clauses contractuelles types pour l'UE).
Piste d'audit exploitable. Les régulateurs de toutes les juridictions exigent la capacité à démontrer la conformité. Une solution de vérification documentaire qui horodate chaque traitement, enregistre les consentements et génère des rapports d'audit répond simultanément aux exigences de la Loi 25, de la LPRPDE et du RGPD.
Pour les organisations souhaitant auditer leur niveau de conformité actuel, notre checklist d'audit de conformité fournit un cadre pratique par réglementation.
Les informations contenues dans cet article sont fournies à titre informatif et ne constituent pas un conseil juridique.
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.