Politique de protection des données — Québec (Loi 25 / LPRPSP / C-11)
Politique de protection des données — Quebec (Law 25 / LPRPSP / Bill 64)
DATA PROTECTION POLICY
Politique de protection des renseignements personnels
[Organization Name] | [Business Address]
Effective Date: [Effective Date] | Last Reviewed: [Last Review Date]
Privacy Officer (Responsable de la protection): [Privacy Officer Name] | [Privacy Officer Contact]
This Data Protection Policy ('Policy') is established by [Organization Name] in compliance with the Act respecting the protection of personal information in the private sector (LPRPSP / Law 25, as amended by Bill 64), the Civil Code of Quebec (CCQ), and applicable federal privacy legislation.
1. PERSONAL INFORMATION WE COLLECT
[Organization Name] collects the following categories of personal information: [Data Categories]
Purposes of collection: [Collection Purposes]
Legal basis: [Legal Basis]
We collect only the minimum personal information necessary for the purposes identified (principle of data minimization under Law 25). Collection occurs at the time of your engagement with our products or services, and consent is obtained through separate consent forms for each distinct purpose.
2. RETENTION AND DESTRUCTION
[Organization Name] retains personal information only as long as necessary for the identified purposes or as required by law. Retention periods: [Retention Periods]
Upon expiry of retention periods, personal information is securely destroyed or anonymized in accordance with Law 25 art. 23. Anonymized data no longer constitutes personal information and may be retained for statistical analysis.
3. SECURITY MEASURES
[Organization Name] implements appropriate technical and organizational measures to protect personal information against unauthorized access, disclosure, alteration, or destruction: [Security Measures]
In the event of a privacy incident that presents a risk of serious injury, [Organization Name] will notify the Commission d'accès à l'information (CAI) and affected individuals as required by Law 25. A Privacy Incident Register (Registre des incidents de confidentialité) is maintained in compliance with the Regulation respecting confidentiality incidents.
4. CROSS-BORDER TRANSFERS
Cross-border transfers outside Quebec: [Cross-Border Transfers].
[Transfer Safeguards]
Before any transfer of personal information outside Quebec, [Organization Name] conducts a Privacy Impact Assessment (Évaluation des facteurs relatifs à la vie privée / EFVP) as required by Law 25 art. 17, and ensures adequate contractual safeguards are in place.
5. INDIVIDUAL RIGHTS
Individuals have the following rights under Law 25 (LPRPSP):
- Right of access — to obtain a copy of personal information held about you
- Right of correction — to have inaccurate information corrected
- Right of withdrawal — to withdraw consent at any time
- Right of deletion — to have personal information anonymized or destroyed when no longer necessary
- Right of portability — to receive your data in a structured, machine-readable format
- Right to lodge a complaint — with the Commission d'accès à l'information (CAI) at cai.gouv.qc.ca
To exercise any of these rights, contact: [Privacy Officer Name] at [Privacy Officer Contact]. We will respond within 30 days as required by Law 25.
6. PRIVACY OFFICER
As required by Law 25, [Organization Name] has designated [Privacy Officer Name] as the person responsible for the protection of personal information (Responsable de la protection des renseignements personnels). Contact: [Privacy Officer Contact].
This Policy is reviewed at least annually and updated to reflect changes in law, technology, or organizational practices. Current version effective: [Effective Date].
Privacy Officer (Responsable de la protection)
________________
Signature
Authorized Representative of {{orgName}}
________________
Signature
Qu'est-ce qu'un Politique de protection des données — Québec (Loi 25 / LPRPSP / C-11) ?
La politique de protection des données au Québec est un document organisationnel décrivant comment les renseignements personnels sont recueillis, utilisés, conservés, protégés et partagés. Imposée par la Loi 25 (LPRPSP, modifiée par le projet de loi 64), elle doit être publiée et rendue accessible aux personnes concernées. Elle constitue la pierre angulaire de la conformité à la Loi 25 pour les entreprises québécoises. En vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25, RLRQ c P-39.1), toute organisation exerçant ses activités au Québec qui recueille, utilise, communique ou conserve des renseignements personnels doit mettre en place une politique de protection des données. La Loi 25 (modifiée par le projet de loi 64, en vigueur par étapes de 2022 à 2023) a introduit les évaluations des facteurs relatifs à la vie privée (EFVP) obligatoires, des obligations de minimisation des données et la déclaration obligatoire des incidents. La Commission d'accès à l'information (CAI) en surveille le respect. Les art. 35 à 41 du Code civil du Québec (C.c.Q.) consacrent le droit fondamental à la vie privée, et l'art. 5 de la Charte des droits et libertés de la personne (RLRQ c C-12) renforce ces protections au niveau quasi constitutionnel. La Cour supérieure du Québec a compétence sur les recours en application de la loi. L'organisation doit désigner un responsable de la protection des renseignements personnels dont le nom et les coordonnées sont publiés. L'art. 37 C.c.Q. accorde aussi à la personne le droit d'accéder à ses renseignements personnels et de les faire rectifier.
Quand avez-vous besoin d'un Politique de protection des données — Québec (Loi 25 / LPRPSP / C-11) ?
Une politique de protection des données est obligatoire pour toutes les organisations du secteur privé québécois qui collectent, utilisent ou communiquent des renseignements personnels sur des individus. La Loi 25 exige qu'elle soit publiée et accessible. Elle doit être révisée et mise à jour régulièrement.
Que faut-il inclure dans votre Politique de protection des données — Québec (Loi 25 / LPRPSP / C-11) ?
Les éléments essentiels comprennent : l'identification du responsable de la protection des renseignements personnels, les types de renseignements recueillis, les fins de la collecte, le fondement légal, les durées de conservation, les mesures de sécurité, les règles de transfert hors Québec, les droits de la personne (accès, rectification, suppression), la procédure de plainte, la politique relative aux témoins (cookies) pour les sites Web, et les renvois à la Loi 25 et à la CAI.
Une politique de protection des données québécoise doit couvrir : la désignation du responsable et ses coordonnées; les catégories de renseignements recueillis et les fins; le fondement légal de la collecte sous la Loi 25; les calendriers de conservation; les procédures de partage avec des tiers et de transfert hors Québec; les mesures de sécurité; les droits de la personne concernée (accès, rectification, portabilité, suppression, retrait du consentement) prévus aux art. 37 à 40 de la Loi 25; les procédures de réponse aux incidents de confidentialité (art. 3.5 de la Loi 25); le processus d'EFVP; et le traitement des plaintes devant la CAI. La politique doit être publiée dans un langage clair et accessible à toutes les personnes concernées. La CAI peut ordonner la modification d'une politique non conforme. Forms-legal.com fournit ce modèle de politique de protection des données conforme au droit québécois comme point de départ. L'art. 37 C.c.Q. accorde à la personne le droit d'accéder à ses renseignements personnels et de les faire rectifier. En vertu de l'art. 3.5 de la Loi 25, la déclaration d'un incident de confidentialité à la CAI doit être faite dans un délai de 72 heures. En vertu de l'art. 3.3 de la Loi 25, l'organisation doit réaliser une EFVP avant d'acquérir ou de développer tout système d'information mettant en cause des renseignements personnels. La Cour supérieure du Québec tranche les recours civils en atteinte à la vie privée. La consultation d'un avocat québécois spécialisé en protection des renseignements personnels est conseillée pour les arrangements de gouvernance complexes.
Citer cette page
Référencez ce modèle gratuit dans un article, un programme de cours ou une note de recherche :
Forms Legal. (2026). Politique de protection des données — Québec (Loi 25 / LPRPSP / C-11) (Québec) [Legal document template]. Forms Legal. https://forms-legal.com/fr/quebec/business/policies/politique-protection-donnees-quebec
"Politique de protection des données — Québec (Loi 25 / LPRPSP / C-11) (Québec)." Forms Legal, 2026, https://forms-legal.com/fr/quebec/business/policies/politique-protection-donnees-quebec.
@misc{formslegal-politique-protection-donnees-quebec,
author = {{Forms Legal}},
title = {Politique de protection des données — Québec (Loi 25 / LPRPSP / C-11) (Québec)},
year = {2026},
howpublished = {\url{https://forms-legal.com/fr/quebec/business/policies/politique-protection-donnees-quebec}},
note = {Free legal document template. Based on Act Respecting the Protection of Personal Information (CQLR, c. P-39.1)}
}Questions Fréquentes
La Loi 25 du Québec (qui a modifié la Loi sur la protection des renseignements personnels dans le secteur privé / LPRPSP via le projet de loi 64) a imposé d'importantes nouvelles obligations aux organisations du secteur privé. Les exigences clés comprennent : la désignation d'un Responsable de la protection des renseignements personnels dont le nom doit être publié ; des évaluations d'impact sur la vie privée (EIVP) obligatoires avant de collecter des renseignements personnels ou avant de les communiquer hors Québec ; une obligation de notification des incidents de confidentialité à la Commission d'accès à l'information (CAI) et aux personnes touchées ; des exigences de consentement explicite ; et des règles strictes sur les transferts transfrontaliers. Les pénalités peuvent atteindre 25 millions $ CAD ou 4% du chiffre d'affaires mondial.
Une politique de protection des données n'exige pas légalement le recours à un avocat au Québec, et les particuliers comme les entreprises peuvent rédiger et adopter le document eux-mêmes. Toutefois, il est recommandé d'obtenir un avis juridique indépendant d'un avocat québécois qualifié pour les opérations d'une valeur importante, comportant des exigences réglementaires complexes ou des éléments transfrontaliers où plusieurs ordres juridiques peuvent s'appliquer. L'avocat peut vérifier la conformité du document à toutes les exigences légales applicables, repérer les risques propres à l'opération et confirmer que les conditions protègent adéquatement les intérêts des parties. La Cour supérieure du Québec a compétence sur les litiges découlant de ce type de document. Une révision juridique professionnelle est particulièrement souhaitable lorsque le document sera soumis à un organisme gouvernemental ou utilisé en preuve dans une instance.
Une évaluation des facteurs relatifs à la vie privée (EFVP) est un processus structuré visant à cerner et à atténuer les risques pour la vie privée d'un projet avant que des renseignements personnels soient recueillis ou utilisés. En vertu de l'art. 3.3 de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25, RLRQ c P-39.1), l'organisation doit réaliser une EFVP avant : (1) d'acquérir, de développer ou de refondre un système d'information mettant en cause des renseignements personnels; (2) de communiquer des renseignements personnels hors Québec en vertu de l'art. 17 de la Loi 25; ou (3) d'utiliser des renseignements personnels à des fins de profilage, de décision automatisée ou d'identification biométrique. La Commission d'accès à l'information (CAI) a publié des lignes directrices sur la méthodologie de l'EFVP. Une EFVP doit documenter la nature des renseignements, les risques pour les personnes concernées, les mesures d'atténuation et l'approbation du responsable désigné. Lorsqu'une EFVP révèle des risques inacceptables, le projet doit être modifié ou abandonné avant son lancement. L'omission de réaliser une EFVP requise peut entraîner des sanctions administratives en vertu de l'art. 90.1 de la Loi 25 pouvant atteindre 25 000 000 $ ou 4 % du chiffre d'affaires mondial. L'art. 35 C.c.Q. et l'art. 5 de la Charte des droits et libertés de la personne (RLRQ c C-12) sous-tendent aussi l'exigence d'EFVP. Forms-legal.com fournit ce modèle de politique de protection des données conforme au droit québécois comme point de départ.
Ce modèle est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les lois varient selon la juridiction et évoluent avec le temps. Consultez un avocat qualifié pour obtenir des conseils adaptés à votre situation.Clause de non-responsabilité complète
Une erreur ? Signalez-le-nousDocuments Connexes
Vous pourriez également trouver ces documents utiles :
Formulaire de consentement aux renseignements personnels — Québec (Loi 25 / LPRPSP)
Créez un Formulaire de consentement aux renseignements personnels québécois conforme à la Loi 25 (LPRPSP). Obtient le consentement explicite et éclairé pour la collecte, l'utilisation et la divulgation des renseignements personnels. Requis pour les données sensibles, les communications marketing, les transferts transfrontaliers et les utilisations secondaires. PDF ou Word.
Entente de non-divulgation (Québec)
Créez gratuitement une entente de non-divulgation du Québec régie par le Code civil du Québec. Ce modèle en français est conçu pour le droit civil québécois, avec des références aux articles 1371 à 1707 du C.c.Q. Couvre la confidentialité unilatérale et mutuelle, les secrets commerciaux et la propriété intellectuelle. Conforme à la Loi 96.
Accord de confidentialité pour employé — Québec (C.c.Q. art. 2088 / Loi 25)
Créez un Accord de confidentialité pour employé québécois conforme au C.c.Q. art. 2088 et à la Loi 25 (LPRPSP). Protège les secrets commerciaux, les listes de clients, les informations propriétaires et les méthodes commerciales. Couvre les obligations pendant et après l'emploi. PDF ou Word.
Politique de diversité, équité et inclusion — Québec (Charte québécoise / LNT / LCDP)
Créez une Politique DEI québécoise conforme à la Charte des droits et libertés de la personne du Québec (CDLP), à la Loi sur l'équité salariale et à la LNT. Couvre les engagements organisationnels, les motifs de discrimination interdits (15 motifs sous la CDLP), l'accommodement, les procédures de signalement et les mécanismes de révision. PDF ou Word.