Privacy Policy (Quebec — Loi 25)
Protection des renseignements personnels — Loi 25 (Québec)
Protection des renseignements personnels — Loi 25 (Québec)
**Date d’entrée en vigueur :** [Date d’entrée en vigueur] **Dernière mise à jour :** [Date de mise à jour]
1. IDENTIFICATION DE L’ORGANISATION
La présente politique de confidentialité est publiée par : **[Nom de l’organisation]** [Adresse de l’organisation], [Ville], Québec Courriel de confidentialité : [Courriel de confidentialité] Site Web : [Site Web] (ci-après désignée l’« Organisation »)
2. RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
Conformément à l’article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP, RLRQ, ch. P-39.1), telle que modifiée par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25, L.Q. 2021, ch. 25), l’Organisation a désigné : **[Nom du responsable]** **Titre :** [Titre du responsable] **Courriel :** [Courriel de confidentialité] comme responsable de la protection des renseignements personnels. Toute demande relative à la vie privée doit être adressée à cette personne.
3. FONDEMENT LÉGAL
La présente politique est rédigée en conformité avec : a) la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP, RLRQ, ch. P-39.1); b) la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25, L.Q. 2021, ch. 25), entrée en vigueur par phases entre le 22 septembre 2021 et le 22 septembre 2023; c) la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, L.C. 2000, ch. 5), pour les activités fédérales et interprovinciales; d) la Charte des droits et libertés de la personne du Québec (RLRQ, ch. C-12), article 5, qui protège le droit à la vie privée; e) le Code civil du Québec (C.c.Q.), notamment l’article 35 relatif au respect de la vie privée et l’article 1375 relatif à la bonne foi.
4. RENSEIGNEMENTS PERSONNELS COLLECTÉS
L’Organisation collecte les catégories suivantes de renseignements personnels : [Categories Renseignements]. Renseignements additionnels collectés : [Autres renseignements] Conformément à l’article 5 de la LPRPSP, seuls les renseignements nécessaires aux fins déterminées sont collectés. Tout renseignement sensible (santé, biométrique, financier) fait l’objet d’une protection renforcée conformément à l’article 12 de la Loi 25.
5. FINALITÉS DE LA COLLECTE ET DU TRAITEMENT
L’Organisation collecte et traite des renseignements personnels aux fins suivantes : [Finalites Collecte]. Conformément à l’article 4 de la LPRPSP et à l’article 63.1 tel que modifié par la Loi 25, tout renseignement est collecté pour des fins déterminées, explicites et légitimes. L’Organisation ne traitera pas les renseignements à des fins incompatibles avec celles pour lesquelles ils ont été collectés, sauf consentement de la personne concernée.
6. CONSENTEMENT
L’Organisation obtient le consentement de la personne concernée avant de collecter, utiliser ou communiquer ses renseignements personnels, conformément aux articles 14 à 17 de la LPRPSP tels que modifiés par la Loi 25. Le consentement doit être : a) libre (sans contrainte ou pression); b) éclairé (la personne comprend ce à quoi elle consent); c) donné à des fins spécifiques; d) manifesté de façon non ambiguë. Le refus de consentement peut limiter l’accès à certains services. L’Organisation ne conditionne pas la prestation de services à la collecte de renseignements non nécessaires.
7. DROITS DES PERSONNES CONCERNÉES
En vertu des articles 27 à 40 de la LPRPSP tels que modifiés par la Loi 25, toute personne dont des renseignements personnels sont détenus par l’Organisation a le droit de : a) **Accès** : consulter les renseignements personnels la concernant (art. 27 LPRPSP); b) **Rectification** : faire corriger des renseignements inexacts, incomplets ou équivoques (art. 28 LPRPSP); c) **Suppression (droit à l’oubli)** : demander la suppression de ses renseignements lorsque leur conservation n’est plus justifiée (art. 28.1 LPRPSP, Loi 25); d) **Portabilité** : recevoir ses renseignements dans un format technologique structuré et couramment utilisé (art. 27.1 LPRPSP, Loi 25), applicable au 22 septembre 2023; e) **Retrait du consentement** : retirer son consentement en tout temps, sous réserve des conséquences juridiques ou contractuelles applicables; f) **Plainte** : déposer une plainte auprès de la Commission d’accès à l’information du Québec (CAI) si la personne estime que ses droits ont été violés. **Procédure d’exercice des droits :** [Procédure d’exercice des droits] L’Organisation répond à toute demande dans un délai de [Délai de réponse] jours.
8. CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS
L’Organisation conserve les renseignements personnels uniquement pour la durée nécessaire aux fins pour lesquelles ils ont été collectés : [Période de conservation]. Passé ce délai ou lorsque les renseignements ne sont plus nécessaires, l’Organisation procède à leur destruction ou anonymisation conformément à l’article 23 de la LPRPSP. Une politique de conservation et de destruction est maintenue à jour conformément à la Loi 25.
9. MESURES DE SÉCURITÉ
Conformément aux articles 10 et 10.1 de la LPRPSP tels que modifiés par la Loi 25, l’Organisation met en place des mesures de sécurité appropriées pour protéger les renseignements personnels contre la perte, le vol, l’accès non autorisé, la divulgation, la copie, l’utilisation ou la modification. Les mesures en place comprennent : [Mesures Securite]. **Incidents de confidentialité :** En cas d’incident de confidentialité présentant un risque de préjudice sérieux, l’Organisation notifiera promptement la Commission d’accès à l’information et les personnes concernées, conformément à l’article 3.5 de la LPRPSP tel que modifié par la Loi 25.
10. MODIFICATIONS À LA PRÉSENTE POLITIQUE
L’Organisation se réserve le droit de modifier la présente politique en tout temps pour refléter l’évolution de ses pratiques ou des exigences légales. Toute modification sera communiquée par : [Méthode de notification]. La date de la dernière mise à jour est indiquée en en-tête. L’utilisation continue des services de l’Organisation après la publication de modifications constitue l’acceptation de la nouvelle version de la politique.
11. PRINCIPES DIRECTEURS
La présente politique est élaborée et mise en œuvre conformément aux principes de bonne foi (art. 1375 C.c.Q.), de transparence, de limitation des finalités, de minimisation des données et de responsabilité, tels qu’ils découlent de la LPRPSP telle que modifiée par la Loi 25. L’Organisation s’engage à respecter la vie privée comme valeur fondamentale garantie par l’article 5 de la Charte des droits et libertés de la personne du Québec et l’article 35 C.c.Q.
12. NOUS CONTACTER
Pour toute question, demande de droit ou plainte relative à la protection de vos renseignements personnels, veuillez communiquer avec notre responsable de la protection des renseignements personnels : **[Nom du responsable]**, [Titre du responsable] [Nom de l’organisation] [Adresse de l’organisation], [Ville], Québec Courriel : [Courriel de confidentialité] Si vous n’êtes pas satisfait de notre réponse, vous pouvez déposer une plainte auprès de la Commission d’accès à l’information du Québec (CAI) au www.cai.gouv.qc.ca.
Responsable autorisé
[Nom du responsable]
Signature
Date: ________________
What Is a Privacy Policy (Quebec — Loi 25)?
A Privacy Policy (Quebec — Loi 25) in Quebec a Quebec Privacy Policy (Politique de confidentialité) is a mandatory legal document that explains how an organization collects, uses, stores, shares, and protects personal information about individuals in the province of Quebec. Unlike a generic Canadian privacy policy, a Quebec Privacy Policy must comply with the specific and more stringent requirements of Quebec's Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, ch. 25), which significantly modernized the province's foundational privacy statute, the Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP, RLRQ, ch. P-39.1). Loi 25 entered into force in three phases between 2021 and 2023, introducing major new obligations including mandatory designation of a privacy officer (responsable de la protection des renseignements personnels), privacy impact assessments (évaluations des facteurs relatifs à la vie privée, or EFVP) before cross-border data transfers, explicit consent requirements, a right to erasure (droit à l'oubli), a right to data portability in structured formats, mandatory breach notification to both the Commission d'accès à l'information (CAI) and affected individuals, and substantial financial penalties. The policy must also be drafted in French in compliance with Quebec's Charter of the French Language and Bill 96, and must reference the individual rights established under the Charte des droits et libertés de la personne du Québec (article 5) and the Code civil du Québec (article 35), which enshrine the right to privacy as a fundamental right.
When Do You Need a Privacy Policy (Quebec — Loi 25)?
You need a Quebec Privacy Policy whenever your organization collects, uses, holds, or communicates personal information about Quebec residents, regardless of where your organization is physically located. Loi 25 applies to all private-sector organizations operating in Quebec or processing data about Quebec residents. Common situations requiring a Quebec Privacy Policy include operating a website, mobile application, or e-commerce platform accessible to Quebec users, running a physical business that collects customer information such as names, addresses, email addresses, or payment information, operating a SaaS or cloud-based service used by Quebec businesses or consumers, conducting market research or surveys involving Quebec residents, managing employee records for staff working in Quebec, collecting health or insurance information in the province, and operating any loyalty program, subscription service, or membership organization in Quebec. Even organizations headquartered outside Quebec but serving Quebec customers must comply with Loi 25 and therefore need a compliant Quebec Privacy Policy. The policy must be publicly accessible, typically on your website, and must be written in French per the Charter of the French Language.
Parties in Quebec should prepare a Privacy Policy (Quebec — Loi 25) proactively rather than waiting for a dispute to arise. Courts interpret agreements based on the written terms rather than oral representations. Where the transaction involves regulated activities, prior approval from the relevant authority may be required before execution.
What to Include in Your Privacy Policy (Quebec — Loi 25)
Key elements of a Loi 25-compliant Quebec Privacy Policy include the mandatory designation and identification of a privacy officer (responsable de la protection des renseignements personnels) with contact information, as required by article 3.1 LPRPSP. The policy must identify the legal basis for the policy, explicitly referencing the LPRPSP as amended by Loi 25, the federal PIPEDA for interprovincial activities, and the Quebec Charter of Human Rights (article 5) and Civil Code (article 35). A detailed section on the categories of personal information collected must be included, with special attention to sensitive information (health, biometric, financial) which requires enhanced protection under Loi 25. The purposes of collection must be specific, explicit, and legitimate under article 4 LPRPSP, and the policy must confirm that no information is collected beyond what is necessary. Consent provisions must explain how consent is obtained, what happens when consent is refused, and how individuals can withdraw consent. Third-party sharing must be described in detail, including a statement that organizations must enter into contractual agreements with third parties to confirm equivalent protection. Cross-border transfer provisions must reference the EFVP requirement under article 17 LPRPSP and list destination countries and protection measures. Individual rights must be clearly stated including access, rectification, erasure (droit à l'oubli, art. 28.1 LPRPSP), portability (art. 27.1 LPRPSP, in force September 22, 2023), and the right to file a complaint with the CAI. Cookie and tracking technology disclosures are required for websites. Security measures must be described, including the incident notification obligation under article 3.5 LPRPSP. Finally, the policy must explain how changes will be communicated and provide contact information for privacy requests.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Privacy Policy (Quebec — Loi 25) (Quebec) [Legal document template]. Forms Legal. https://forms-legal.com/quebec/business/corporate/privacy-policy-quebec
"Privacy Policy (Quebec — Loi 25) (Quebec)." Forms Legal, 2026, https://forms-legal.com/quebec/business/corporate/privacy-policy-quebec.
@misc{formslegal-privacy-policy-quebec,
author = {{Forms Legal}},
title = {Privacy Policy (Quebec — Loi 25) (Quebec)},
year = {2026},
howpublished = {\url{https://forms-legal.com/quebec/business/corporate/privacy-policy-quebec}},
note = {Free legal document template. Based on Civil Code of Québec (CCQ), Book Five: Obligations}
}Frequently Asked Questions
Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, ch. 25) modernized Quebec's privacy law (LPRPSP). It entered into force in three phases: September 22, 2021 (new breach notification requirements), September 22, 2022 (privacy officer, privacy assessments, new rights, consent rules), and September 22, 2023 (data portability). It applies to any private-sector organization that collects, holds, uses, or communicates personal information about Quebec residents, regardless of where the organization is located.
Under article 28.1 of the LPRPSP as amended by Loi 25, individuals have the right to request the deletion (droit à l'oubli) of their personal information when it is no longer necessary for the purposes for which it was collected, if they withdraw their consent, or if collection was unlawful. Organizations must respond within 30 days. The right applies to information published online, and organizations must take steps to inform third parties who received the information.
Article 27.1 of the LPRPSP, added by Loi 25 (in force September 22, 2023), gives individuals the right to receive their personal information in a structured, commonly used, technological format and to have it communicated to any other organization authorized by law. This right applies to computerized personal information collected from the individual. Organizations must fulfill portability requests within 30 days.
Under articles 17 and 70.1 of the LPRPSP as amended by Loi 25, before communicating personal information to a person or body outside Quebec, organizations must conduct a privacy impact assessment (PIA / EFVP) to ensure the jurisdiction of destination offers adequate protection. Organizations must also enter into a written agreement with the recipient. The Commission d'accès à l'information (CAI) provides guidance on jurisdictions deemed to offer adequate protection.
Loi 25 significantly increased penalties for privacy violations in Quebec. Administrative monetary penalties can reach up to 25 million dollars or 4% of worldwide turnover, whichever is higher, for the most serious violations. Penal fines range from $5,000 to $25,000 for individuals and $15,000 to $25,000,000 for organizations. The Commission d'accès à l'information (CAI) enforces these penalties. Organizations that fail to report privacy incidents or that do not appoint a privacy officer face specific sanctions.
Under Quebec's Charter of the French Language (CQLR, ch. C-11) and Bill 96, commercial documents and consumer contracts in Quebec must be available in French. A privacy policy accessible to Quebec consumers must be in French. Organizations may also provide an English version, but the French version must be equally prominent and accessible. Non-compliance with the Charter's language requirements can result in complaints to the Office québécois de la langue française (OQLF).
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Entente de non-divulgation (Québec)
Créez gratuitement une entente de non-divulgation du Québec régie par le Code civil du Québec. Ce modèle en français est conçu pour le droit civil québécois, avec des références aux articles 1371 à 1707 du C.c.Q. Couvre la confidentialité unilatérale et mutuelle, les secrets commerciaux et la propriété intellectuelle. Conforme à la Loi 96.
Contrat de services (Québec)
Create a Quebec service agreement covering scope of work, fees, payment terms, deliverables, liability, IP, confidentiality, and termination under CCQ arts. 2098-2129 on contracts for services and enterprise.
Contrat de développement logiciel (Québec)
Créez gratuitement un contrat de développement logiciel du Québec régi par les articles 2098 à 2129 du C.c.Q. et la Loi sur le droit d'auteur. Couvre la portée du projet, les jalons, la rémunération, la propriété intellectuelle, la recette et la garantie. Conforme à la Loi 96 et à la Charte de la langue française.
Convention entre actionnaires — Québec (LSAQ et C.c.Q.)
Créez une convention entre actionnaires québécoise conforme à la Loi sur les sociétés par actions (RLRQ c S-31.1, LSAQ), au Code civil du Québec (C.c.Q. sur les contrats et obligations) et à la Loi sur les valeurs mobilières (RLRQ c V-1.1). Couvre les droits de gestion, les obligations de vote, la politique de dividendes, les restrictions sur le transfert d'actions (droit de premier refus, clause de co-vente, clause d'entraînement), les dispositions d'achat-vente, la clause shotgun, la non-concurrence et le règlement des différends.
Statuts de constitution (Québec)
Créez des statuts de constitution pour une société par actions québécoise en vertu de la LSAQ (RLRQ, chapitre S-31.1). Couvre la dénomination sociale, le siège social, le capital-actions, les restrictions de transfert, le conseil d'administration, les fondateurs et le dépôt au Registraire des entreprises.