Loi 25 : Résumé pratique pour cliniques, OBNL et travailleur·euses autonomes

Rédigé par Alyson Mailloux-Asselin / En collaboration avec Roxanne Bélanger / Mercredi le 16 avril 2025

La protection des renseignements personnels est un enjeu fondamental dans le domaine de la relation d’aide. Pour mieux répondre aux réalités numériques actuelles, le Québec a adopté la Loi 25 (anciennement projet de loi 64), qui introduit de nouvelles règles pour la gestion des informations personnelles.

Vous trouvez le sujet complexe ou intimidant? Pas de panique. Voici un résumé clair de la Loi 25, conçu pour les cliniques, les OBNL et les professionnel·les de la santé au Québec.

Qu'est-ce que la Loi 25 ?

Adoptée en septembre 2021, la Loi 25 vise à moderniser la Loi sur la protection des renseignements personnels dans le secteur privé, qui n’avait pas été révisée en profondeur depuis 1994. Les nouvelles obligations sont entrées en vigueur graduellement entre 2022 et 2024.

Son objectif

La Loi 25 vise à mieux protéger les renseignements personnels des citoyen·nes en adaptant les règles aux usages numériques. Elle encadre de façon plus rigoureuse la collecte, l’utilisation, la communication et la conservation des renseignements personnels.

Pour les cliniques privées, les OBNL et les professionnel·les de la relation d’aide, cela signifie des ajustements importants dans la gestion des dossiers et la confidentialité des informations.

Qui est concerné ?

Toute organisation au Québec qui recueille, conserve ou gère des renseignements personnels est touchée par cette loi. Cela inclut :

Les travailleur·euses autonomes
Les cliniques privées (psychologues, médecins, physiothérapeutes, etc.)
Les organismes à but non lucratif (OBNL)
Les centres de services scolaires

En résumé : si vous traitez des données personnelles, vous êtes concerné·e par la Loi 25.

Résumé des principales obligations de la Loi 25

Voici un aperçu des exigences introduites par la Loi 25. Il est important de noter que ce résumé ne remplace pas un avis juridique. Pour des conseils adaptés, consultez un·e expert·e ou la Commission d’accès à l’information du Québec (CAI).

1. Nomination d’un responsable de la protection des renseignements personnels (RPRP)

Chaque organisation doit désigner une personne chargée de veiller à la protection des données. Il peut s’agir d’un gestionnaire, d’une direction ou d’un employé attitré.

Rôles et responsabilités du RPRP :

Veiller à la conformité de l’organisation à la Loi 25
Gérer les incidents de confidentialité et signaler toute fuite de données
Documenter les pratiques internes en matière de protection des renseignements personnels

2. Consentement éclairé et transparence

Les personnes concernées (patient·es, personnel) doivent être informées des raisons de la collecte de leurs données et donner un consentement libre et éclairé.

Obligations principales :

Obtenir un consentement explicite avant de recueillir des données
Expliquer l’objectif de la collecte, la durée de conservation et les éventuels tiers impliqués.
Fournir une politique de confidentialité claire et accessible.
En cas d’utilisation d’une technologie impliquant une prise de décision automatisée (ex : algorithmes d’analyse des dossiers), le patient doit en être informé.

3. Sécurité des données personnelles

Des mesures techniques et organisationnelles doivent être mises en place pour prévenir les fuites ou accès non autorisés :

Restreindre l’accès aux dossiers uniquement aux personnes autorisées
Utiliser des mots de passe robustes, l’authentification multifactorielle et des protocoles de chiffrement des données
Prévoir des sauvegardes sécurisées pour éviter toute perte d’information
Mettre en place un plan de gestion des incidents pour réagir rapidement en cas de fuite ou d’accès non autorisé
Signaler toute fuite ou violation de données à la CAI et aux personnes concernées.

4. Droit des individus sur leurs renseignements

La Loi 25 renforce le contrôle qu’ont les citoyen·nes sur leurs renseignements personnels.

Droit d’accès : Toute personne peut demander une copie des renseignements détenus à son sujet.
Droit de rectification : Toute personne peut demander de faire corriger des erreurs ou des informations inexactes.
Droit à l’oubli : Sous certaines conditions, une personne peut demander la suppression de ses données si leur conservation n’est plus justifiéeé. Ex : Un·e patient·e peut demander la suppression de son dossier après la fin de son suivi, sauf si la loi exige sa conservation pour une période déterminée.

5. Évaluation des facteurs relatifs à la vie privée (EFVP)

Une EFVP est obligatoire avant la mise en place d’un nouveau projet impliquant des renseignements personnels.

Exemples de projets nécessitant une EFVP :

Adoption d’un nouveau logiciel de gestion
Intégration d’une plateforme de prise de rendez-vous en ligne

Cette évaluation permet d’identifier les risques liés à la confidentialité et d’adopter des mesures de protection adaptées.

Comment adopter de bonnes pratiques ?

Voici quelques pistes pour assurer la conformité et renforcer la confidentialité des données de vos patient·es :

Désignez un·e responsable de la protection des renseignements personnels et documentez ses actions.
Mettez à jour et communiquez clairement votre politique de confidentialité.
Sécurisez l’accès aux données (chiffrement, sauvegardes, mots de passe).
Formez le personnel aux bonnes pratiques de gestion des données.
Préparez un plan d’action en cas d’incident ou de brèche.

Besoin d’aide pour comprendre vos obligations ?

Comme chaque situation est différent, nous encourageons les professionnel·les et les organisations à s’informer auprès de sources fiables, comme :

La Commission d’accès à l’information du Québec (CAI)
Des formations spécialisées en protection des renseignements personnels
Des juristes expert·es en droit à la vie privée
Des ressources offertes par votre ordre professionnel, comme :
- L'Ordre des psychologues du Québec - Informations sur la loi 25
- L'Ordre des travailleurs sociaux et des thérapeutes conjugaux et familiaux du Québec – Formation sur la Loi 25

En résumé

La Loi 25 marque un tournant majeur pour la gestion des renseignements personnels au Québec. Pour les cliniques, OBNL et professionnel·les de la relation d’aide, elle impose des obligations précises pour renforcer la confidentialité, la transparence et la sécurité.

Se conformer à la Loi 25, c’est respecter ses obligations légales, mais aussi démontrer son professionnalisme et sa volonté de protéger la vie privée de ses patient·es.

À propos de l’auteur

Alyson Mailloux-Asselin

Responsable des communications, B.A. Comm.

Alyson occupe le poste de responsable des communications marketing chez Optania, où elle met à profit son expertise pour développer des stratégies de communication claires, inclusives et percutantes. Son parcours académique, qui combine un diplôme collégial en arts et lettres avec un baccalauréat en communication interculturelle et médiatique, lui a permis de maîtriser les nuances de la communication dans des contextes variés.

Reconnaissante de la richesse des interactions humaines, Alyson est passionnée par la communication. Cette sensibilité, alliée à sa créativité et à sa polyvalence, se traduit par sa capacité à créer des messages adaptés et engageants. Grâce à sa vision stratégique et son approche empathique, elle joue un rôle clé dans la valorisation des initiatives d’Optania.

Voir tous les billets de Alyson Mailloux-Asselin

Partagez ce billet!

Les derniers billets

Loi 25 : Résumé pratique pour cliniques, OBNL et travailleur·euses autonomes

mercredi le 16 avril 2025
Comment créer un plan d'intervention : Guide et modèles pour professionnels

mercredi le 13 novembre 2024
Alternatives à Jane App : Meilleures solutions québécoises et plus

lundi le 26 août 2024

Optimisez efficacement la gestion de votre pratique professionnelle avec Psylio

Prise de notes, gestion des rendez-vous, des finances et plus encore!

Essayer gratuitement En savoir plus

Concentrez-vous sur l’essentiel :
vos clients

Essayer gratuitement

En solo ou en groupe, une expérience inégalée!