Loi 25 : Résumé pratique pour cliniques, OBNL et travailleur·euses autonomes

La protection des renseignements personnels est un enjeu fondamental dans le domaine de la relation d’aide. Pour mieux répondre aux réalités numériques actuelles, le Québec a adopté la Loi 25 (anciennement projet de loi 64), qui introduit de nouvelles règles pour la gestion des informations personnelles.
Vous trouvez le sujet complexe ou intimidant? Pas de panique. Voici un résumé clair de la Loi 25, conçu pour les cliniques, les OBNL et les professionnel·les de la santé au Québec.
Qu'est-ce que la Loi 25 ?
Adoptée en septembre 2021, la Loi 25 vise à moderniser la Loi sur la protection des renseignements personnels dans le secteur privé, qui n’avait pas été révisée en profondeur depuis 1994. Les nouvelles obligations sont entrées en vigueur graduellement entre 2022 et 2024.
Son objectif
La Loi 25 vise à mieux protéger les renseignements personnels des citoyen·nes en adaptant les règles aux usages numériques. Elle encadre de façon plus rigoureuse la collecte, l’utilisation, la communication et la conservation des renseignements personnels.
Pour les cliniques privées, les OBNL et les professionnel·les de la relation d’aide, cela signifie des ajustements importants dans la gestion des dossiers et la confidentialité des informations.
Qui est concerné ?
Toute organisation au Québec qui recueille, conserve ou gère des renseignements personnels est touchée par cette loi. Cela inclut :
- Les travailleur·euses autonomes
- Les cliniques privées (psychologues, médecins, physiothérapeutes, etc.)
- Les organismes à but non lucratif (OBNL)
- Les centres de services scolaires
En résumé : si vous traitez des données personnelles, vous êtes concerné·e par la Loi 25.
Résumé des principales obligations de la Loi 25
Voici un aperçu des exigences introduites par la Loi 25. Il est important de noter que ce résumé ne remplace pas un avis juridique. Pour des conseils adaptés, consultez un·e expert·e ou la Commission d’accès à l’information du Québec (CAI).
1. Nomination d’un responsable de la protection des renseignements personnels (RPRP)
Chaque organisation doit désigner une personne chargée de veiller à la protection des données. Il peut s’agir d’un gestionnaire, d’une direction ou d’un employé attitré.
Rôles et responsabilités du RPRP :
- Veiller à la conformité de l’organisation à la Loi 25
- Gérer les incidents de confidentialité et signaler toute fuite de données
- Documenter les pratiques internes en matière de protection des renseignements personnels
2. Consentement éclairé et transparence
Les personnes concernées (patient·es, personnel) doivent être informées des raisons de la collecte de leurs données et donner un consentement libre et éclairé.
Obligations principales :
- Obtenir un consentement explicite avant de recueillir des données
- Expliquer l’objectif de la collecte, la durée de conservation et les éventuels tiers impliqués.
- Fournir une politique de confidentialité claire et accessible.
- En cas d’utilisation d’une technologie impliquant une prise de décision automatisée (ex : algorithmes d’analyse des dossiers), le patient doit en être informé.
3. Sécurité des données personnelles
Des mesures techniques et organisationnelles doivent être mises en place pour prévenir les fuites ou accès non autorisés :
- Restreindre l’accès aux dossiers uniquement aux personnes autorisées
- Utiliser des mots de passe robustes, l’authentification multifactorielle et des protocoles de chiffrement des données
- Prévoir des sauvegardes sécurisées pour éviter toute perte d’information
- Mettre en place un plan de gestion des incidents pour réagir rapidement en cas de fuite ou d’accès non autorisé
- Signaler toute fuite ou violation de données à la CAI et aux personnes concernées.
4. Droit des individus sur leurs renseignements
La Loi 25 renforce le contrôle qu’ont les citoyen·nes sur leurs renseignements personnels.
- Droit d’accès : Toute personne peut demander une copie des renseignements détenus à son sujet.
- Droit de rectification : Toute personne peut demander de faire corriger des erreurs ou des informations inexactes.
- Droit à l’oubli : Sous certaines conditions, une personne peut demander la suppression de ses données si leur conservation n’est plus justifiéeé. Ex : Un·e patient·e peut demander la suppression de son dossier après la fin de son suivi, sauf si la loi exige sa conservation pour une période déterminée.
5. Évaluation des facteurs relatifs à la vie privée (EFVP)
Une EFVP est obligatoire avant la mise en place d’un nouveau projet impliquant des renseignements personnels.
Exemples de projets nécessitant une EFVP :
- Adoption d’un nouveau logiciel de gestion
- Intégration d’une plateforme de prise de rendez-vous en ligne
Cette évaluation permet d’identifier les risques liés à la confidentialité et d’adopter des mesures de protection adaptées.
Comment adopter de bonnes pratiques ?
Voici quelques pistes pour assurer la conformité et renforcer la confidentialité des données de vos patient·es :
- Désignez un·e responsable de la protection des renseignements personnels et documentez ses actions.
- Mettez à jour et communiquez clairement votre politique de confidentialité.
- Sécurisez l’accès aux données (chiffrement, sauvegardes, mots de passe).
- Formez le personnel aux bonnes pratiques de gestion des données.
- Préparez un plan d’action en cas d’incident ou de brèche.
Besoin d’aide pour comprendre vos obligations ?
Comme chaque situation est différent, nous encourageons les professionnel·les et les organisations à s’informer auprès de sources fiables, comme :
- La Commission d’accès à l’information du Québec (CAI)
- Des formations spécialisées en protection des renseignements personnels
- Des juristes expert·es en droit à la vie privée
- Des ressources offertes par votre ordre professionnel, comme :
En résumé
La Loi 25 marque un tournant majeur pour la gestion des renseignements personnels au Québec. Pour les cliniques, OBNL et professionnel·les de la relation d’aide, elle impose des obligations précises pour renforcer la confidentialité, la transparence et la sécurité.
Se conformer à la Loi 25, c’est respecter ses obligations légales, mais aussi démontrer son professionnalisme et sa volonté de protéger la vie privée de ses patient·es.
À propos de l’auteur

Alyson occupe le poste de responsable des communications marketing chez Optania, où elle met à profit son expertise pour développer des stratégies de communication claires, inclusives et percutantes. Son parcours académique, qui combine un diplôme collégial en arts et lettres avec un baccalauréat en communication interculturelle et médiatique, lui a permis de maîtriser les nuances de la communication dans des contextes variés.
Reconnaissante de la richesse des interactions humaines, Alyson est passionnée par la communication. Cette sensibilité, alliée à sa créativité et à sa polyvalence, se traduit par sa capacité à créer des messages adaptés et engageants. Grâce à sa vision stratégique et son approche empathique, elle joue un rôle clé dans la valorisation des initiatives d’Optania.
Voir tous les billets de Alyson Mailloux-AsselinLes derniers billets
-
Loi 25 : Résumé pratique pour cliniques, OBNL et travailleur·euses autonomes
-
Comment créer un plan d'intervention : Guide et modèles pour professionnels
-
Alternatives à Jane App : Meilleures solutions québécoises et plus

Optimisez efficacement la gestion de votre pratique professionnelle avec Psylio
Prise de notes, gestion des rendez-vous, des finances et plus encore!