Loi 25 vs RGPD : ce que le Québec a emprunté à l'Europe (et ce qu'il a ajouté)

La Loi 25 du Québec s'inspire directement du Règlement général sur la protection des données (RGPD) européen, entré en vigueur le 25 mai 2018. Les deux lois partagent la même philosophie : donner aux individus le contrôle sur leurs renseignements personnels et imposer des sanctions financières significatives aux organisations qui ne les protègent pas. Le professeur Nicolas Vermeys de l'Université de Montréal a d'ailleurs qualifié la Loi 25 de « copier-coller du RGPD à bien des égards ».

Mais la Loi 25 n'est pas une simple copie. Sur plusieurs points importants, le Québec est allé plus loin que l'Europe. Voici ce qui se ressemble, ce qui diffère, et ce que ça implique pour votre cabinet de services financiers.

Ce que la Loi 25 a emprunté directement au RGPD

Les deux lois partagent un socle commun de principes et de mécanismes.

Le consentement renforcé. Comme le RGPD (articles 6 et 7), la Loi 25 exige un consentement manifeste, libre et éclairé. Le consentement par défaut (cases pré-cochées) n'est plus valide. La personne doit comprendre clairement à quoi elle consent, et chaque finalité doit faire l'objet d'un consentement distinct. Le droit à l'effacement. Inspiré de l'article 17 du RGPD (le « droit à l'oubli »), la Loi 25 permet à toute personne de demander la suppression de ses renseignements personnels lorsque la collecte ou la conservation n'est plus nécessaire aux fins pour lesquelles ils ont été recueillis. La portabilité des données. Comme l'article 20 du RGPD, la Loi 25 (Phase 3, septembre 2024) donne le droit de recevoir ses données dans un format structuré et couramment utilisé, et de les faire transmettre à un autre organisme. Les évaluations d'impact. L'EFVP (évaluation des facteurs relatifs à la vie privée) de la Loi 25 est l'équivalent du PIA (Privacy Impact Assessment) prévu à l'article 35 du RGPD. Les deux imposent une analyse de risques avant tout projet impliquant des renseignements personnels. La confidentialité par défaut. Les deux cadres exigent que les paramètres de confidentialité les plus protecteurs soient appliqués par défaut, sans que la personne ait à les activer. L'article 25 du RGPD parle de « protection des données dès la conception et par défaut ». La notification obligatoire en cas de brèche. Les deux lois imposent de notifier l'autorité de contrôle (la CAI au Québec, l'autorité nationale de protection des données en Europe) et les personnes touchées en cas d'incident présentant un risque pour les droits des personnes. Les sanctions proportionnelles au chiffre d'affaires. Le mécanisme « montant fixe ou pourcentage du CA mondial, le plus élevé » est structurellement identique. Le RGPD (article 83) utilise « 20 M€ ou 4 % du CA mondial annuel ». La Loi 25 utilise « 25 M$ ou 4 % du CA mondial » pour les amendes pénales. La formulation est quasi identique.

Là où le Québec dépasse le RGPD

Sur plusieurs aspects, la Loi 25 impose des exigences plus strictes que le RGPD. Ces dépassements sont souvent méconnus, y compris par les entreprises qui se croient conformes parce qu'elles respectent le RGPD.

La responsabilité incombe au plus haut dirigeant. Sous la Loi 25, la responsabilité de la protection des renseignements personnels repose par défaut sur la personne ayant la plus haute autorité dans l'organisation. Sous le RGPD, l'obligation est portée par l'organisation comme entité juridique, et le DPO (délégué à la protection des données) est un rôle consultatif distinct de la direction. La Loi 25 place la responsabilité directement sur les épaules du dirigeant principal. L'EFVP est obligatoire avant tout transfert hors province. C'est probablement la différence la plus significative pour les entreprises canadiennes. Le RGPD encadre les transferts hors de l'Espace économique européen (EEE) vers des pays tiers, avec un mécanisme de décisions d'adéquation. La Loi 25 exige une EFVP avant toute communication de renseignements personnels à l'extérieur du Québec, y compris vers l'Ontario ou l'Alberta. Il n'existe pas de mécanisme d'adéquation automatique entre provinces canadiennes. Chaque transfert hors Québec nécessite une évaluation du cadre juridique de destination. Le droit de poursuite privé avec plancher de 1 000 $. L'article 93.1 de la Loi 25 crée un droit de poursuite civile unique en Amérique du Nord. Le tribunal doit accorder des dommages punitifs d'au moins 1 000 $ par personne victime d'une atteinte intentionnelle ou résultant d'une faute lourde. Les recours collectifs sont expressément permis. Le RGPD (article 82) prévoit un droit à réparation pour tout préjudice matériel ou moral, mais sans plancher minimum obligatoire. Le mécanisme québécois est nettement plus favorable aux plaignants. Le doublement automatique en cas de récidive. L'article 92 de la Loi 25 prévoit que les amendes pénales sont automatiquement doublées en cas de récidive. Sous le RGPD, la récidive est un facteur aggravant parmi d'autres (article 83, paragraphe 2), mais il n'y a pas de doublement mécanique. La différence est significative : sous la Loi 25, c'est automatique. Sous le RGPD, c'est à l'appréciation de l'autorité de contrôle. L'opt-in obligatoire pour tout suivi et profilage. La Loi 25 exige un consentement explicite de type opt-in avant d'utiliser des technologies de suivi ou de profilage. Le RGPD permet, dans certains cas, de s'appuyer sur l'intérêt légitime (article 6, paragraphe 1, point f) comme base juridique pour le profilage, sans nécessairement obtenir un consentement explicite. Le Québec est la seule juridiction en Amérique du Nord à exiger un opt-in systématique pour le suivi. La confidentialité par défaut plus stricte. Sous la Loi 25, les paramètres de confidentialité par défaut des produits et services technologiques doivent assurer le plus haut niveau de confidentialité, sans intervention de la personne. Le RGPD est formulé de manière similaire, mais la pratique européenne a permis davantage de flexibilité dans l'interprétation. La CAI a signalé une application stricte de ce principe dans ses premières décisions de surveillance.

Le mécanisme d'amendes côte à côte

Le tableau suivant compare les plafonds de sanctions entre les deux régimes.

Sanctions administratives (voie non pénale) :

RGPD, palier 1 : 10 M€ ou 2 % du CA mondial. RGPD, palier 2 : 20 M€ ou 4 % du CA mondial. Loi 25, SAP : 10 M$ ou 2 % du CA mondial. Dans les deux cas, c'est le montant le plus élevé qui s'applique.

Amendes pénales :

Le RGPD ne prévoit pas de voie pénale directe au niveau du règlement (les États membres peuvent en prévoir dans leur transposition). La Loi 25 prévoit des amendes pénales distinctes : 25 M$ ou 4 % du CA mondial, imposées par la Cour du Québec.

Récidive :

RGPD : facteur aggravant à l'appréciation de l'autorité de contrôle. Loi 25 : doublement automatique des amendes pénales.

Poursuite privée :

RGPD : droit à réparation sans plancher (article 82). Loi 25 : droit de poursuite avec plancher obligatoire de 1 000 $ en dommages punitifs, recours collectif permis.

Personnes physiques (dirigeants) :

RGPD : pas de sanctions directes sur les individus au niveau du règlement. Loi 25 : responsabilité personnelle des administrateurs et dirigeants (article 93), SAP jusqu'à 50 000 $ et amendes pénales de 5 000 $ à 100 000 $.

La structure est cousine, mais la Loi 25 ajoute une couche pénale distincte, un doublement automatique et un droit de poursuite privé que le RGPD n'a pas.

L'application concrète : deux vitesses très différentes

La plus grande différence entre les deux régimes n'est pas dans le texte, mais dans l'application.

Depuis mai 2018, les autorités européennes ont imposé des amendes cumulées dépassant 5,65 milliards d'euros sous le RGPD. Les sanctions records incluent des amendes de centaines de millions d'euros contre des géants technologiques. Le RGPD dispose d'un corpus interprétatif considérable : lignes directrices du CEPD (Comité européen de la protection des données), jurisprudence de la CJUE (Cour de justice de l'Union européenne), et des milliers de décisions des autorités nationales.

Au Québec, en mars 2026, la CAI n'a encore imposé aucune SAP rendue publique sous la Loi 25. Son approche est pédagogique et de surveillance progressive. Des ordonnances ont été rendues (reconnaissance faciale chez Transcontinental, projet biométrique chez Metro), mais pas de SAP. La trajectoire rappelle les premières années du RGPD (2018-2019), où les autorités européennes ont d'abord misé sur l'accompagnement avant de passer aux sanctions lourdes.

Cette fenêtre de clémence ne durera pas indéfiniment. Plusieurs cabinets d'avocats qualifient le régime de « pleinement opérationnel » et observent une intensification progressive de l'activité d'application. Les entreprises qui attendent les premières sanctions pour se conformer jouent un jeu risqué.

Ce que ça veut dire pour votre cabinet

Si vous êtes conforme à la Loi 25, vous êtes largement aligné avec le RGPD. La Loi 25 est dans l'ensemble plus exigeante. Un cabinet qui respecte les [sept obligations de la Loi 25](/blogue/loi-25-obligations-cabinet-financier) serait en bonne posture face au RGPD également. L'inverse n'est pas toujours vrai. Une entreprise conforme au RGPD pourrait avoir des lacunes sous la Loi 25, notamment sur l'EFVP obligatoire pour les transferts interprovinciaux (une exigence qui n'a pas d'équivalent en Europe, où les transferts intra-EEE sont libres), le droit de poursuite privé avec plancher de 1 000 $ (un risque financier que le RGPD ne génère pas de la même manière), et la responsabilité personnelle des dirigeants. Pour les cabinets qui font affaire avec des clients européens (par exemple, des expatriés ou des clients avec des comptes à l'étranger), la conformité à la Loi 25 couvre la grande majorité des exigences du RGPD, mais pas la totalité. Les mécanismes de transfert transfrontalier diffèrent, et le RGPD impose des obligations supplémentaires pour les transferts vers le Canada (le Canada bénéficie d'une décision d'adéquation partielle de la Commission européenne, limitée aux organisations assujetties à la LPRPDE).

En pratique, pour la plupart des cabinets de services financiers québécois, la conformité à la Loi 25 est la priorité. Le RGPD n'est pertinent que si vous traitez des données de résidents européens, ce qui reste marginal pour les cabinets servant une clientèle locale.

---

*Cet article fait partie d'une série sur la Loi 25 et la conformité pour les cabinets de services financiers. Consultez aussi :*

• *[Loi 25 du Québec : ce que chaque conseiller financier doit savoir en 2026](/blogue/loi-25-guide-conseiller-financier)*
• *[Amendes Loi 25 : comprendre le calcul des sanctions pour votre cabinet](/blogue/loi-25-amendes-calcul-sanctions)*
• *[Les 7 obligations Loi 25 que votre cabinet doit respecter maintenant](/blogue/loi-25-obligations-cabinet-financier)*
• *[Recours collectif Loi 25 : le risque financier que les petits cabinets sous-estiment](/blogue/loi-25-recours-collectif-risque-cabinet)*
• *[EFVP : comment réaliser une évaluation des facteurs relatifs à la vie privée](/blogue/efvp-evaluation-facteurs-vie-privee-loi-25)*