Différences et similitudes entre Loi 25 et RGPD

« On est déjà conformes RGPD, donc on est bons pour le Québec » — j'entends ça souvent. C'est à moitié vrai. La Loi 25 et le RGPD partagent la même philosophie, mais ce ne sont pas des photocopies. Votre référence locale, c'est la CAI, pas la CNIL.

Point à retenir : un badge « GDPR compliant » sur un SaaS aide, mais ne remplace pas vos obligations québécoises — politiques, PRP, incidents, transferts hors Québec.

Ce qui se ressemble

Si vous avez déjà travaillé le RGPD, vous n'êtes pas à zéro. Les grands principes matchent :

• Responsabilité — gouvernance, documentation, preuve de diligence.
• Transparence et droits — accès, rectification, portabilité selon les cas (portabilité et oubli).
• Consentement renforcé — marketing et cookies non essentiels (consentement).
• Sanctions — amendes significatives en cas de manquements graves (sanctions).
• Évaluations d'impact — EFVP au Québec, EIPD en Europe (EFVP).

Spécificités québécoises à ne pas négliger

Par contre, copier-coller votre politique européenne sans adaptation, c'est un drapeau rouge en audit.

• Portée — Loi 25 pour les activités au Québec; RGPD pour les résidents de l'UE. Vous pouvez être assujetti aux deux.
• Autorité — CAI du Québec, guides et décisions locales.
• Langue — politiques et avis compréhensibles pour le public québécois; le français est la norme pour la plupart des organisations ici.
• Transferts hors Québec — régime à documenter; distinct des décisions d'adéquation de l'UE.
• Responsable PRP — désignation et publication très attendues au Québec (fiche PRP).

Déjà aligné sur le RGPD? Voici les écarts à combler

1. PRP visible — coordonnées publiées pour le marché québécois, pas seulement un DPO européen dans les petits caractères.
2. Site Web CAI — politique, cookies, formulaires alignés avec la réalité (politique Web, bannière cookies).
3. Contrats fournisseurs — clauses Loi 25 / Québec, pas uniquement RGPD (sous-traitants).
4. Incidents — règles de notification à la CAI confirmées (procédure d'incident).
5. Test d'humilité — si votre seule preuve de conformité est un logo GDPR sur le site du CRM, vous n'avez pas fini.

En bref

Le RGPD vous a donné une longueur d'avance sur la culture « privacy by design ». Utilisez-la — puis ajustez pour le Québec. Votre check-list express reste le miroir honnête.

Références utiles

• CAI — Protection des renseignements personnels — référence québécoise (pas la CNIL).
• Loi P-39.1 (secteur privé) — cadre local à documenter en parallèle du RGPD.
• Check-list express Loi 25 — auto-diagnostic oui/non pour une PME.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

Plusieurs obligations de la Loi 25 se manifestent sur votre site public (politique, cookies, coordonnées du PRP). Notre analyse technique gratuite aide à repérer les écarts observables — elle complète, sans remplacer, votre programme de conformité.