Loi 25 du Québec pour les BPO : ce qui a changé, ce qu'il faut faire
Le régime québécois de protection de la vie privée est maintenant le plus strict en Amérique du Nord. Si vous employez des agents québécois ou servez des consommateurs québécois, et la plupart des BPO canadiens font les deux, voici les huit choses à mettre en place.
Serge Belov
Fondateur, FrontLine · Publié 18 mai 2026
La Loi 25 du Québec a terminé son déploiement de trois ans en septembre 2024 et constitue maintenant le régime de protection de la vie privée le plus strict en Amérique du Nord, plus strict sur plusieurs points précis que la LPRPDE au fédéral et sans doute plus strict que le RGPD. Si vous êtes un BPO (Externalisation des processus d'affaires : une firme qui exploite des centres de contact pour le compte d'autres marques.) canadien, vous employez des résidents québécois, vous servez des consommateurs québécois pour le compte de vos clients, ou les deux. La plupart font les deux, et la plupart ne sont pas entièrement conformes.
Voici la lecture de l'opérateur, pas un avis juridique, sur ce qui a changé, ce qu'un audit examinera vraiment, et les huit contrôles à mettre en place.
Ce que la Loi 25 change réellement
Il y a huit clauses qui comptent le plus pour les opérateurs de BPO. Aucune n'est exotique; la plupart reflètent ce qu'un opérateur prudent faisait probablement déjà. Le changement, c'est qu'elles sont maintenant légalement exécutoires, avec de vraies sanctions.
1. Désignation d'un responsable de la protection des renseignements personnels. Toute organisation qui traite des renseignements personnels de résidents québécois doit désigner une personne responsable de la protection des renseignements personnels. Le rôle peut être tenu par un cadre déjà en poste (c'est généralement le cas, souvent le chef de l'exploitation ou le conseiller juridique principal), mais la désignation doit être explicite, publiée sur le site web de l'organisation, et la personne nommée doit être réellement joignable. La CAI vérifie cela sur le site web durant les audits de routine.
2. Évaluations des facteurs relatifs à la vie privée. Avant de déployer tout nouveau système d'information, logiciel ou processus qui traite des renseignements personnels, une organisation doit réaliser une ÉFVP. Pour un BPO, le déclencheur revient souvent : démarrage d'un nouveau client, déploiement d'un nouveau WFM (Gestion des effectifs : prévision, planification des horaires et adhérence.), changement de LMS, nouvel outil de QA (Assurance qualité : le programme qui évalue et révise les interactions des agents.), toute fonctionnalité d'IA qui touche aux données d'agents ou de consommateurs. L'ÉFVP doit être écrite, doit examiner si le traitement est nécessaire, quels sont les risques pour la vie privée et quelles mesures d'atténuation sont en place. La CAI n'approuve pas l'ÉFVP à l'avance, mais elle l'examine si une plainte ou une atteinte fait surface.
3. Consentement par finalité. Le consentement doit être « manifeste, libre, éclairé et donné à des fins spécifiques ». Le consentement groupé (« J'accepte les conditions ») ne suffit plus. Si vous recueillez des renseignements personnels pour les fins A, B et C, vous devez pouvoir démontrer que la personne a eu une occasion claire de consentir à chacune séparément. Pour les BPO, cela touche la façon dont les agents recueillent le consentement dans les appels et les formulaires pour le compte des clients, ce qui doit se refléter dans le script et dans le dossier de données.
4. Le droit à la portabilité des données. Une personne peut demander une copie de ses renseignements personnels dans un format technologique structuré et couramment utilisé. Elle peut aussi demander leur transmission à un tiers. Le délai de réponse de trente jours est ferme. Pour un BPO, cela suppose de disposer d'un export fonctionnel de chaque système qui détient des renseignements personnels d'agents ou de consommateurs, pas seulement le SIRH.
5. Le droit au déréférencement. Une personne peut demander que des renseignements personnels à son sujet soient déréférencés ou anonymisés, en particulier lorsque la diffusion lui cause un préjudice grave. Cela s'applique davantage aux plateformes destinées aux consommateurs qu'aux opérateurs de BPO directement, mais les BPO qui gèrent des bases de connaissances client pour le compte de marques grand public héritent de l'obligation par leurs ententes de service.
6. Notification obligatoire des incidents. Tout « incident de confidentialité » présentant un « risque de préjudice sérieux » doit être déclaré à la CAI sans délai, et les personnes concernées doivent être avisées. « Sans délai » n'est pas défini à l'heure près, mais la CAI l'a interprété comme « une question de jours » dans ses orientations publiées. Le seuil de ce qui constitue un préjudice sérieux dépend aussi des faits. Pencher vers la notification est la position prudente pour l'opérateur.
7. Décision automatisée. Lorsqu'une décision est prise au sujet d'une personne fondée exclusivement sur un traitement automatisé de ses renseignements personnels, la personne doit en être informée, doit savoir quels renseignements ont été utilisés, et doit avoir la possibilité de présenter ses observations à un réviseur humain. Pour les BPO, cela touche les écrans automatisés d'embauche, le pointage de candidats par IA, et de plus en plus les systèmes automatisés de coaching ou de recommandation d'horaires.
8. Application de la loi. Les sanctions administratives pécuniaires peuvent atteindre 10 M$ ou 2 % du chiffre d'affaires mondial, selon le montant le plus élevé. Les sanctions pénales pour les infractions les plus graves peuvent atteindre 25 M$ ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé. Ce sont des chiffres réels et la CAI a été claire sur son intention de s'en servir. Les premières mesures d'application sous le nouveau régime ont commencé à tomber en 2024 et 2025.
Les huit contrôles
La liste des contrôles correspond directement aux huit clauses. Vous avez presque certainement quelques-uns d'entre eux déjà en place sous une forme ou une autre. Le changement, c'est de rendre la documentation défendable et de s'assurer que le flux opérationnel suit la documentation.
Un responsable de la protection des renseignements personnels nommé, publiquement. La CAI vérifie les sites web. Mettez le nom, le rôle et le courriel de contact sur la page de confidentialité. Si vous avez délégué la fonction à un service externe, la désignation légale doit tout de même reposer sur une personne nommée à l'intérieur de votre organisation.
Un modèle d'ÉFVP que vous utilisez vraiment. Un modèle Word vierge que vous remplissez une fois et classez ne suffit que si vous le remplissez réellement pour chaque nouveau système. Le contrôle, ce n'est pas le modèle ; c'est l'habitude de mettre en pause chaque déploiement de nouveau système pour faire une évaluation écrite. Pour un BPO de 300 agents, cela représente environ quatre à huit ÉFVP par année (démarrages de nouveaux clients, remplacements de système, déploiements de fonctionnalités majeures). Le modèle d'ÉFVP que la CAI cite dans ses orientations est le minimum.
Registres de consentement, segmentés par finalité. Quand un agent recueille un consentement durant un appel ou sur un formulaire pour les fins A, B et C, le système doit enregistrer trois indicateurs de consentement indépendants, avec horodatage et version du libellé scripté. Si votre système d'enregistrement d'appels ou de formulaires stocke un seul indicateur de consentement agrégé, c'est le trou à boucher. Pour les opérations de BPO, cela suppose souvent un changement de script et un changement de champ correspondant dans le CRM.
Un flux de demande d'accès qui respecte le délai de trente jours. Un processus documenté pour recevoir une demande d'accès ou de portabilité, identifier chaque système qui détient les données du demandeur, produire l'export et l'envoyer. Le chronomètre démarre à la réception, pas au triage. Pour un BPO qui exploite des opérations multi-clients, le flux doit couvrir chaque tenant client que le demandeur a touché. C'est le plus complexe des contrôles sur le plan opérationnel et le trou le plus courant.
Cahier d'intervention en cas d'incident. Un plan d'intervention écrit incluant qui appelle la CAI, qui avise les personnes concernées, ce que « sans délai » veut dire dans votre opération, et un modèle de lettre de notification. Le cahier doit être testé au moins une fois par année. Les trente premières minutes après la détection d'un incident sont le moment où la décision « est-ce déclarable » se prend, et le cahier est ce qui empêche cette décision d'être prise dans la panique.
Calendriers de rétention avec mise en application technique. Un calendrier documenté de la durée de conservation de chaque catégorie de renseignements personnels, rattaché à une base juridique (besoin opérationnel, exigence réglementaire, obligation contractuelle), et surtout, une automatisation technique qui supprime effectivement les données à la fin de la période de rétention. Un calendrier qui vit dans un document Word pendant que les données restent éternellement dans une base de données satisfait à la documentation, mais pas à la loi.
Documentation des décisions automatisées. Un dossier écrit pour chaque système qui prend des décisions automatisées au sujet de personnes : quelles données entrent, quelle décision sort, qui peut demander une révision humaine, et comment cette révision se fait réellement. Si vous utilisez un tri de candidats ou un pointage par IA, c'est le document que la CAI vous demandera en premier.
Modèle d'avis de confidentialité, à double usage. Un avis pour les personnes dont vous recueillez vous-même les renseignements personnels (candidats à l'emploi, postulants, employés) et un autre pour les personnes dont vous traitez les renseignements pour le compte d'un client. Les deux doivent être différents parce que la base juridique du traitement diffère. Les BPO n'utilisent souvent que le premier et héritent du second à partir de l'avis du client; ce n'est une position défendable que si l'avis du client couvre réellement votre traitement.
FrontLine intègre la plupart de ces éléments dans le flux où le travail se fait. Avis de confidentialité, registres de consentement, calendriers de rétention, flux de demandes d'accès et documentation des décisions automatisées vivent tous dans la couche de données qui fait déjà tourner l'opération, plutôt que dans un outil de conformité parallèle que personne ne touche entre les audits. L'Atlas liste chaque composant avec son statut de construction actuel. Mais aucun des contrôles ci-dessus n'exige une plateforme particulière ; ils exigent un processus documenté et une habitude opérationnelle, qu'un opérateur prudent peut exécuter sur n'importe quelle pile dont il dispose.
Données transfrontalières : la partie que la plupart des BPO ratent
La Loi 25 n'est pas une règle stricte de résidence des données. Les renseignements personnels de résidents québécois peuvent sortir de la province. Ce que la loi exige, c'est une évaluation écrite avant le transfert et une protection contractuelle adéquate pendant celui-ci. Le trou de conformité courant, ce n'est pas le transfert lui-même; c'est qu'aucune évaluation écrite n'a jamais été faite.
L'évaluation doit couvrir quatre éléments : la nature des renseignements personnels transférés, la finalité du transfert, les garanties en place à destination (techniques, contractuelles et légales), et le régime juridique dans la juridiction de destination. Pour un BPO canadien qui transfère des données de résidents québécois vers une société mère américaine ou un sous-traitant américain, l'évaluation doit aborder le droit américain de la surveillance, la question de l'article 702 de la FISA et le CLOUD Act. Rien de tout cela ne signifie que le transfert est interdit. Cela signifie que l'évaluation doit reconnaître ces points et y répondre.
À quoi ressemble en pratique un dossier transfrontalier défendable :
La cartographie des transferts. Un document qui énumère chaque destinataire à l'extérieur du Québec, les données qu'il reçoit, pourquoi, à quelle fréquence et comment. C'est l'inventaire. Si un audit de la CAI tombe et que vous pouvez remettre une cartographie des transferts exacte et à jour en trente minutes, vous avez franchi la barre la plus haute sur laquelle la plupart des opérateurs trébuchent.
Les protections contractuelles. Des clauses contractuelles types ou équivalentes, incluses dans chaque entente avec un destinataire transfrontalier. Le libellé contractuel doit lier le destinataire à des pratiques de protection de la vie privée équivalentes à celles du Québec. Pour les destinataires américains, cela inclut généralement des dispositions d'entente de traitement des données, des restrictions sur les sous-traitants et des obligations de notification d'incident.
L'ÉFVP qui couvre le transfert. Une évaluation des facteurs relatifs à la vie privée portant précisément sur le transfert, complétée avant que le premier transfert n'ait eu lieu. Si l'évaluation est datée après le premier transfert, la documentation est rétroactive, ce que la CAI traite comme une infraction distincte.
La révision annuelle. Les ententes transfrontalières doivent être réévaluées au moins une fois par année. Le régime juridique change (la position du Québec sur l'adéquation des États-Unis évolue, les décisions d'adéquation de l'UE bougent, de nouveaux sous-traitants s'ajoutent), et l'évaluation qui était défendable l'an dernier peut ne plus l'être cette année. La révision annuelle est l'assurance la moins chère.
La plupart des BPO à qui j'ai parlé au Québec transfèrent des renseignements personnels à l'étranger. Presque tous le font d'une façon qui pourrait être rendue conforme avec un travail de documentation qui coûte moins cher qu'une seule mesure d'application. Le hic, c'est que le travail de documentation doit se faire avant qu'on en ait besoin, pas après que la CAI s'est présentée. Les opérateurs qui traitent la Loi 25 comme un exercice consistant à mettre les choses par écrit une fois et à maintenir la discipline sont dans une bien meilleure posture que ceux qui la traitent comme une préparation ponctuelle d'audit.
Sources
La Loi 25 du Québec est l'abréviation courante pour la *Loi modernisant des dispositions législatives en matière de protection des renseignements personnels* (anciennement Projet de loi 64). Références faisant autorité ci-dessous.
La loi elle-même. Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c. P-39.1) . Le texte officiel consolidé tel que modifié par la Loi 25, disponible en français et en anglais.
Le régulateur. Commission d'accès à l'information du Québec (CAI) . Le régulateur québécois en matière de protection de la vie privée. Les documents d'orientation, les formulaires types et les décisions d'application de la CAI sont la principale référence opérationnelle. Son site est la meilleure source pour l'interprétation actuelle de « sans délai », le modèle d'ÉFVP et les seuils de notification d'incident.
Cet article n'est pas un avis juridique. Le droit québécois en matière de protection de la vie privée évolue par les orientations de la CAI, les décisions des tribunaux et les décisions administratives. Pour toute mise en œuvre précise, retenez les services d'un conseiller juridique inscrit au Barreau du Québec. L'article ci-dessus est la lecture opérationnelle de quelqu'un qui a aidé des opérateurs de BPO à mettre les contrôles en place. C'est un point de départ pour la conversation avec votre avocat, pas un substitut à celui-ci.
Serge Belov
Fondateur, FrontLine
Trois décennies à bâtir du logiciel pour les BPO. FrontLine est la plateforme de gestion de la main-d'œuvre que les leaders BPO réclamaient sans jamais l'obtenir.