Juridique

La rétroactivité de la loi 25 et ses implications

19 octobre 2025

L’application rétroactive de certaines dispositions législatives provoque souvent des ajustements immédiats pour les organisations concernées. La Loi 25, adoptée au Québec, introduit des obligations qui s’appliquent à des données collectées avant son entrée en vigueur.

Les entreprises doivent revoir des pratiques déjà en place, même pour des traitements effectués sous l’ancienne réglementation. Des sanctions sont prévues pour tout manquement, sans distinction entre les données nouvellement acquises et celles déjà détenues.

Vous pourriez aimer : Accès aux documents de faillite au Canada : nature publique et procédures de consultation

La rétroactivité en droit : notions clés et spécificités québécoises

La rétroactivité d’une loi n’a jamais laissé la communauté juridique indifférente. D’un côté, la règle veut qu’une loi nouvelle ne vienne pas bousculer des situations régies par l’ancien droit. Ce principe de sécurité juridique garantit que chacun puisse anticiper les conséquences de ses actes, une exigence régulièrement rappelée par la jurisprudence et le conseil constitutionnel. Pourtant, la réalité s’autorise quelques entorses. Dans certains domaines, la rétroactivité s’invite, à condition de servir l’équité, en droit pénal par exemple, quand elle profite à l’accusé. La Convention européenne des droits de l’homme trace elle aussi des lignes rouges, afin d’éviter tout dérapage.

Le Québec ne fait pas exception à cette tension. Avec la Loi 25, le législateur a voulu projeter la protection des renseignements personnels dans l’ère numérique, en s’inspirant ouvertement du RGPD européen. L’application de ces nouvelles règles à des données collectées avant la loi soulève d’emblée des interrogations. La Commission d’accès à l’information (CAI) se retrouve en première ligne pour interpréter la portée de cette rétroactivité et garantir une cohérence d’ensemble.

Recommandé pour vous : Saisie du juge compétent pour le recouvrement de créances

Pour mieux cerner ces enjeux, voici les principales lignes de force à retenir :

  • Principe : non-rétroactivité, sauf dérogation explicite ou nécessité d’ordre public.
  • Spécificité québécoise : adaptation du principe à la lumière des nouveaux droits numériques.
  • Inspiration européenne : le RGPD a ouvert la voie, la Loi 25 s’en empare.

En pratique, la question de l’application d’une loi nouvelle à des faits passés, notamment dans la gestion massive de données, ne se règle pas à coups de principes généraux. Il faut un dialogue constant entre le législateur, les organisations et les autorités de contrôle. Les technologies évoluent à toute vitesse, rendant l’application uniforme d’un principe aussi mouvant particulièrement délicate.

La loi 25 est-elle réellement rétroactive ? Analyse de son application

La rétroactivité de la loi 25 suscite bien des débats, autant chez les juristes que chez les professionnels de la conformité. À première vue, le texte n’impose pas noir sur blanc une application rétroactive. Pourtant, plusieurs obligations s’étendent à l’ensemble du cycle de vie des données, y compris celles recueillies avant l’entrée en vigueur de la loi. Les entreprises doivent désormais établir un registre des incidents de confidentialité, mettre en place un programme de gouvernance de l’information et désigner un responsable de la protection des renseignements personnels. Impossible d’y échapper : anciennes et nouvelles données sont logées à la même enseigne.

Derrière ces exigences, la Commission d’accès à l’information (CAI) veille au grain, avec des sanctions qui peuvent grimper jusqu’à 25 millions de dollars ou représenter 4 % du chiffre d’affaires mondial. Les citoyens ne sont pas en reste : le droit à la portabilité et le droit à l’oubli leur ouvrent la voie à des demandes portant sur des données accumulées bien avant la loi. Imaginez la portée de ces droits pour la gestion documentaire ou les flux de données qui traversent les frontières. La loi 25 encadre en effet aussi les transferts de données à l’étranger et le traitement des données biométriques.

La rétroactivité générale n’est pas explicitement instaurée, mais dans les faits, l’ensemble du stock de données détenues entre dans le champ des nouvelles obligations. Le Québec s’aligne ainsi sur le RGPD et impose aux organisations une refonte profonde de leurs pratiques. Les analyses d’impact deviennent la règle pour tout traitement jugé sensible, qu’importe la date de collecte des informations.

Jeune femme consultante en tech utilisant une tablette dans un espace de coworking

Conséquences concrètes pour les entreprises et les citoyens face à la rétroactivité potentielle

La loi 25 ne tolère plus l’approximation. PME comme filiales de multinationales sont tenues de passer en revue l’ensemble de leurs processus de gestion des renseignements personnels. Cela implique la désignation d’un responsable de la protection des renseignements personnels, la tenue d’un registre des incidents de confidentialité et la mise en place d’un programme de gouvernance de l’information. Ces mesures s’appliquent aussi bien aux données fraîchement recueillies qu’à celles stockées depuis des années, ce qui complique sérieusement la tâche de mise en conformité.

Les grandes entreprises peuvent compter sur des équipes spécialisées et sur des outils comme Boréalis pour piloter cette transformation. À l’inverse, de nombreuses PME avancent à petits pas : selon PwC Canada, seules 35 % estiment être en mesure de respecter les nouvelles exigences de la loi 25. La Commission d’accès à l’information ne fait pas de distinction. Les sanctions, parfois vertigineuses, sont déjà tombées ailleurs : Meta, Facebook, Google ou Amazon ont payé le prix fort pour des manquements à des règles similaires.

Pour les citoyens, la donne a changé. Le droit à la portabilité et le droit à l’oubli s’exercent désormais sur tous les jeux de données, quelle que soit leur ancienneté. Les demandes d’accès, de correction ou de retrait du consentement se multiplient, obligeant les organisations à revoir de fond en comble leurs politiques, leurs systèmes et même leur culture interne. Les effets de cette rétroactivité s’installent durablement : la vigilance devient incontournable sur toute la chaîne de gestion de l’information.

Désormais, chaque donnée, où qu’elle dorme dans les serveurs, peut devenir le point de départ d’un nouveau rapport de force. La Loi 25, loin de n’être qu’un texte de plus, redistribue les cartes dans un jeu où la mémoire numérique n’oublie rien… sauf quand la loi l’ordonne.