9 juin 2026 · 6 min de lecture

Loi 25 Québec et formations en ligne : ce que les organismes de formation doivent savoir

Hébergement Canada, consentement explicite, DPO, registre des activités : checklist concrète pour rendre vos modules de formation conformes à la Loi 25 du Québec.

Depuis septembre 2024, la Loi 25 (modernisation de la protection des renseignements personnels au Québec) s'applique pleinement aux organismes qui collectent des données via leurs plateformes de formation. Voici ce que vous devez vraiment faire — pas la théorie, la checklist.

1. Qui est concerné ?

Toute organisation qui traite des renseignements personnels d'apprenants situés au Québec — quelle que soit sa taille. Un consultant solo avec 10 stagiaires/mois est autant concerné qu'une PME de 200 employés. Les sanctions vont jusqu'à 25 M $CAD ou 4 % du CA mondial.

2. Les 5 obligations qui s'appliquent à vous

Nommer un responsable de la protection des renseignements personnels (équivalent DPO). C'est votre nom + courriel publié sur votre site web. Pas besoin d'embaucher.
Tenir un registre des activités de traitement. Document interne qui liste : quelles données vous collectez, pourquoi, qui y accède, combien de temps vous les gardez.
Obtenir un consentement explicite distinct pour chaque finalité. Une case « J'accepte les CGU » qui couvre 5 traitements différents n'est plus valide.
Évaluation des facteurs relatifs à la vie privée (EFVP) pour tout nouveau système qui traite des données sensibles (santé, biométrie, etc.).
Notifier la CAI en cas d'incident de confidentialité présentant un risque sérieux de préjudice, dans les meilleurs délais.

3. Hébergement : Canada ou ailleurs ?

La Loi 25 n'interdit pas le transfert hors-Canada — elle exige une évaluation et l'information claire de l'apprenant. Mais en pratique, vos clients B2B (grands groupes, ministères, OF agréés) demanderont systématiquement un hébergement Canada Central pour éviter les questions juridiques.

Si vous utilisez une plateforme américaine type Synthesia ou HeyGen, les données transitent par les États-Unis — vous devez le documenter et faire signer un consentement explicite à chaque apprenant. C'est un blocker commercial fréquent.

4. Données minimisées par défaut

La Loi 25 introduit le principe de minimisation : vous ne devez collecter que ce qui est strictement nécessaire. Pour une formation, ça veut dire :

Email apprenant : oui (nécessaire pour le lien d'accès)
Nom : oui si vous délivrez un certificat
Date de naissance, adresse, numéro d'assurance sociale : jamais sauf justification réglementaire claire
Données de progression (temps passé, slides vues) : oui, mais expliquées dans votre politique

5. Droit à la portabilité et à l'effacement

Un apprenant peut demander à tout moment :

L'export de ses données (format structuré, lisible par machine)
L'effacement de son compte et de toutes ses interactions

Vous devez répondre dans les 30 jours. Une plateforme moderne propose ces deux fonctions en self-serve depuis l'espace apprenant.

6. Le consentement Q&A : un piège souvent ignoré

Si votre plateforme propose du Q&A vocal (l'apprenant parle, l'IA transcrit et répond), vous traitez des données biométriques (la voix). Cela exige un consentement séparé et explicite. Au-delà de la conformité, c'est aussi un argument commercial — afficher clairement que les voix ne sont jamais utilisées pour entraîner un modèle public rassure les acheteurs DRH.

7. Documents à préparer

Politique de confidentialité publiée sur votre site (page /trust ou /legal)
Registre des activités de traitement (modèle de la CAI Québec disponible gratuitement)
DPA (Data Processing Agreement) signé avec chaque sous-traitant (votre LMS, votre plateforme IA, votre fournisseur d'analytics)
Procédure interne de réponse aux demandes d'accès (export + suppression)

Synthèse

La Loi 25 ne complique pas la création de formations en ligne — elle exige juste d'être explicite sur ce que vous collectez et pourquoi. Choisir une plateforme qui héberge nativement au Canada (Docentia tier Enterprise sur Azure Canada Central) supprime 80 % des questions juridiques d'un coup. Le reste est de la discipline documentaire.

Besoin d'un kit Loi 25 pour démarrer ? Demandez-nous le modèle de registre + DPA — on l'envoie gratuitement, prêt à signer.

2. Les 5 obligations qui s'appliquent à vous

Nommer un responsable de la protection des renseignements personnels (équivalent DPO). C'est votre nom + courriel publié sur votre site web. Pas besoin d'embaucher.

Tenir un registre des activités de traitement. Document interne qui liste : quelles données vous collectez, pourquoi, qui y accède, combien de temps vous les gardez.

Obtenir un consentement explicite distinct pour chaque finalité. Une case « J'accepte les CGU » qui couvre 5 traitements différents n'est plus valide.

Évaluation des facteurs relatifs à la vie privée (EFVP) pour tout nouveau système qui traite des données sensibles (santé, biométrie, etc.).

Notifier la CAI en cas d'incident de confidentialité présentant un risque sérieux de préjudice, dans les meilleurs délais.

3. Hébergement : Canada ou ailleurs ?

4. Données minimisées par défaut

La Loi 25 introduit le principe de minimisation : vous ne devez collecter que ce qui est strictement nécessaire. Pour une formation, ça veut dire :

Email apprenant : oui (nécessaire pour le lien d'accès)

Nom : oui si vous délivrez un certificat

Date de naissance, adresse, numéro d'assurance sociale : jamais sauf justification réglementaire claire

Données de progression (temps passé, slides vues) : oui, mais expliquées dans votre politique

5. Droit à la portabilité et à l'effacement

Un apprenant peut demander à tout moment :

L'export de ses données (format structuré, lisible par machine)

L'effacement de son compte et de toutes ses interactions

Vous devez répondre dans les 30 jours. Une plateforme moderne propose ces deux fonctions en self-serve depuis l'espace apprenant.

6. Le consentement Q&A : un piège souvent ignoré

7. Documents à préparer

Politique de confidentialité publiée sur votre site (page /trust ou /legal)

Registre des activités de traitement (modèle de la CAI Québec disponible gratuitement)

DPA (Data Processing Agreement) signé avec chaque sous-traitant (votre LMS, votre plateforme IA, votre fournisseur d'analytics)

Procédure interne de réponse aux demandes d'accès (export + suppression)

Synthèse

Besoin d'un kit Loi 25 pour démarrer ? Demandez-nous le modèle de registre + DPA — on l'envoie gratuitement, prêt à signer.