Ce que la Loi 25 signifie pour les startups québécoises — un guide pratique

Si vous bâtissez une entreprise qui touche aux renseignements personnels au Québec — et presque toute entreprise en technologie de la santé le fait — la Loi 25 n'est pas un détail à régler plus tard. C'est une contrainte d'architecture. Plus tôt vous la traitez comme telle, moins vous aurez de travail à refaire.

Voici la version en langage clair que j'aurais aimé recevoir il y a un an. Elle est pratique, pas exhaustive. Pour une orientation officielle, consultez la Commission d'accès à l'information et des conseillers qualifiés en confidentialité. Ceci n'est pas un avis juridique.

La version courte

Le Canada a une loi fédérale sur la protection des renseignements personnels dans le secteur privé: la LPRPDE. Le Québec a la sienne, modernisée en 2021 par la Loi 25. Cette modernisation a rapproché le cadre québécois du RGPD, ajouté des obligations importantes et introduit de vraies pénalités.

Trois choses à savoir dès le départ. Si vous exercez des activités au Québec, la Loi 25 s'applique, peu importe où se trouvent vos serveurs, votre équipe ou vos clients. Les règles ne sont pas simplement un sous-ensemble de la LPRPDE; à plusieurs endroits, elles sont plus strictes. Et la loi est pleinement en vigueur depuis septembre 2024, incluant le droit à la portabilité des données. Il n'y a plus de période de grâce.

Les cinq surfaces opérationnelles

Dans la loi, cinq surfaces reviennent dans presque toutes les conversations produit.

1. Un consentement spécifique, éclairé et granulaire

Sous la Loi 25, le consentement n'est pas un seul interrupteur. Si vous recueillez des renseignements personnels pour plusieurs finalités, vous avez besoin d'un consentement spécifique pour chaque finalité, sans les regrouper. « En utilisant ce service, vous acceptez tout ce qui suit » n'est pas un modèle de consentement compatible avec la Loi 25.

Dans un produit de santé numérique, cela veut dire plusieurs écrans de consentement, pas un seul. L'utilisation clinique est une chose. L'utilisation pour la recherche ou l'entraînement de modèles est séparée. Les préférences de communication sont une troisième chose. Chacune doit être acceptée explicitement, expliquée clairement et retirable de façon indépendante, sans affecter les autres.

Ce n'est pas cosmétique. Dès le jour un, votre modèle de données doit suivre le consentement par finalité avec un historique complet: chaque octroi, modification et retrait, avec un horodatage difficile à altérer. Le faire après coup coûte cher. Le prévoir au niveau du schéma dès le départ coûte presque rien.

2. Résidence des données et transferts hors Québec

La Loi 25 impose de vraies obligations lorsqu'on envoie des renseignements personnels à l'extérieur du Québec: il faut réaliser une évaluation des facteurs relatifs à la vie privée, évaluer la protection offerte dans la destination et pouvoir démontrer que le transfert est conforme.

Pour la plupart des startups en santé, la réponse la plus propre est d'éviter la question autant que possible: garder les renseignements personnels au Québec par défaut. Une région infonuagique canadienne, des charges de production au Québec lorsque possible, et des choix délibérés pour tout fournisseur tiers qui touche aux données.

Chez CuraDia, nous traitons les décisions d'hébergement et de fournisseurs comme des sujets de revue de confidentialité, pas comme de simples choix d'infrastructure. L'objectif est de savoir quelle information quitte le Québec, pourquoi elle quitte, qui peut y accéder, et quelles protections contractuelles et techniques s'appliquent avant qu'une équipe d'approvisionnement le demande.

3. Notification des incidents

Si un incident de confidentialité survient et présente un risque de préjudice sérieux, la Loi 25 exige de notifier rapidement la Commission d'accès à l'information et les personnes touchées. Il faut aussi tenir un registre de tous les incidents, incluant ceux qui ne franchissent pas le seuil de notification.

Opérationnellement: écrivez votre plan de réponse aux incidents avant d'en avoir besoin. Nommez vos contacts d'escalade et vos seuils de décision. Tenez un vrai registre, avec horodatages et évaluation de sévérité, pas un dossier de courriels.

Pour une entreprise pré-pilote, le mot « incident » peut sembler abstrait. Il ne l'est pas. Un ordinateur portable perdu, un courriel envoyé à la mauvaise adresse avec des renseignements de santé, un contractuel avec trop d'accès: chacun peut être un incident de confidentialité. Le registre n'est pas du théâtre. C'est la preuve que l'organisation a pris l'obligation au sérieux.

4. Confidentialité par défaut

La confidentialité par défaut est une obligation de design. Quand votre produit offre des réglages de confidentialité, le réglage le plus protecteur doit être celui par défaut. Les utilisateurs choisissent d'entrer dans une configuration moins protectrice; ils ne doivent pas devoir en sortir.

Cela façonne de vraies décisions produit. Les préférences de communication commencent au minimum nécessaire. La participation à la recherche est opt-in, jamais opt-out. Tout partage de données, incluant l'analyse et le marketing, exige un consentement affirmatif et spécifique.

Les fondateurs habitués aux réglages de croissance agressifs peuvent trouver cela difficile. La Loi 25 place le défaut en faveur de l'utilisateur, et le produit suit. En technologie de la santé, c'est le bon défaut peu importe la juridiction. Le Québec en fait une obligation légale plutôt qu'une préférence philosophique.

5. Droits et réponses

Les personnes ont des droits précis: savoir ce que vous détenez sur elles, le corriger, le faire supprimer et le faire transférer dans un format portable vers un autre fournisseur. Chacun déclenche une obligation de répondre dans un délai raisonnable — en pratique, des semaines, pas des mois.

Respecter ces droits exige que vos systèmes aient une notion de toutes les données d'une personne réellement interrogeable. Si vous ne pouvez pas assembler sur demande une exportation complète de ce que vous détenez sur un utilisateur, vous ne pouvez pas respecter la portabilité. Si vous ne pouvez pas supprimer ses données de chaque système dans votre délai de service — incluant sauvegardes, journaux d'audit et jeux de données dérivés — vous ne pouvez pas respecter la suppression.

Le moment le moins coûteux pour résoudre cela est au niveau du schéma et des pipelines, dès le premier jour.

Ce que cela coûte, honnêtement

Pour une startup pré-revenus, la Loi 25 coûte du temps fondateur, des choix d'infrastructure et des fonctionnalités reportées. Grosso modo:

Quelques semaines-fondateurs pour lire la loi, mapper les obligations au produit et produire la documentation interne: rôle de responsable de la protection des renseignements personnels, plan de réponse aux incidents, politique de confidentialité, libellés de consentement. Une portion non négligeable de temps d'ingénierie pour les choix d'hébergement, la journalisation d'audit et le suivi du consentement au niveau du schéma. Une revue légale par des conseillers québécois sur les textes de consentement et la politique de confidentialité, ce qui n'est pas optionnel si vous traitez des données de santé. Et des décisions produit: des fonctionnalités qui auraient été livrées rapidement sont maintenant reportées, redessinées ou placées derrière un consentement additionnel. C'est souvent ce dernier coût que les fondateurs sous-estiment.

Les pénalités de non-conformité sont réellement importantes, inspirées du RGPD, avec les cas les plus graves mesurés en pourcentage du chiffre d'affaires mondial ou en dizaines de millions de dollars. Mais la pénalité est rarement ce qui tue une entente. Ce qui tue l'entente, c'est une équipe d'approvisionnement hospitalière, ou une revue de sécurité d'un client entreprise, qui découvre que votre posture de confidentialité ne résiste pas aux questions de base.

Là où les fondateurs sous-estiment la chose

Trois patterns vus dans des conversations avec d'autres fondateurs:

Le consentement est un modèle de données, pas une case à cocher. Bâtissez avec un champ booléen accepted_tos et rien d'autre, et vous reconstruirez dans l'année.

Le rôle de responsable de la protection des renseignements personnels est réel, même fractionné. Une personne nommée, une adresse courriel publiée, un délai de réponse, un processus documenté. Pas seulement un cabinet d'avocats sur mandat: un rôle dans votre entreprise.

L'utilisation des données pour la recherche est le terrain miné. Si vous voulez un jour utiliser vos données de production, même dépersonnalisées, pour entraîner des modèles, le moment de bien faire l'architecture de consentement est avant la collecte. Le consentement de recherche rétroactif est un chemin difficile.

Une pensée de fermeture

La Loi 25 est souvent présentée comme un fardeau pour les startups. Les mauvais jours, j'ai dit des choses semblables. Mais la version honnête, surtout en technologie de la santé, est que la loi pousse dans une direction où nous aurions dû bâtir de toute façon. Consentement granulaire, évaluation des transferts, confidentialité par défaut, suppression propre: ce sont des choses que les patients s'attendent déjà à voir, et que les équipes d'approvisionnement demanderont déjà.

La loi transforme ces attentes en obligations. Pour une entreprise dont le produit dépend de la confiance, cela finit par être une fonctionnalité, pas un bogue.

---

Dr Christian Diab est directeur médical et cofondateur de CuraDia Santé Inc., une medtech québécoise qui bâtit Uro-OS, le système d'exploitation clinique pour l'urologie et la médecine pelvienne. Cet article présente une perspective de fondateur, pas un avis juridique.