Loi 25 : la checklist de conformité pour une municipalité

La Loi 25 (anciennement projet de loi 64) impose aux municipalités québécoises des obligations strictes en matière de protection des renseignements personnels. Voici une checklist concrète pour vous mettre en conformité — et garder le contrôle de vos données.

Pourquoi la Loi 25 concerne directement votre municipalité

Depuis septembre 2023, toute organisation qui recueille des renseignements personnels — incluant les villes, MRC et organismes publics — doit respecter des règles renforcées sur la collecte, la conservation et la divulgation de ces données. Les amendes peuvent atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial. Pour une municipalité, le risque n’est pas que financier : c’est aussi une question de confiance citoyenne.

La checklist de conformité Loi 25 pour une municipalité

1. Désigner un responsable de la protection des renseignements personnels (RPRP)

C’est la première obligation, souvent le directeur général par défaut. Cette personne doit être identifiée publiquement et ses coordonnées affichées sur le site web de la municipalité.

2. Cartographier vos renseignements personnels

Vous ne pouvez pas protéger ce que vous ne connaissez pas. Recensez où sont stockés les renseignements des citoyens : système de taxation, permis, plaintes, ressources humaines, caméras de surveillance, infolettres. Notez pour chacun : la finalité, la durée de conservation et qui y a accès.

3. Mettre en place une politique de gouvernance

Rédigez (et adoptez par résolution du conseil) une politique encadrant la collecte, l’utilisation, la communication, la conservation et la destruction des renseignements personnels.

4. Gérer le consentement

Le consentement doit être clair, libre et éclairé, demandé séparément pour chaque finalité. Fini les cases pré-cochées et les formulaires fourre-tout.

5. Préparer un plan de réponse aux incidents

En cas d’incident de confidentialité présentant un risque sérieux, vous devez aviser la Commission d’accès à l’information (CAI) et les personnes concernées. Un registre des incidents est obligatoire.

6. Encadrer la communication hors Québec

Avant de transférer des renseignements à l’extérieur du Québec — y compris vers un fournisseur infonuagique américain — vous devez réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP). C’est ici que l’hébergement souverain prend tout son sens : si vos données ne quittent jamais le Québec, vous éliminez ce risque à la source.

7. Assurer la transparence

Publiez une politique de confidentialité accessible et permettez aux citoyens d’exercer leurs droits : accès, rectification et, dans certains cas, désindexation.

Comment simplifier tout ça : MuniShield

Cocher ces cases manuellement, avec des fichiers Excel éparpillés, c’est risqué et chronophage. Notre plateforme MuniShield centralise tout ce dont une municipalité a besoin pour démontrer sa conformité : registres, politiques, cartographie des données, gestion des incidents et préparation aux audits — le tout hébergé au Québec, sous votre contrôle.

Conçue spécifiquement pour le secteur municipal québécois, elle transforme une obligation légale complexe en un processus clair et traçable.

Reprenez le contrôle, en toute conformité

La conformité à la Loi 25 n’est pas une case à cocher une fois pour toutes : c’est un processus continu. Mais avec les bons outils et un partenaire qui comprend la réalité municipale, c’est tout à fait gérable.

Vous voulez évaluer où en est votre municipalité? Contactez nos experts pour une évaluation gratuite, ou appelez-nous au 514 552-7900. Découvrez aussi nos solutions pour municipalités.

Reprenez le contrôle de votre informatique

« La question n'est pas est-ce qu'on peut se le permettre — c'est est-ce qu'on peut encore se permettre de ne pas l'avoir ? »

📞 514 552-7900 ✉️ contact@helpforinfo.com 🇨🇦 Conçues au Québec et au Canada — réponse rapide, en français

Réserver une démo