En 2024, le législateur québécois ne s’est pas contenté de tourner la page : il l’a arrachée pour en écrire une nouvelle. La Loi 25 bouleverse la gestion des renseignements personnels et s’immisce jusque dans les archives des entreprises, sans distinction entre hier et aujourd’hui. Si la question de la rétroactivité semblait réservée aux spécialistes, elle s’impose désormais à tous ceux qui manipulent des données, parfois depuis des décennies.
La Loi 25 ne s’est pas frayée un chemin sans résistance. Dès l’annonce de ses dispositions, le monde juridique s’est animé, pointant du doigt une tension avec la tradition de non-rétroactivité. Pourtant, l’histoire du droit regorge d’exceptions qui fissurent ce principe. Le débat ne se limite pas à des querelles d’experts : la portée réelle de la règle dépend du contexte, de la matière traitée, et surtout de la volonté affichée par le législateur.
Plan de l'article
La rétroactivité des lois : un principe souvent mal compris
Quand une nouvelle loi vient s’appliquer sur des faits déjà établis, le sol se dérobe sous les pieds de bien des acteurs. L’idée selon laquelle les lois ne valent que pour l’avenir a la vie dure, mais la réalité juridique s’avère bien plus nuancée. Le code civil, la jurisprudence, et même la doctrine rappellent régulièrement que le législateur peut choisir, s’il le souhaite, de faire peser de nouvelles obligations sur le passé.
La Loi 25, inspirée du RGPD européen, s’inscrit justement dans cette veine. Son calendrier d’application, étalé entre septembre 2022 et septembre 2024, cache une exigence de taille : toutes les pratiques relatives aux renseignements personnels doivent être alignées, y compris pour des données saisies avant la promulgation de la loi. Ce choix ne manque pas de semer le trouble, tant il brouille la frontière entre l’ancien et le nouveau régime.
Le RGPD, avant elle, avait déjà ouvert la voie : la conformité ne s’arrête pas à la date d’entrée en vigueur, mais s’étend à l’ensemble du patrimoine de données. Les entreprises québécoises doivent donc réviser leurs procédures, qu’elles concernent des fichiers récents ou des archives profondes. Ce déplacement du curseur, de l’application immédiate à une sorte d’alignement rétroactif, installe un climat d’incertitude. Les équipes de conformité marchent sur des œufs, cherchant l’équilibre entre adaptation et contrainte.
Pourquoi la Loi 25 fait débat sur la question de la rétroactivité ?
Derrière la réforme, l’enjeu dépasse la technique : c’est la sécurité juridique qui vacille. La Loi 25 force toutes les entreprises à passer au crible leurs pratiques, même pour des données collectées il y a plus d’une décennie. Consentement, stockage, transmission : rien n’échappe à la révision.
Voici les principaux champs touchés par cette extension rétroactive :
- Portabilité et droit à l’oubli : ces droits s’appliquent, sans exception, à l’ensemble des renseignements détenus, anciens comme récents.
- Transparence et sécurité : la loi impose désormais un haut niveau d’exigence, quelle que soit la date de collecte des données.
Pour surveiller tout cela, la CAI (Commission d’accès à l’information) a vu ses pouvoirs renforcés. Désormais, la sanction peut grimper jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial. Cette sévérité évoque la démarche européenne, mais avec une différence majeure : contrairement au droit pénal, la Loi 25 préfère protéger les droits des citoyens, même si cela implique de revenir sur des acquis passés.
Les particuliers gagnent de nouveaux leviers : accès, rectification, retrait du consentement, portabilité. Les entreprises, elles, doivent composer avec des obligations qui s’étendent sur l’ensemble de leur historique de traitement. L’application immédiate aux situations antérieures bouscule les repères, et la crainte d’une interprétation stricte par la CAI ou les tribunaux alimente la prudence, voire l’appréhension. Pour beaucoup, la Loi 25 impose de réinterroger le passé à la lumière de nouvelles règles, remettant en question la stabilité même du droit.
Des exemples concrets pour saisir les implications juridiques et pratiques
Dans la réalité du terrain, la rétroactivité ne reste pas une notion abstraite. Depuis l’adoption de la Loi 25, les entreprises multiplient les audits, les formations et les consultations juridiques. Selon une étude récente de PwC Canada, à peine plus d’un tiers des organisations québécoises s’estiment prêtes : le reste tente de rattraper le temps, sous la pression d’un calendrier serré et de sanctions inédites au Canada.
Les domaines concrets d’application sont nombreux :
- Nomination obligatoire d’un responsable de la protection des renseignements personnels : chaque entreprise doit désigner un référent, chargé de superviser la conformité.
- Mise en place d’un registre des incidents de confidentialité : tout incident, même survenu sur des données anciennes, doit être consigné et signalé à la CAI.
- Refonte totale des politiques de confidentialité : désormais, le consentement explicite et la portabilité des données deviennent des incontournables.
La rétroactivité se traduit concrètement : un incident survenu trois ans plus tôt, mais découvert après l’entrée en vigueur de la loi, doit dorénavant faire l’objet d’une notification conforme. Entreprises technologiques et multinationales subissent la même pression que les PME locales : toute faille, passée ou présente, ouvre la porte à des sanctions.
Face à cette réalité, les outils spécialisés comme Boréalis s’imposent pour piloter la conformité, former les équipes, automatiser le suivi et réécrire les processus. La Loi 25 ne laisse pas le choix : la conformité s’apprécie sur tout le cycle de vie des données, quelle que soit leur date d’enregistrement.
Le Québec a choisi de ne pas regarder dans le rétroviseur, mais d’y retourner pour remodeler le passé selon ses nouvelles règles. Pour les entreprises, l’histoire des données n’est plus un livre fermé : chaque page, même jaunie, reste disponible pour un examen minutieux. Et si l’avenir du droit de la protection des données se jouait désormais autant sur ce que l’on garde que sur ce que l’on croyait déjà classé ?
