What is Law 25?
Quebec's modernized privacy law, introducing stricter consent, breach-reporting, and accountability obligations.
Law 25 (formerly Bill 64) is Quebec's overhaul of its private-sector privacy regime, phased in between 2022 and 2024. It introduces some of the strictest privacy requirements in Canada: mandatory breach reporting, a designated privacy officer, privacy-impact assessments for certain projects, stronger consent rules, data-portability rights, and meaningful penalties for non-compliance. If your organization handles the personal information of people in Quebec, Law 25 likely applies regardless of where you are based. Much of compliance is governance and documentation, but the breach-reporting and safeguards obligations make detection and incident response a direct compliance concern, not just an IT one.
En français
Loi 25
La loi québécoise modernisée sur la protection de la vie privée, qui impose des règles plus strictes de consentement, de déclaration des atteintes et de responsabilité.
La Loi 25 (anciennement le projet de loi 64) est la refonte par le Québec de son régime de protection de la vie privée dans le secteur privé, déployée entre 2022 et 2024. Elle introduit certaines des exigences les plus strictes au Canada : déclaration obligatoire des atteintes, désignation d'un responsable de la protection des renseignements personnels, évaluations des facteurs relatifs à la vie privée, règles de consentement renforcées, droit à la portabilité des données et sanctions importantes. Si votre organisation traite les renseignements personnels de personnes au Québec, la Loi 25 s'applique vraisemblablement, peu importe où vous êtes établi.