Loi 25 Québec : ce que chaque thérapeute en pratique privée doit savoir en 2026
La Loi 25 du Québec impose des obligations strictes sur la protection des données personnelles — y compris pour les thérapeutes autonomes. Guide pratique de conformité.
FYL.CARE Team
Auteur
Loi 25 Québec : ce que chaque thérapeute en pratique privée doit savoir en 2026
Si vous exercez en pratique privée au Québec — comme psychologue, travailleur social, ergothérapeute, thérapeute conjugal ou familial — la Loi 25 s'applique à vous. Pas seulement aux grandes entreprises. Pas seulement aux hôpitaux.
À vous, aussi.
Et depuis septembre 2023 et septembre 2024, toutes ses dispositions sont maintenant en vigueur. En 2026, il n'y a plus d'excuse pour ne pas être conforme — et les pénalités peuvent être sévères.
Voici ce que vous devez connaître.
Qu'est-ce que la Loi 25, exactement ?
La Loi 25 (officiellement : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) a été adoptée en 2021 et est entrée en vigueur progressivement :
- Septembre 2022 : premières mesures (responsable de la protection, incidents de confidentialité)
- Septembre 2023 : droits des personnes concernées (droit à l'oubli, portabilité des données, consentement explicite)
- Septembre 2024 : évaluation des facteurs relatifs à la vie privée (EFVP) et communication à l'extérieur du Québec
En 2026, c'est l'ensemble de ces obligations qui s'appliquent à votre pratique.
Pourquoi ça concerne les thérapeutes en solo ?
Vous collectez des données extrêmement sensibles : noms, diagnostics, notes de séance, historique médical, coordonnées, parfois même des informations sur des tiers (conjoints, parents, enfants). Ces données sont parmi les plus protégées sous la Loi 25.
Même en tant que travailleur autonome sans employé, vous êtes considéré comme une « entreprise » au sens de la loi si vous collectez, utilisez ou communiquez des renseignements personnels dans le cadre d'une activité commerciale.
Et dans la santé mentale, c'est presque inévitable.
Les 5 obligations clés pour votre pratique privée
1. Nommer un responsable de la protection des renseignements personnels
Vous êtes solo ? C'est vous. Vous devez officiellement désigner cette fonction — et l'information doit être publiée sur votre site web (nom ou titre du responsable).
En pratique : Ajoutez une mention dans votre politique de confidentialité : "Le responsable de la protection des renseignements personnels est [votre nom], joignable à [email]."
2. Obtenir un consentement éclairé, explicite et documenté
Le consentement verbal au début d'une première séance ne suffit plus. Il doit être :
- Clair : votre client comprend ce qui est collecté et pourquoi
- Libre : pas de pression pour accepter
- Éclairé : il sait à qui ses données peuvent être communiquées (assurances, superviseurs, etc.)
- Documenté : vous pouvez prouver qu'il a été donné
En pratique : Intégrez un formulaire de consentement numérique à votre processus d'accueil. Il doit couvrir : la collecte, la conservation, et toute communication potentielle.
3. Stocker les données au Québec (ou obtenir un consentement explicite)
Si vous utilisez un logiciel américain — SimplePractice, TherapyNotes, Jane App — vos données sont stockées aux États-Unis. Sous la Loi 25, communiquer des renseignements personnels hors Québec exige :
- Une évaluation des facteurs relatifs à la vie privée (EFVP)
- Un contrat avec le prestataire garantissant une protection équivalente
- Un consentement du client si le niveau de protection est jugé insuffisant
En pratique : Lisez les termes de confidentialité de votre logiciel actuel. Beaucoup de solutions US ne répondent pas à ces critères — ou facturent des modules de conformité supplémentaires.
4. Gérer les incidents de confidentialité
Si des données de clients sont compromises (piratage, envoi d'email au mauvais destinataire, perte d'un appareil), vous devez :
- Évaluer le risque de préjudice sérieux
- Aviser la Commission d'accès à l'information (CAI) dans les 72 heures si le risque est élevé
- Notifier les personnes concernées
En pratique : Tenez un registre des incidents — même mineurs. La loi l'exige.
5. Respecter le droit à l'effacement et la portabilité
Vos clients peuvent maintenant vous demander de :
- Supprimer leurs données personnelles (avec certaines exceptions légales pour la conservation des dossiers)
- Recevoir leurs données dans un format technologique commun (portabilité)
En pratique : Définissez une politique de conservation claire. Les dossiers thérapeutiques ont des durées minimales imposées par votre ordre professionnel — mais au-delà, la suppression doit être possible.
Les logiciels étrangers : un risque réel
La majorité des logiciels de gestion de pratique populaires — SimplePractice, TherapyNotes, Jane App — hébergent leurs données aux États-Unis. Avec la Loi 25, cela représente un risque légal croissant pour les thérapeutes québécois.
Ce n'est pas seulement une question technique. En cas d'incident ou d'audit, la responsabilité repose sur vous — pas sur le logiciel.
Quelques questions à poser à votre fournisseur actuel :
- Où sont hébergées mes données ?
- Avez-vous une EFVP disponible pour le Québec ?
- Offrez-vous un accord de traitement des données conforme à la Loi 25 ?
Si vous n'obtenez pas de réponses claires, il est temps de réévaluer.
Mots-clés longue traîne ciblés
Pour les thérapeutes qui cherchent : loi 25 thérapeute québec, conformité données pratique privée psychologue, logiciel thérapeute Québec conforme loi 25, protection renseignements personnels travailleur social privé, PIPEDA loi 25 psychologue autonome.
Pourquoi FYL.care ?
FYL.care a été conçu avec le contexte réglementaire canadien à l'esprit — pas comme une adaptation d'un outil américain.
- Données hébergées au Canada
- Consentement numérique intégré au processus d'accueil client
- Dossiers clients structurés pour faciliter la gestion et la suppression
- Gratuit — pas de frais de module "conformité" ajouté sur votre facture mensuelle
La Loi 25 n'est pas une contrainte à éviter — c'est un standard de respect envers vos clients. Choisir les bons outils, c'est déjà un pas vers cette conformité.
En résumé : votre checklist Loi 25
✅ Vous avez désigné un responsable de la protection (vous-même, si solo)
✅ Votre politique de confidentialité est publiée sur votre site
✅ Vos formulaires de consentement sont explicites et documentés numériquement
✅ Vous savez où vos données sont stockées — et si c'est hors Québec, vous avez évalué le risque
✅ Vous avez un processus pour gérer un incident de confidentialité
✅ Vous pouvez honorer une demande d'effacement ou de portabilité
Si une case est décochée, c'est à faire maintenant — pas la prochaine fois que vous penserez à la conformité.
Simplifiez votre pratique privée tout en restant conforme.
👉 Créez votre compte gratuit sur FYL.care