Loi 25 et cabinets dentaires au Québec : ce que vous risquez vraiment en 2024

Les cabinets dentaires du Québec occupent une position particulièrement délicate face à la Loi 25. D'un côté, vous gérez des données de santé parmi les plus sensibles qui soient — dossiers médicaux, radiographies, antécédents de santé bucco-dentaire, informations d'assurance. De l'autre, votre site web propose presque certainement un formulaire de prise de rendez-vous, utilise peut-être Google Analytics pour mesurer votre visibilité, et votre politique de confidentialité a été rédigée il y a des années, voire jamais mise à jour. Cette combinaison fait de votre cabinet l'une des cibles les plus exposées aux inspections de la Commission d'accès à l'information (CAI).

Ce guide vous explique concrètement ce que la Loi 25 exige de votre cabinet, les erreurs les plus fréquentes à corriger, et ce que vous risquez réellement si vous n'agissez pas.

Pourquoi les dentistes sont particulièrement exposés à la Loi 25

Les données de santé : une catégorie juridiquement sensible

L'article 12 de la Loi 25 — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25) — établit une catégorie spéciale pour les renseignements personnels sensibles. Les données de santé en font explicitement partie, aux côtés des données biométriques, des croyances religieuses et des informations financières détaillées.

Cette classification n'est pas symbolique. Elle entraîne des obligations renforcées :

• Le consentement pour la collecte de ces données doit être particulièrement explicite et documenté
• Les mesures de sécurité doivent être proportionnelles à la sensibilité des informations traitées
• Tout incident de confidentialité impliquant des données de santé doit être déclaré à la CAI dans les 72 heures suivant sa connaissance — pas 72 heures après qu'il soit résolu, mais après qu'il soit découvert
• La destruction des dossiers en fin de période de conservation doit suivre des protocoles rigoureux (destruction physique sécurisée, effacement certifié)

En pratique, un dossier patient contient bien plus que des informations dentaires : nom, date de naissance, adresse, numéro d'assurance, coordonnées d'urgence, historique médical complet, informations d'assurance privée. Chacune de ces données est soumise aux exigences de la Loi 25 dès qu'elle circule sous forme numérique.

Les logiciels de gestion dentaire et leurs implications légales

La majorité des cabinets dentaires québécois utilisent des logiciels spécialisés : Dentitek, Tracker ou ABELDent sont les plus répandus. Ces logiciels stockent l'intégralité de vos dossiers patients — souvent dans le nuage (cloud) ou sur des serveurs dont vous ne contrôlez pas nécessairement la localisation géographique.

La Loi 25 impose des obligations claires sur les transferts de données hors Québec. Si votre logiciel envoie des données sur des serveurs américains — ce qui est courant pour les versions cloud de plusieurs solutions — vous devez :

• Informer vos patients de ce transfert dans votre politique de confidentialité
• Vous assurer que le fournisseur dispose d'un accord de traitement conforme
• Évaluer les facteurs relatifs à la vie privée (EFVP) si le transfert présente un risque élevé

Il ne s'agit pas d'interdire ces logiciels — mais de documenter et encadrer leur utilisation conformément à la loi. Demandez à votre fournisseur un document attestant de ses mesures de sécurité et de la localisation de ses serveurs. Si ce document n'existe pas, c'est un signal d'alarme.

L'obligation de nommer un responsable de la protection des données

Si votre cabinet compte plus de 10 employés — dentistes, hygiénistes, assistants, réceptionnistes — vous êtes dans l'obligation de nommer formellement un responsable de la protection des renseignements personnels (RPD), d'en publier l'identité sur votre site web, et de rendre ses coordonnées accessibles à toute personne qui souhaite exercer ses droits.

Dans les cabinets de moins de 10 personnes, l'obligation de désigner un RPD s'applique quand même — c'est simplement le dirigeant principal de l'organisation (le ou la dentiste propriétaire) qui assume ce rôle par défaut. Son nom ou son titre doit tout de même apparaître publiquement.

Les 5 erreurs les plus fréquentes dans les sites web de dentistes

1. Un formulaire de prise de rendez-vous sans mention légale

C'est l'erreur numéro un dans les sites web de cabinets dentaires. Votre formulaire de prise de rendez-vous en ligne collecte au minimum un nom, un numéro de téléphone et une adresse courriel. Il demande parfois le motif de la consultation — une information de santé. La Loi 25 exige que toute collecte de renseignements personnels s'accompagne d'une information claire sur :

• La finalité de la collecte (pourquoi vous demandez ces informations)
• La façon dont elles seront utilisées et par qui
• La durée de conservation
• Les droits de la personne (accès, rectification, retrait)

Un simple lien vers votre politique de confidentialité sous le formulaire ne suffit pas si cette politique ne couvre pas ces éléments de façon précise. La mention doit être visible et compréhensible — pas enfouie dans 15 pages de jargon juridique.

2. Google Analytics actif sans consentement

Si votre site web utilise Google Analytics — et la grande majorité des sites dentaires le font — vous déposez des cookies d'analyse sur l'appareil de chaque visiteur dès son arrivée. Or, depuis septembre 2023, la Loi 25 exige que ces cookies non essentiels soient bloqués jusqu'à ce que l'utilisateur ait explicitement consenti. Pour en savoir plus sur ce sujet, consultez notre article sur les cookies et le consentement en 2026.

Si votre site affiche une bannière de cookies, vérifiez qu'elle bloque réellement Google Analytics avant le clic. Beaucoup de bannières sont cosmétiques : elles s'affichent, mais les scripts sont déjà chargés. C'est précisément ce que vérifie la CAI lors d'une inspection.

3. Une politique de confidentialité copiée-collée d'un template américain

Une recherche rapide sur Google permet de trouver des dizaines de gabarits de politiques de confidentialité en anglais, rédigés selon les exigences de la HIPAA américaine ou du RGPD européen. Ces documents ne sont pas conformes à la Loi 25. Ils ne mentionnent pas les droits spécifiques des résidents québécois, n'indiquent pas les coordonnées du responsable selon les exigences de la CAI, et utilisent souvent des formulations qui créent une fausse impression de conformité.

Votre politique de confidentialité doit être rédigée en français, refléter vos pratiques réelles, et couvrir les 8 éléments obligatoires selon la CAI. Un document générique ne vous protège pas — il peut même aggraver votre situation en cas d'inspection, car il témoigne d'un manque de diligence raisonnée.

4. L'absence de procédure de gestion des incidents

La Loi 25 impose à toute organisation de tenir un registre des incidents de confidentialité et de déclarer à la CAI tout incident présentant un risque de préjudice sérieux — dans les 72 heures suivant sa connaissance. Un incident peut être aussi simple qu'un courriel envoyé au mauvais patient avec les détails de son rendez-vous, un dossier patient consulté par erreur, ou une liste de patients téléchargée sur un appareil non sécurisé.

La plupart des cabinets dentaires n'ont aucune procédure formelle pour détecter et gérer ces incidents. Cela représente un risque double : d'une part, un incident peut passer inaperçu et s'aggraver ; d'autre part, si la CAI découvre qu'un incident non déclaré s'est produit, les sanctions peuvent être considérablement plus sévères que si vous aviez déclaré de bonne foi.

5. Des photos de patients sans consentement écrit archivé

Les cabinets dentaires photographient fréquemment leurs patients : avant/après d'un traitement orthodontique, photos de cas cliniques complexes, sourires de patients satisfaits pour les réseaux sociaux ou le site web. Ces photos sont des données biométriques au sens de la Loi 25 — une catégorie encore plus sensible que les données de santé ordinaires.

Publier une photo d'un patient sur votre site web ou vos réseaux sociaux sans disposer d'un consentement écrit explicite, archivé et daté constitue une infraction potentielle. Le consentement verbal ne suffit pas : vous devez être en mesure de prouver qu'il a été donné, pour quelle utilisation précise, et que la personne en question a été informée de ses droits.

Amendes réelles — ce que risque votre cabinet

La Loi 25 prévoit deux types de sanctions : les amendes administratives pécuniaires (décidées par la CAI) et les sanctions pénales (décidées par un tribunal). Les montants sont parmi les plus élevés en Amérique du Nord.

Type d'infraction	Amende administrative	Sanction pénale
Défaut de politique de confidentialité conforme	Jusqu'à 10 000 000 $ ou 2 % du CA mondial	Jusqu'à 25 000 000 $ ou 4 % du CA mondial
Cookies non essentiels sans consentement préalable	Jusqu'à 10 000 000 $ ou 2 % du CA mondial	Jusqu'à 25 000 000 $ ou 4 % du CA mondial
Incident de confidentialité non déclaré dans les 72 h	Jusqu'à 10 000 000 $ ou 2 % du CA mondial	Jusqu'à 25 000 000 $ ou 4 % du CA mondial
Photos ou données biométriques sans consentement archivé	Jusqu'à 10 000 000 $ ou 2 % du CA mondial	Jusqu'à 25 000 000 $ ou 4 % du CA mondial
Absence de responsable de la protection désigné et publié	Injonction de la CAI + avis de non-conformité	Jusqu'à 25 000 000 $ ou 4 % du CA mondial

Exemple fictif représentatif : Un cabinet de trois dentistes avec un chiffre d'affaires annuel de 800 000 $ CAD. Deux infractions identifiées lors d'une inspection CAI : absence de bannière de consentement aux cookies (Google Analytics actif sans consentement) et politique de confidentialité non conforme à la Loi 25. L'exposition administrative maximale pour ces deux infractions de premier palier représente 4 % du chiffre d'affaires, soit environ 32 000 $ CAD — sans compter les frais juridiques et les coûts de mise en conformité en urgence.

Ces chiffres ne sont pas des maximums théoriques réservés aux grandes entreprises. La CAI a clairement signalé son intention d'appliquer la loi de façon proportionnée, mais effective, à tous les secteurs — y compris les professions de santé. Pour en savoir plus sur comment se préparer à une éventuelle inspection, consultez notre guide sur les inspections de la CAI.

Pour toute information officielle sur les pouvoirs et sanctions de la CAI, consultez directement le site de la Commission d'accès à l'information du Québec.

Comment vérifier votre conformité en 30 secondes

Avant d'investir dans un audit complet ou de mandater un conseiller juridique, vous pouvez obtenir un premier portrait de la situation de votre site en quelques secondes. Notre outil d'analyse gratuit vérifie automatiquement les points les plus critiques : bannière de cookies, politique de confidentialité, traceurs tiers, sécurité HTTPS et formulaires. Le rapport vous indique un score de conformité et identifie les zones prioritaires à corriger.

FAQ — 5 questions que posent les dentistes sur la Loi 25

1. Mon logiciel Dentitek est-il conforme à la Loi 25 ?

Dentitek, comme Tracker et ABELDent, ne sont pas automatiquement conformes ou non conformes à la Loi 25 — c'est votre utilisation du logiciel et vos pratiques de gouvernance des données qui déterminent votre conformité. Ce que vous devez vérifier : où sont hébergés vos données (Canada ou États-Unis ?), quel accord de confidentialité lie vous et le fournisseur, quelles sont les mesures de sécurité en place (chiffrement, contrôles d'accès), et comment signaler un incident si les données de vos patients sont compromises. Demandez à votre fournisseur un Data Processing Agreement (accord de traitement des données) explicitement adapté aux exigences de la Loi 25. Si votre fournisseur n'est pas en mesure de vous fournir ce document, c'est un risque à documenter.

2. Dois-je nommer un responsable de la protection des données dans mon cabinet ?

Oui, sans exception. Toute organisation qui collecte des renseignements personnels au Québec doit désigner un responsable de la protection des renseignements personnels (RPD). Dans un cabinet de moins de 10 personnes, c'est généralement le dentiste propriétaire qui assume ce rôle. Dans un cabinet plus grand, vous pouvez désigner un office manager ou un administrateur spécifique. L'obligation n'est pas seulement de nommer cette personne en interne — son identité ou son titre doit être publié sur votre site web, avec des coordonnées permettant à vos patients de la contacter pour exercer leurs droits.

3. Mon formulaire de rendez-vous en ligne est-il légal tel qu'il est ?

Probablement pas, dans sa forme actuelle. Pour être conforme à la Loi 25, votre formulaire de prise de rendez-vous doit s'accompagner d'une mention claire expliquant pourquoi vous collectez ces informations, comment elles seront utilisées (prise de rendez-vous uniquement ? rappels par SMS ?), qui y a accès au sein de votre cabinet, et comment vos patients peuvent accéder à leurs données ou les faire corriger. Cette mention peut être courte — 3 à 5 phrases — mais elle doit être visible, en français, et placée directement sous ou à côté du formulaire, pas uniquement dans une politique de confidentialité de 10 pages accessible via un lien discret.

4. La Loi 25 s'applique-t-elle aux petits cabinets (1 ou 2 dentistes) ?

Absolument. La Loi 25 ne prévoit aucun seuil minimum de taille d'organisation. Un cabinet d'un seul dentiste avec un site web, un formulaire de contact et Google Analytics est soumis aux mêmes obligations qu'une grande clinique multidisciplinaire. La seule nuance concerne l'évaluation des facteurs relatifs à la vie privée (EFVP) — qui n'est exigée que pour les projets comportant des risques élevés pour les droits et libertés — et la nomination d'un RPD distinct du dirigeant, qui n'est requise que dans des structures plus complexes. En pratique, pour un petit cabinet, les obligations les plus urgentes restent la bannière de cookies, la politique de confidentialité, les mentions sur les formulaires, et la désignation publique du responsable.

5. Quelle est la différence entre la Loi 25 et la HIPAA américaine ?

La HIPAA (Health Insurance Portability and Accountability Act) est une loi fédérale américaine qui s'applique aux entités de santé aux États-Unis. Elle ne s'applique pas aux cabinets québécois, sauf si vous transmettez des données à des entités américaines (assureurs, partenaires). La Loi 25 est son équivalent québécois — mais avec plusieurs différences importantes. La Loi 25 couvre toutes les données personnelles, pas seulement les données de santé. Elle impose des obligations de consentement explicite plus étendues que la HIPAA. Elle accorde aux individus des droits renforcés (portabilité, désindexation). Et ses sanctions pécuniaires sont, proportionnellement, parmi les plus sévères au monde. Si votre logiciel dentaire est d'origine américaine et stocke des données sur des serveurs américains, vous avez potentiellement des obligations sous les deux régimes — ce qui rend la situation encore plus complexe à gérer sans accompagnement spécialisé.