La Loi 25 est entrée en vigueur progressivement depuis septembre 2022. Pour les cliniques esthétiques, trois articles changent concrètement votre quotidien : § 7.1 sur le consentement, § 27 sur l'accès aux données, et § 28 sur l'effacement.
Ce guide explique chacun avec des exemples tirés de vrais cas de cliniques québécoises — pas avec des paragraphes de loi.
Article 7.1 · Le consentement
Avant tout message automatisé (SMS ou courriel), vous devez obtenir le consentement de la patiente. Ce consentement doit être clair, libre et éclairé — pas une case pré-cochée dans un formulaire papier au fond d'un classeur.
En pratique : un SMS de double opt-in envoyé à la première visite, avec réponse horodatée. C'est exactement ce qu'Épidou automatise.
Article 27 · Le droit d'accès
Sur demande écrite, vous avez 30 jours pour fournir à une patiente la copie de ses données personnelles et la finalité de leur traitement. Un export PDF standardisé suffit — à condition qu'il soit complet.
Article 28 · Le droit à l'effacement
Également 30 jours. L'effacement doit être propagé aux sauvegardes et être consigné dans un registre. Les cliniques qui ne tiennent pas ce registre s'exposent à des amendes significatives lors d'audit.
Les amendes, concrètement
- Non-respect du consentement : jusqu'à 25 000 000 $ ou 4 % du chiffre d'affaires
- Absence de registre d'incident : sanctions administratives
- Refus d'accès ou d'effacement : plaintes à la Commission d'accès
Ce qu'on recommande
Mettez en place un processus de consentement explicite dès l'onboarding patient. Tenez un registre en temps réel (pas un fichier Excel). Préparez un export PDF standardisé. Et surtout, documentez chaque décision — la transparence est votre meilleure défense en cas d'audit.