Depuis le 22 septembre 2024, la Loi 25 du Québec est intégralement en vigueur. Trois phases, 25 millions de dollars d’amendes pénales max, l’application directe aux casinos offshore qui acceptent les joueurs québécois. Voici ce que ça change concrètement quand vous ouvrez un compte.
3 actions concrètes sous Loi 25 quand vous jouez en ligne
Voici ce que vous pouvez faire dès maintenant, en moins de 30 minutes :
- Vérifier votre consentement chez votre casino. Cherchez « politique de confidentialité » puis cliquez sur « Mes consentements » dans votre compte joueur. Si l’opérateur n’expose pas cette page, c’est déjà un signal.
- Demander accès à vos données via le formulaire ou un courriel au responsable de la protection des renseignements personnels du casino. Depuis sept 2023, la réponse est obligatoire sous 30 jours au Québec.
- Porter plainte à la Commission d’accès à l’information en cas de refus ou de non-réponse, via le formulaire officiel CAI. Service gratuit.
Pourquoi la Loi 25 change la donne pour les joueurs québécois
Avant Loi 25, le secteur fonctionnait sous la Loi sur la protection des renseignements personnels dans le secteur privé (P-39.1), adoptée en 1993. Trois mots y résumaient le régime : consentement implicite suffisant. Une politique vague affichée en bas de page faisait souvent l’affaire.
Le projet de loi 64 (PL 64), sanctionné le 22 septembre 2021 sous le numéro de citation LQ 2021, c 25, a renversé la table. Il modifie deux lois existantes plutôt que d’en créer une nouvelle. La P-39.1 pour les opérateurs commerciaux, et la Loi sur l’accès aux documents des organismes publics (A-2.1) pour Loto-Québec et Espacejeux.
Concrètement, un casino qui collecte votre identité, votre IBAN et vos KYC doit aujourd’hui prouver qu’il respecte une longue liste d’obligations. Consentement granulaire, responsable de la protection des renseignements personnels (RPRP) joignable, évaluation des facteurs relatifs à la vie privée (EFVP) avant tout transfert hors Québec. Le détail ci-dessous.
Pourquoi ce changement concerne directement le joueur en ligne. Un compte casino laisse derrière lui une trace numérique dense : pièces d’identité scannées, historique de paris, IP, courriel Interac, profil de jeu. Sous l’ancien régime, le joueur n’avait quasiment aucun levier pour exiger des comptes. Sous Loi 25, vous avez des droits opposables et un recours gratuit.
Pour situer ce cadre dans la pratique, voyez aussi notre guide casino en ligne au Québec et notre étude sur les casinos qui paient au Canada. Les deux documents croisent les obligations légales avec les comportements réels des opérateurs.
3 phases d’entrée en vigueur : 22 sept 2022, 2023, 2024
Le législateur québécois a choisi une entrée en vigueur progressive sur trois ans. Chaque 22 septembre, un nouveau bloc d’obligations s’active. Le calendrier est piloté par la Commission d’accès à l’information du Québec et le ministère de la Cybersécurité et du Numérique.
Phase 1, 22 septembre 2022. Désignation obligatoire d’un RPRP par chaque entreprise. Par défaut, la fonction revient au PDG, qui peut déléguer par écrit. Le titre et les coordonnées doivent être publiés sur le site. Obligation aussi de notifier les incidents de confidentialité à la CAI et aux personnes concernées. L’usage de la biométrie devient encadré et exige une déclaration préalable à la CAI.
Phase 2, 22 septembre 2023. La majorité des dispositions de fond s’activent. Consentement granulaire, en termes simples, distinct des autres informations. Politique de gouvernance des renseignements personnels obligatoire et publiée. EFVP obligatoire avant tout transfert hors Québec ou refonte de système. Et surtout, le régime de sanctions administratives pécuniaires entre en vigueur. Les amendes deviennent réelles à partir de cette date.
Phase 3, 22 septembre 2024. Droit à la portabilité activé. Vous pouvez exiger de votre casino qu’il vous remette vos renseignements personnels dans un format technologique structuré et couramment utilisé. Précisions complémentaires aussi sur le droit à la cessation de diffusion, la version québécoise du « droit à l’oubli » européen.
Voici pourquoi le calendrier des trois phases vous importe encore en 2026. Une violation observée aujourd’hui peut s’apprécier au regard du régime applicable à la date où elle a commencé. Un casino qui a transféré vos KYC en Europe en 2022 puis a continué en 2024 cumule deux qualifications légales. Si vous portez plainte, la CAI peut examiner l’historique complet, pas seulement le dernier instantané.
Status au moment où on écrit (juin 2026)
La Loi 25 est intégralement en vigueur depuis le 22 septembre 2024. Aucune phase n’est en attente. Toutes les obligations s’appliquent simultanément aux entreprises qui traitent des renseignements personnels de résidents québécois. Source : page officielle CAI sur les principaux changements.
5 catégories de données joueur protégées
Une partie de chiffres et de dates, c’est utile. Une partie concrète sur vos données réelles, c’est mieux. Voici ce qu’un casino en ligne collecte quand vous ouvrez un compte, et le droit Loi 25 mobilisable pour chaque catégorie.
| Catégorie | Exemples de données | Droit Loi 25 mobilisable | Drapeau rouge à repérer |
|---|---|---|---|
| 1. Inscription compte | Nom, courriel, adresse, téléphone, date de naissance, IP, langue | Consentement granulaire par finalité, accès aux données, rectification | Consentement marketing pré-coché ou non séparé de l’inscription |
| 2. KYC (pièces d’identité) | Passeport, permis de conduire, facture de service public, selfie | Conservation limitée à la finalité, droit d’accès, droit à l’oubli partiel | Demande de la carte d’assurance maladie québécoise (interdit RAMQ pour usage non-santé) |
| 3. Banking retrait | IBAN, courriel Interac, carte de crédit, adresse wallet crypto | EFVP obligatoire avant transfert hors Québec, entente écrite avec processeur | Aucune mention du processeur de paiement ni du pays de traitement |
| 4. Session de jeu | Historique paris, gains, pertes, temps passé, profil VIP, scoring auto | Information sur décisions automatisées, droit aux facteurs ayant mené à la décision | Politique muette sur le profilage VIP ou la détection de comportement à risque |
| 5. Trackers tiers | Pixels Meta, Google, TikTok, affiliés, CRM, anti-fraude, support | Consentement granulaire cookies, liste publique des sous-traitants | Bandeau cookies « tout ou rien », aucune liste des sous-traitants accessible |
Le point sensible reste les KYC. Passeport, permis, factures. La Loi 25 impose la minimisation : la conservation doit être strictement limitée à la durée nécessaire à la vérification, puis les pièces doivent être détruites ou anonymisées.
Bon réflexe avant d’envoyer vos pièces. Demandez par courriel au RPRP du casino quelle est la durée de conservation des KYC une fois la vérification validée. Demandez aussi si les pièces sont stockées au Canada ou transférées hors Québec. Si l’opérateur ne sait pas répondre, c’est un signal sur sa maturité Loi 25. Si la durée annoncée est de plusieurs années sans justification, vous pouvez exiger une réduction.
Vos données de session de jeu méritent aussi votre attention. Beaucoup d’opérateurs utilisent du profilage automatisé pour déclencher des offres VIP, restreindre des comptes ou détecter des comportements à risque. Sous Loi 25, vous avez le droit de savoir si une décision vous concernant repose exclusivement sur un traitement automatisé. Vous pouvez exiger les facteurs.
À surveiller pour vos KYC
Aucun casino ne devrait demander votre carte d’assurance maladie québécoise pour vérifier votre âge ou votre identité. La RAMQ déconseille fortement cet usage. Permis de conduire ou passeport suffisent. Si on insiste, refusez et signalez au RPRP de l’opérateur.
Pour voir comment des groupes offshore appliquent (ou pas) ces obligations, croisez avec notre analyse Progressplay et notre analyse Casino Rewards. Vous y trouverez les retraits réels signalés par des joueurs canadiens vérifiés sur ces marques.
Sanctions : amendes administratives et pénales jusqu’à 25 M$
25 millions de dollars ou 4 % du chiffre d’affaires mondial. Le plus élevé des deux. C’est le plafond des amendes pénales sous Loi 25 depuis le 22 septembre 2023. Deux régimes parallèles existent : administratif et pénal.
Sanctions administratives pécuniaires (SAP), imposées directement par la CAI. Pour une entreprise, jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial de l’exercice précédent, selon le montant le plus élevé. Pour une personne physique, jusqu’à 50 000 $ selon les sources juridiques convergentes. La procédure est administrative, sans passage par le tribunal pénal.
Sanctions pénales, par poursuite devant le tribunal. Pour une entreprise, amende de 15 000 $ à 25 millions de dollars, ou 4 % du chiffre d’affaires mondial, selon le montant le plus élevé. Pour une personne physique, de 5 000 $ à 100 000 $. En cas de récidive, certaines doctrines évoquent un doublement des montants, sans certitude jurisprudentielle.
Une amende maximale de 25 millions de dollars ou 4 % du chiffre d’affaires mondial. Le plus élevé des deux montants.
À titre de comparaison pédagogique, le RGPD européen plafonne à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. La Loi 25 québécoise dépasse donc le RGPD en valeur absolue maximale. C’est l’un des cadres les plus exigeants du Canada, et l’un des plus stricts en Amérique du Nord. Pour vous, joueur québécois, cela signifie un standard de protection juridique supérieur à ce qui existe chez la plupart des voisins.
Détail souvent oublié : la Loi 25 ouvre aussi la voie à des dommages-intérêts punitifs civils. En cas d’atteinte illicite et intentionnelle ou de faute lourde, un montant minimal de 1 000 $ par personne concernée pourrait être réclamé. La mécanique d’action collective rend ce levier potentiellement lourd pour un opérateur visé. Source officielle : page CAI sur les sanctions et poursuites.
Comment cela vous concerne en pratique. Si une fuite massive touche un casino que vous utilisez, vous pouvez théoriquement vous joindre à une action collective québécoise. La barre est haute : il faut démontrer une atteinte illicite et intentionnelle ou une faute lourde. Mais la mécanique existe et change le rapport de force.
Application aux casinos offshore qui acceptent les Québécois
Question centrale pour le joueur québécois : un casino établi à Curaçao, Malte ou Kahnawake est-il vraiment couvert ? La doctrine majoritaire répond oui. Le texte parle d’entreprises qui offrent des biens ou services à des résidents québécois ou qui surveillent leur comportement. C’est très proche de la logique RGPD européenne sur l’extraterritorialité.
Concrètement, un opérateur offshore qui accepte les joueurs québécois collecte leur identité, leur IBAN canadien et leur historique de jeu. Il entre donc dans le champ d’application de la Loi 25, peu importe sa juridiction d’enregistrement. La légalité même de l’opération de jeu offshore au Québec est une question distincte, qui dépend du monopole Loto-Québec via Espacejeux.
Précision juridique importante : le fait que l’activité de jeu soit grise ou illégale ne dispense PAS l’opérateur de ses obligations de protection des données envers le joueur. C’est même un risque cumulatif. Un opérateur en infraction sur deux fronts (jeu non autorisé + données mal protégées) cumule les expositions.
Doctrine majoritaire, pas jurisprudence éprouvée
À ce jour, aucune décision publique de la CAI n’a ciblé un casino en ligne offshore au titre de la Loi 25. Le cadre est conçu pour s’appliquer, mais aucun précédent jurisprudentiel ne le confirme encore en public. L’obligation juridique existe. L’exécution forcée d’une amende sur un opérateur établi à Curaçao reste un sujet ouvert et dépend de la coopération internationale.
En pratique, ce sont les opérateurs avec une présence économique réelle au Canada (partenariats affiliés en CAD, support en français, paiements Interac) qui ont le plus à perdre d’une plainte CAI. Pour les autres, le levier est davantage réputationnel que pénal. Avant d’ouvrir un compte, vérifiez si l’opérateur affiche des éléments d’ancrage économique canadien. C’est un signal de sérieux et un levier de recours réel si vous avez un problème.
Notre analyse Casino Rewards et notre analyse Progressplay montrent en pratique comment des groupes offshore (MGA Malte, UKGC, Curaçao) gèrent les données des joueurs québécois. Cet article cadre les obligations Loi 25 que ces opérateurs doivent respecter, peu importe leur juridiction d’enregistrement.
À noter : Loto-Québec et Espacejeux relèvent d’un régime légèrement différent. La loi A-2.1 modifiée par la Loi 25 s’applique aux organismes publics. Les protections joueur sont équivalentes en pratique, avec des nuances procédurales propres au secteur public québécois. Pour les opérateurs privés offshore, c’est la P-39.1 modifiée qui prime.
Conséquence directe pour vous : si vous jouez sur Espacejeux, vous portez plainte selon la procédure A-2.1, avec le même formulaire CAI. Si vous jouez sur un opérateur privé offshore, vous portez plainte selon la procédure P-39.1, toujours via la CAI. Le canal d’entrée est le même. La base légale invoquée diffère.
Vos droits concrets et comment les exercer (CAI)
La Loi 25 donne aux joueurs québécois cinq droits exerçables directement contre leur casino. Tous gratuits. Tous documentés sur la page CAI dédiée aux recours citoyens.
Droit d’accès. Vous pouvez exiger une copie des renseignements personnels qu’un casino détient sur votre compte. La réponse est due dans un délai raisonnable, généralement 30 jours. Au-delà, le silence vaut refus implicite et ouvre la voie au recours.
Droit de rectification. Si une donnée est inexacte, incomplète ou équivoque, vous pouvez exiger sa correction. Utile pour les KYC mal numérisés ou les adresses obsolètes. Vous demandez la modification, le casino doit confirmer la correction par écrit dans un délai raisonnable.
Droit à la portabilité. Depuis le 22 septembre 2024, vous pouvez demander vos renseignements personnels informatisés dans un format technologique structuré et couramment utilisé. Le transfert direct à un autre organisme est aussi exigible. Très peu de casinos exposent cette procédure publiquement aujourd’hui. Invoquer ce droit place le joueur en avance sur la majorité des opérateurs.
Droit à la cessation de diffusion (oubli partiel). Vous pouvez exiger qu’un casino cesse de diffuser ou désindexe des renseignements qui vous identifient, si la diffusion vous cause un préjudice ou contrevient à la loi. Ce n’est pas un droit absolu, contrairement à la version RGPD européenne. Vous devez démontrer le préjudice.
Droit à l’information sur les décisions automatisées. Quand un casino prend une décision exclusivement sur la base d’un traitement automatisé (offre VIP personnalisée, scoring KYC anti-fraude, fermeture de compte préventive), vous avez droit aux renseignements utilisés, aux raisons et aux principaux facteurs ayant mené à la décision.
Ce droit est particulièrement utile si votre compte a été fermé sans explication claire ou si une demande de retrait a été bloquée par un score interne. Une lettre formelle au RPRP exigeant les facteurs débloque souvent la situation, ou révèle un défaut de processus. La correction des renseignements utilisés est aussi exigible si certaines données sont inexactes.
Étapes pratiques. D’abord, contactez le RPRP du casino directement par écrit. Sujet du courriel suggéré : « Demande au titre de la Loi 25 du Québec, [droit invoqué] ». Documentez tout. Conservez les accusés de réception, les captures d’écran et les échanges. Si vous n’avez pas de réponse satisfaisante sous 30 jours, vous pouvez porter plainte à la Commission d’accès à l’information du Québec.
Conseil pratique pour la rédaction du courriel. Mentionnez expressément la base légale (Loi 25, citation LQ 2021, c 25), le droit invoqué (accès, rectification, portabilité, oubli, info décision auto), et les renseignements concernés (identifiant compte, date d’inscription, dernière session). Plus la demande est précise, plus elle est difficile à ignorer pour un RPRP sérieux. Une demande vague reçoit souvent une réponse vague.
Comment porter plainte à la CAI
Le formulaire en ligne officiel est gratuit. Pas besoin d’avocat pour déposer une plainte. La CAI peut enquêter, ordonner à l’entreprise de modifier ses pratiques, imposer une sanction administrative pécuniaire ou recommander des poursuites pénales au Directeur des poursuites criminelles et pénales. Adresse postale alternative : 525, boulevard René-Lévesque Est, bureau 2.36, Québec (Québec) G1R 5S9.
Point pédagogique important sur le délai de notification des incidents de confidentialité. La Loi 25 utilise une formule qualitative : « avec diligence ». Ce n’est PAS un délai chiffré en heures comme le prévoit l’article 33 du RGPD européen. Beaucoup d’analyses confondent les deux régimes par parallélisme. Au Québec, l’opérateur doit notifier la CAI et les personnes concernées avec diligence, sans seuil temporel précis. Le registre des incidents doit être conservé 5 ans.
Concrètement, si une notification de fuite touche votre casino, plusieurs leviers sont activables. Demander au RPRP les détails techniques de l’incident. Demander la liste des données personnelles affectées. Demander quelles mesures correctives ont été mises en place. Et porter plainte à la CAI si la réponse est silencieuse ou insatisfaisante.
Comment ces chiffres ont été produits
Cet article s’appuie uniquement sur des sources institutionnelles québécoises et canadiennes. Aucune référence à un cabinet juridique commercial n’a été utilisée dans le contenu publié. La recherche réglementaire a été menée le 4 juin 2026.
Sources primaires consultées : le texte intégral de la Loi 25 sur CanLII (LQ 2021, c 25), la page officielle de la CAI sur les principaux changements, et la page officielle du gouvernement du Québec sur la Loi 25. Le périmètre des sanctions a été recoupé sur la page CAI dédiée aux sanctions et poursuites.
Niveau de confiance des chiffres clés. Sanction royale 22 septembre 2021, citation LQ 2021, c 25, calendrier des trois phases (22 sept 2022, 2023, 2024), plafond pénal entreprise 25 M$ ou 4 % CA mondial, conservation registre incidents 5 ans : confiance haute, sources institutionnelles convergentes. Plafond SAP personne physique 50 000 $ et dommages punitifs minimum 1 000 $ : confiance moyenne, à formuler avec prudence et à recouper si vous citez ces chiffres ailleurs.
Pour la méthodologie générale de notre méthodologie de vérification et le détail du protocole de production éditorial sur ce hub, voyez les autres analyses réglementaires de notre plateforme. Les retraits réels signalés par la communauté de joueurs sont consultables dans les signalements de retraits, utiles pour croiser les obligations légales avec le comportement effectif des opérateurs.
Date d’extraction de cette recherche : 4 juin 2026. La Loi 25 évolue par voie d’avis et de décisions de la CAI. Si vous lisez ce document plus d’un an après cette date, vérifiez les actualités CAI pour confirmer que les chiffres n’ont pas été ajustés. Le cadre central (3 phases, 25 M$, 4 % CA mondial, « avec diligence » pour notifier) est inscrit dans le texte de loi sanctionné en 2021 et reste stable jusqu’à modification législative.
À vous de jouer
Si vous suspectez un casino en ligne de mal traiter vos données, portez plainte à la Commission d’accès à l’information. Service gratuit, pas besoin d’avocat. La CAI enquête, peut ordonner des correctifs et peut imposer des sanctions administratives pécuniaires directement.
Si la frontière entre données et habitudes de jeu vous inquiète, les ressources d’aide pour le jeu sont centralisées ici, incluant le numéro de Jeu : aide et référence du Québec (1 800 461-0140). Service confidentiel, 24 heures sur 24.


