La loi 25 couvre toutes les informations personnelles identifiables (PII), y compris les données sensibles, que possèdent les organisations au Québec. Les informations personnelles sont toutes les informations qui peuvent être utilisées pour identifier un individu, comme un nom, une adresse, un numéro de téléphone, une adresse électronique ou un numéro de sécurité sociale. Il peut s’agir de renseignements démographiques, comme l’âge, le sexe, la race ou le niveau de revenu, ainsi que de renseignements financiers, comme les numéros de compte bancaire ou les renseignements relatifs aux cartes de crédit.
Les informations personnelles sensibles sont un sous-ensemble d’informations personnelles qui sont particulièrement sensibles ou privées, et peuvent être plus vulnérables à une mauvaise utilisation ou à un abus. Les informations personnelles sensibles nécessitent une protection et une attention supplémentaires car elles sont plus étroitement liées à l’identité d’une personne et peuvent être plus difficiles à modifier ou à protéger en cas de violation des données ou d’un autre incident de sécurité.