Sommaire des obligations de la loi 25 et les grandes étapes pour s’y conformer

10 août 2023

Qu’est-ce que la loi 25 ?

  • La loi 25 vient moderniser les dispositions législatives en matière de protection des renseignements personnels dans le secteur privé. Elle est en vigueur depuis le 22 septembre 2022.
  • Elle vient préciser notamment certaines obligations de l’employeur en matière de protection de renseignements personnels.
  • Elle vient imposer des pénalités et amendes aux organisations et aux personnes qui ne protégeront pas adéquatement les informations personnelles.
  • L’entrée en vigueur des obligations s’échelonne sur une période de 3 ans.

À qui s’adresse la loi?

Aux entreprises privées au Québec, aux Ordres professionnels, aux Congrégations religieuses, aux partis politiques, débutés indépendants ou candidats indépendants.

Ne s’applique pas : à la collecte ou à la détention, l’utilisation ou la communication de matériel journalistique, historique ou généalogique (faite dans un but d’informer légitimement le public).

La loi s’applique aux renseignements personnels que l’entreprise transige (recueille, détient, utilise et communique à des tiers) ainsi que la conservation de ces données.

Un renseignement personnel peut être en autres : un nom, une adresse, un courriel, une date de naissance, NAS, numéro d’assurance maladie, date de naissance, état civil, noms des personnes à charge, contrat de travail, un formulaire de références, notes d’entrevue, formulaire d’évaluation de rendement, plan de coaching individuel, information de paie, dossier disciplinaire, etc.  

Les grandes étapes pour se conformer à la loi :

DEPUIS SEPTEMBRE 2022 – phase 1:

  • Nommer un responsable de la protection des renseignements personnels dans l’entreprise
  • Gérer et organiser ses données : bien connaître les données qui vivent et se transigent dans l’entreprise. Faire un inventaire de ces données (degré de sensibilité, provenance (interne ou externe), lieu (physique ou virtuel), conservation, destruction.
  • Signaler les incidents de sécurité (exemples: cyberattaque, hameçonnage, perte ou vol de renseignements personnels, etc.)
    1. Lors d’un incident, il faut documenter toute violation dans un registre des incidents de confidentialité;
    2. Évaluer le risque de préjudice;
    3. Si préjudice sérieux, il faut aviser la Commission d’accès à l’information;
    4. Mettre à jour la documentation et appliquer les mesures correctives nécessaires.
  • Si les données sont sous-traitées à des fournisseurs (exemple : utilisation de solutions infonuagiques), l’entreprise doit avoir un encadrement contractuel écrit qui stipule les mesures de sécurité, la gestion des incidents, les limites du traitement et de la conservation des données.

À PARTIR DE SEPTEMBRE 2023 – phase 2

  • GOUVERNANCE : Mettre en place les politiques et les pratiques (gouvernance des données, modalités d’utilisation, cadre de conservation, rôles et responsabilités, processus de traitement de plainte, politique de protection des renseignements, etc.) – ceci devrait notamment inclure un plan d’action et de la sensibilisation pour prévenir les menaces informatiques.
  • Évaluer les facteurs de risques relatifs à la vie privée (exemple : avant de communiquer les renseignements sans consentement);
  • Traitement automatisé : il faut informer la personne lorsque ses renseignements personnels sont traités de façon automatisée;
  • Transfert des données hors Québec : évaluer les risques et la conformité du transfert (incluant celle du destinataire);
  • Transparence : informer les usagers et préciser les objectifs et les fonctionnalités en place;
  • Obtenir le consentement : libre, manifeste et spécifique pour la durée des fins auxquelles il a été demandé;
  • Assurer la confidentialité des données;
  • Droit à l’effacement : destruction des données selon les bonnes pratiques, une fois les fins atteintes ou anonymisation des données.
  • S’assurer de mettre à niveau les processus en place afin d’assurer la conformité.

Pénalités possibles:

  • Personne morale : sanction pouvant atteindre 10M$ ou 2% du chiffre d’affaires.
  • Personne physique : sanction administrative et pénale : 50K à 100K $

À PARTIR DE SEPTEMBRE 2024

  • Portabilité des données : un usager peut demander à une entreprise qui détient des renseignements personnels de lui communiquer ses informations dans un format technologique structuré. L’entreprise doit mettre en place un système automatisé pour la réception et la transmission des demandes. En fait, il faut être en mesure de traiter les plaintes, les retraits de consentement ainsi que les demandes de rectifications et de désindexation afin d’assurer le droit à l’oubli et à la portabilité.

Ceci résume les obligations et les grandes étapes de réalisation afin de pouvoir se conformer à la Loi 25.

Le contenu du présent article est fourni à titre d’information et ne constitue pas un avis juridique ou une opinion de quelque nature que ce soit.

 Sources de références :

  • Loi 25, Loi sur la protection des renseignements personnels dans le secteur privé, Ce que vous devez savoir, Technologia, 2022
  • Commission d’accès à l’information, Aide-mémoire, Nouvelles responsabilités des entreprises, pistes d’action et bonnes pratiques, 8 février 2023
  • Loi 25 : par où commencer, par Viêt Ciao, directeur innovation et analyse de données, Événements Attractions Québec, 28 mars 2023
  • Carrefour RH, Identification des renseignements personnels à considérer en vertu de la loi 25, liste de contrôle, Ordre des conseillers en ressources humaines agréés.