La loi 25 - Protection des Renseignements personnels

Loi 25 – Ce qu’il faut savoir

Depuis septembre 2023, de nouvelles dispositions ont été ajoutées à la loi 25, législation spécifique à la « Protection des renseignements personnels ». Qu’est ce que la loi 25 et qu’est-ce qu’elle implique pour les entreprises et organismes du Québec ?

La loi 25, c’est quoi ?

La Loi 25 (ou Loi modernisant des dispositions législatives en matière de protection des Renseignements Personnels) est une des plus grandes réformes en matière de protection des renseignements personnels au Québec et apporte une vague de changement pour le reste du Canada :

  • Plus de responsabilités pour les organisations ;
  • Plus de droits pour les individus ; et
  • Plus de pouvoirs pour la Commission d’Accès à l’Information du Québec.

 

Pourquoi une réforme ?

La mise à jour de la loi sur la protection des Renseignements Personnels a été jugée nécessaire suite à plusieurs constats :
Le 1er a été mis en exergue à travers un sondage Léger effectué en 2018 montrant que 91% des Québécois feraient davantage affaire avec une entreprise qui communique de manière transparente sur  sa gestion des renseignements personnels qui lui sont fournis.

Les autres objectifs sont de favoriser un meilleur contrôle des renseignements fournis par les citoyens, accroitre la responsabilités des organismes et entreprises sur les données fournies, rétablir la confiance entre le public et les entreprises et permet d’accroitre les pouvoirs de la Commission de l’Accès à l’Information du Québec.

 

À qui s’applique la Loi 25 ?

Cette législation s’applique à l’ensemble des entreprises privées, quelque soit leur taille, les sociétés d’État ainsi que tout organisme public :

  • détenant des renseignements personnels, tant sur leurs clients que sur leurs employés;
  • Qu’importe la quantité de Renseignements Personnels détenues et leur sensibilité;
  • Indifféremment de la présence d’un établissement au Québec (la Loi 25 a une portée extraterritoriale, semblable au Règlement Général sur la Protection des Données européen, communément appelé « RGPD »)

 

Un renseignement personnel, c’est quoi ?

Selon la Commission d’Accès à l’Information du Québec, un renseignement personnel est défini comme un renseignement qui permet d’identifier une personne physique, directement ou indirectement. Les renseignements personnels sont jugés confidentiels. Leur confidentialité découle du droit à la vie privée, permettant à toute personne d’exercer un contrôle sur l’utilisation et la circulation de ses renseignements.

Trois critères permettent de déterminer ce qu’est un renseignement personnel :

Il doit s’agir d’un RENSEIGEMENT qui fait connaître quelque chose sur une PERSONNE PHYSIQUE et qui PERMET DE L’IDENTIFIER.

Si une seule information peut paraître anodine, elle peut, quand elle est combinée à d’autres, permettre d’identifier une personne physique. Dans ce contexte, ces informations constituent des Renseignements Personnels.

Il est important d’identifier dans quels contextes des informations qui correspondent à la définition de renseignements personnels sont collectées. S’agit il de Renseignements Personnels concernant un fournisseur ? Un client ? un employés ?

 

Quelles sanctions en cas de non-respect ?

La Commission d’Accès à l’Information du Québec est l’organisme en charge de s’assurer du respect des normes liées à la Loi 25.

« Si une entreprise souhaite se conformer à la loi, planifie ses travaux de conformité, qu’elle les met en place de bonne foi, ou qu’elle modifie ses pratiques à la suite d’une intervention de la CAI, […] il n’y a pas à s’inquiéter outre mesure. […] Dans les cas où une organisation ne veut pas se conformer, fait preuve de négligence ou d’insouciance, la Commission dispose de pouvoirs dissuasifs nécessaires. »

Madame Diane Poitras, Présidente de la Commission d’Accès à l’Information du Québec

Les pouvoirs dissuasifs précités sont divisés en 2 catégories :

  • les sanctions dites « administratives pécuniaires« , pouvant aller jusqu’à 10 millions $ ou 2 % du chiffre d’affaires mondial de l’exercice financier précédent (le plus élevé des deux);
  • les sanctions dites « pénales », pouvant aller jusqu’à 25 millions $ ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent ‘le plus élevé des deux).

Au départ, l’objectif de la Commission d’Accès à l’information du Québec est d’aider les sociétés à se conformer à la nouvelle législation et non de punir celles qui ne s’adaptent pas. Différents outils sont mis à la disposition des sociétés afin de leur permettre de se mettre en conformité avec la Loi 25 :

Formulaires – Commission d’Accès à l’information du Québec

 

Quelles sont vos principales obligations ?

Chaque entreprise et organisme doit mettre en place un plan d’action pour se conformer à la Loi 25 :

  • De manière générale : Gouvernance et Transparence ;
  • Désignation d’un responsable (à l’interne ou à l’externe) ;
  • Mise en œuvre de politiques et pratiques de protection des Renseignements Personnels ;
  • Évaluation des facteurs relatifs à la vie privée (pour les nouveaux systèmes et services impliquant des Renseignements Personnels) ;
  • Gestion des incidents de confidentialité ;
  • Protection de la vie privée par défaut ;
  • Destruction ou anonymisation des renseignements personnels ;
  • Permettre le droit à l’oubli ;
  • Gestion des Renseignements Personnels détenus conformément à la Loi 25 ;
  • À partir de septembre 2024, permettre la portabilité (obligation de fournir sur demande, l’ensemble des Renseignements Personnels d’un individu dans un format technologiquement « structuré et couramment utilisé »).

 

D’accord, mais comment faut il procéder ?

Plusieurs actions spécifiques peuvent ou doivent être mises en place. Pour vous aider à y voir plus clair, nous avons élaboré un document simple vous permettant d’entrevoir les différents changements que vous pouvez apporter au sein de votre entreprise pour vous conformer à la Loi 25.

Suivez ce lien pour y accéder : Loi 25 – Ce qu’il faut savoir

 

Nous pouvons vous aidez !

Se mettre à jour d’un point de vue légal n’est pas forcément évident dans la mesure où les aspects juridiques peuvent parfois être complexes. Nous pouvons vous accompagner dans vos démarches. N’hésitez pas à nous contacter pour de plus amples informations. Vicki Valiquette, notre avocate spécialisée en droit des affaires sera en mesure de vous aider.

Vicki Valiquette, avocate spécialisée en droit des affaires
Vicki Valiquette, avocate [email protected] (514) 845 2227 #510