Loi 25 - Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
Depuis le 22 septembre 2022, la Loi 25, également connue sous le nom de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est en vigueur au Québec. Cette loi a pour objectif principal de renforcer la responsabilité des entreprises, y compris les organismes à but non lucratif (OBNL), en ce qui concerne les données personnelles des résidents québécois.
Toutes les entreprises, sans exception, doivent se conformer à cette nouvelle réglementation. Concrètement, la Loi 25 exige que les entreprises justifient leurs méthodes de collecte, d'utilisation et de gestion des données personnelles. Cela s'applique à toute entreprise traitant des données personnelles de citoyens québécois.
La mise en place de cette loi s'est effectuée en plusieurs étapes. La première série de dispositions législatives est entrée en vigueur le 22 septembre 2022. Plus récemment, le 23 septembre 2023, de nouvelles dispositions ont été ajoutées, dont l'obligation de mettre en place une politique de gouvernance des renseignements personnels. D'autres obligations sont prévues pour septembre 2024.
La Commission d'accès à l'information du Québec (CAI) a pour mission de superviser la conformité à la Loi 25. En cas de non-respect de cette loi, la Commission est autorisée à imposer des sanctions significatives.
Afin de vous aider à comprendre cette loi et ses nuances, nous avons élaboré un rappel des obligations ainsi qu'une liste d'outils pratiques que nous mettons à votre disposition ci-dessous.
1. Désigner une personne responsable de la protection des renseignements personnels et publier le titre et les coordonnées du responsable sur le site Internet de l’entreprise ou, si elle n’a pas de site, les rendre accessibles par tout autre moyen approprié.
2. En cas d’incident de confidentialité impliquant un renseignement personnel :
a. prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent;
b. aviser la Commission et la personne concernée si l’incident présente un risque de préjudice sérieux;
c. tenir un registre des incidents dont une copie devra être transmise à la Commission à sa demande;
3. Respecter le nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale;
4. Procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques;
5. Divulguer préalablement à la Commission la vérification ou la confirmation d'identité faite au moyen de caractéristiques ou de mesures biométriques.
1. Avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié;
2. Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec;
3. Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels;
4. Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi;
5. Respecter vos nouvelles obligations d’information et de transparence envers les citoyens;
6. Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée (exercice d’un mandat ou exécution d’un contrat de service ou d’entreprise);
7. Respecter les nouvelles règles de communication des renseignements personnels à l'extérieur du Québec;
8. Respecter les nouvelles règles d’utilisation des renseignements personnels;
9. Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public;
10. Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur;
11. Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l'oubli);
12. Respecter les nouvelles règles de communication des renseignements personnels facilitant le processus de deuil.
Répondre aux demandes de portabilité des renseignements personnels.
Liste de ressources
Informations
- Gouvernement du Québec. "Protection des renseignements personnels." Commissaire à l'accès à l'information du Québec, www.cai.gouv.qc.ca/entreprises/protection-des-renseignements-personnels-1/.
- Gouvernement du Québec. "Projet de loi 64 : Modernisation de la protection des renseignements personnels." www.quebec.ca/gouvernement/ministeres-et-organismes/institutions-democratique-acces-information-laicite/acces-documents-protection-renseignements-personnels/pl64-modernisation-de-la-protection-des-renseignements-personnels.
- Assemblée nationale du Québec. "Projet de loi 64 - Loi modernisant des dispositions législatives en matière de protection des renseignements personnels." www.assnat.qc.ca/fr/travaux-parlementaires/projets-loi/projet-loi-64-42-1.html?appelant=MC.
Boîtes à outils
- MesProcédures.ca. "MesProcédures.ca." www.mesprocedures.ca.
- Brigade Numérique. "Cybersécurité et Loi 25." Brigade Numérique, www.brigade-numerique.ca/cybersecurite-et-loi-25.
- Collectif Web. "Loi 25 : Québec se conformer, le guide." Collectif Web, collectif-web.ca/loi-25-quebec-se-conformer-le-guide.
- Cybereco. "Découvrez le guide pratique Cybereco sur l'application de la Loi 25." Cybereco, cybereco.ca/decouvrez-le-guide-pratique-cybereco-sur-lapplication-de-la-loi-25.
- Synapsec. "Gouvernance et gestion de données." Synapsec, synapsec.ca/outils/gouvernance-et-gestion-de-donnees.
Générateur de politique de confidentialité
- Tuxedo Solution. "Générateur de politique de confidentialité." FAQ Tuxedo Solution, faq.tuxedosolution.com/fr/knowledge/generateur-de-politique-de-confidentialite.