En ce mois de la cybersécurité, nous vous présentons une description sommaire de la nouvelle loi 25 sur la protection de la vie privée au Québec et ce qu’il faut savoir en tant qu’entreprise pour être conforme.
Qu’est-ce que la loi 25 du Québec ?
Peut-être vous avez entendu parler du « Projet de loi 64 ». Il s’agit du texte original proposé pour la première fois le 12 juin 2020 et qui a été adopté à l’unanimité le 21 septembre 2021 par l’Assemblée nationale. La loi qui en résulte est la « Loi 25 »: Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
La loi 25 introduit une série de changements dans le cadre juridique existant. Elle accorde de nouveaux droits en matière de protection des données aux individus et de nouvelles obligations pour les organisations publiques et privées qui traitent leurs informations personnelles. Cette loi ne concerne pas uniquement les informations numériques, mais bien les informations personnelles générales.
La loi 25 est entrée en vigueur le 22 septembre 2022 et fait l’objet d’une mise en œuvre progressive sur les trois prochaines années (jusqu’en 2024).
La non-conformité à la loi exposera votre entreprise à des sanctions importantes, pouvant atteindre un montant maximal de 25 millions de dollars ou 4% de votre chiffre d’affaires mondial
Pourquoi est-ce important pour nous comme individu?
Vous avez tous entendu des cas de fuites des données de clients par des entreprises ou des villes tel que la fuite majeure de la Caisse Populaire Desjardins (Juin 2019).
La loi 25 permet une meilleure protection des droits de la personne en lui donnant plus de pouvoirs sur le traitement de ses données personnelles et une meilleure compréhension à l’égard des conséquences de ses choix. Les organisations doivent donc prendre des actions concrètes pour assurer la sécurité de l’information.
Un renseignement personnel, c’est quoi?
Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier de manière directe ou indirecte. Ils sont confidentiels. Sauf exception, ils ne peuvent être communiqués sans le consentement de la personne concernée.
- Nom, prénom
- Date de naissance
- Adresse civique
- Numéro de téléphone
- Courriel personnel
- Numéro d’assurance sociale
- Numéro de permis de conduire
- Etc.
Donc vous comprendrez que vos informations d’entreprise ne sont pas considérées comme privé, tel que : Adresse de courriel d’entreprise, Numéro de téléphone et numéro de poste, Adresse civique de l’entreprise, Etc.
Plainte contre un organisme public ou une entreprise privée
Il est possible pour un individu de faire une plainte à la Commission, lorsque la Loi sur la protection des renseignements personnels n’a pas été respectée à son égard. Une plainte en matière de protection des renseignements personnels peut porter sur la cueillette, la conservation, l’utilisation, la communication ou la destruction des renseignements personnels.
Pour permettre à la Commission de faire enquête, si les circonstances l’exigent, une plainte doit être adressée par écrit à la Commission d’accès à l’information en prenant soin d’y inclure tous les éléments qui viennent appuyer la plainte ainsi que les coordonnées des parties impliquées.
Comment mon entreprise peut-elle se conformer à la Loi 25 ?
Alors que la série de réformes est importante, l’essentiel de certaines dispositions a déjà été entièrement ou partiellement mandaté par d’autres régimes applicables (tels que la LPRPDE), ou est simplement devenu une pratique courante ces dernières années.
Cependant, pour la plupart des dispositions qui sont entièrement nouvelles, les systèmes existants sont susceptibles d’être insuffisants et nécessitent une refonte complète. Heureusement, le déploiement progressif brise ce processus. Au minimum, les organisations doivent compléter les points suivants au cours de la période ci-dessous :
22 septembre 2022
- Désigner une personne responsable de la protection des renseignements personnels et établir son rôle et ses responsabilités. Ce responsable devrait connaître la nature des renseignements personnels que votre entreprise détient, traite et communique. Il devrait aussi savoir qui peut avoir accès à ces renseignements personnels et pour quels motifs. C’est aussi ce responsable qui devra produire et mettre en place des politiques et des pratiques qui encadrent la gouvernance des renseignements personnels, par exemple, les règles de conservation et de destruction et la centralisation des données sensibles pour en faciliter la protection et la surveillance. Il faut aussi publier son titre et ses coordonnées sur le site Internet de l’entreprise.
- Mettre en place un plan de gestion d’incidents et établir la procédure à suivre en cas de violation.
- Tenir un registre de tous les incidents de confidentialité. Un incident est l’accès, l’utilisation ou la communication non autorisés par la loi d’un renseignement personnel, la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
- Informer adéquatement la ou les personnes concernées en cas d’incident de confidentialité qui pourraient leur causer un préjudice sérieux et sur la portée et les conséquences de l’incident. Il faudra y décrire notamment les renseignements personnels visés, les circonstances de l’incident, les mesures que votre entreprise a prises ou prendra pour diminuer les risques de préjudice ou atténuer le préjudice et les coordonnées d’une personne à joindre pour avoir plus d’informations. Vous devriez aussi aviser la Commission d’accès à l’information de tout incident présentant un risque sérieux de préjudice.
- Effectuer un inventaire des renseignements personnels détenus par l’entreprise afin de répertorier :
- Les renseignements personnels détenus et leurs supports (papier ou numérique), la nature des renseignements personnels, leur accessibilité, leur cycle de vie, etc.
- Les informations qui sont détenues par des tiers (les applications qui utilisent ces renseignements personnels, etc.)
- Protéger les informations recueillies lors de vos transactions commerciales. Une fois la transaction commerciale conclue, vous aurez l’obligation additionnelle de détruire ou d’anonymiser les renseignements personnels recueillis si vous souhaitez les utiliser à des fins sérieuses et légitimes.
22 septembre 2023 et 2024
Il faut savoir que la Loi 25 prévoit l’intégration de nouvelles mesures pour 2023 et 2024, il faut donc s’assurer de les respecter également à échéance.
Parmi les changements à prévoir, on note que vous devrez être capable de divulguer les renseignements personnels recueillis sur une personne qui en fait la demande. Il est donc important de s’assurer que vos logiciels vous permettent de bien extraire la liste des renseignements recueillis.
Il est important de réviser votre politique et votre pratique en matière de confidentialité des données ainsi que vos contrats pour vous assurer d’être en règle avec les nouvelles normes imposées.
(Il est peut-être temps de mettre à jour votre manuel d’employé, surtout avec le télétravail devenu omniprésent dans les entreprises).
Note : cet article a été publié pour vous donner une idée de ce que vous devez mettre en place pour répondre aux exigences de la loi. Pour plus de précisions et de détails veuillez consulter les ressources suivantes.
Ressources utiles :
Nouvelles obligations pour les entreprises en matière de protection des renseignements personnels
Loi 25 – Nouvelles dispositions protégeant la vie privée des Québécois
Aide-Mémoire : Résumé des nouvelles obligations des entreprises