Qu’est-ce qu’est exactement la Loi 25 ? Cette loi, qui est entrée en vigueur le 22 septembre 2022 vise à protéger les renseignements personnels des Québécois. Les entreprises privées québécoises se verront imposer des obligations à respecter, telle que de transparence, de consentement et de divulgation ! Cette loi s’échelonnera sur trois ans, soit de septembre 2022 à septembre 2024, et pour chaque année, des mesures seront ajoutées à celle déjà existante. Voici un petit guide pour savoir quoi mettre en place avant les dates butoirs. Mais pour l’instant n’ayez crainte, il n’est pas trop tard !
Quoi mettre en place depuis septembre 2022
Les entreprises avaient déjà des obligations à respecter en matière de protection des renseignements personnels. Depuis le 22 septembre 2022, voici la tâche qui s’est ajoutée à la liste.
- Désignation d’un ou une responsable de la protection des renseignements personnels et publication de ses coordonnées et son titre sur le site Web de l’entreprise.
Le choix de la personne désignée est simple ; c’est la personne avec la plus haute autorité de l’organisation qui détient ce rôle. Cependant, elle peut désigner cette fonction à quelqu’un qui est soit à l’interne ou à l’externe de l’organisation. Les deux auront les même pouvoir décisionnel. Le ou la responsable aura donc de nouvelles responsabilités :
- Formation et sensibilisation de l’entreprise au sujet des renseignements personnels,.
- Tenues d’un registre en cas d’incident, en assurer la gestion et prendre rapidement des mesures afin de diminuer le risque. Les points qui devraient se retrouver dans votre registre sont, par exemple : la date et le lieu de l’incident, les circonstances, les renseignements personnels concernés, le nombre de personnes concernées par l’incident, le niveau de gravité de l’incident et les mesures prises par l’entreprise après l’incident (à votre guise d’en rajouter, plus on a d’informations, mieux c’est !). En cas d’incident, il faut aviser la Commission d’accès à l’information et les personnes concernées de tout incident présentant un risque sérieux,
- Divulguer à la Commission la vérification ou la conformité d’identité faite au moyen de caractéristique ou de mesures biométriques,
- Toute vérification ou conformité d’identité faite à l’aide de mesures biométriques ou de caractéristiques doivent être divulgué à la Commission,
- Observer les nouvelles directives concernant la communication de renseignements personnels sans le consentement préalable de la personne concernée, dans le cadre d’une transaction commerciale ou à des fins d’études, de recherche ou de production de statistiques.
Les organismes publics, quant à eux, devront se conformer aux responsabilités ci-dessus en plus de devoir former un comité sur l’accès à l’information et la protection des renseignements personnels.
Quoi mettre en place pour le 22 septembre 2023
De nouvelles mesures entreront en vigueur le 22 septembre 2023 et l’un des changements le plus importants est l’obligation d’obtenir le consentement des personnes avant que ce soit de collecter, d’utiliser ou de divulguer leurs informations personnelles. Pour ce faire, la création d’un formulaire de consentement (qui est séparé des conditions générales de vente ou d’utilisation) devra être de mise. Ce formulaire devra contenir les fins pour lesquelles les renseignements sont recueillis. Le tout devra être énoncé clairement afin d’assurer la transparence. Le droit de renonciation du consentement doit y être indiqué, ainsi que :
- La possibilité que les renseignements soient transmis à l’extérieur du Québec,
- Les moyens de collecte.
De plus, les points suivants devront aussi être expliqués :
- Pour chaque fin pour laquelle les renseignements sont collectés, un consentement doit être demandé,
- Le nom de chaque partie pour laquelle les renseignements sont recueillis doit être indiqué clairement,
- Indiquer le nom de tout tiers auquel il est nécessaire de transmettre les informations pour les fins énoncés.
Politique de confidentialité
La politique de confidentialité doit être rédigée en termes clairs et simples. La Loi 25 exige que les points suivants se retrouvent dans la politique :
- Rôles et responsabilités du ou des membres de l’équipe en lien avec les renseignements,
- Le processus du traitement des plaintes liées à la protection des données,
- Les règles de conservation, de destruction et d’anonymisations des renseignements personnels,
- Les mesures prises pour protéger les renseignements personnels.
Évidemment, les termes devront être mis en ligne sur le site Web de l’entreprise. Profitez-en pour mettre à jour vos politiques déjà existantes !
Gouvernance à l’égard des renseignements personnels
La Loi exige qu’un organisme public mette en place des règles encadrant la gouvernance à l’égard des renseignements personnels ; elles devront être ensuite publiées sur le site Web de l’organisme.
Les politiques doivent traiter des éléments suivants :
- La mise en place d’un cadre de protection des renseignements et de surveillance,
- Les règles de conservation, de destruction et d’anonymisations des renseignements personnels,
- La mise en œuvre de mesures de protection visant les renseignements personnels,
- Le processus du traitement des plaintes liées à la protection des données,
- Rôles et responsabilités du ou des membres de l’équipe en lien avec les renseignements,
- L’évaluation et la vérification de chaque partie ayant accès aux renseignements.
Anonymisation ou destruction des renseignements personnels
Il sera désormais obligatoire de détruire tout renseignement lorsque la totalité de la collecte a été effectuée. Si pour une raison légale les renseignements doivent être conservés, l’organisme doit les anonymiser. L’anonymisation des données et le temps de conservation fait aussi partie des nouvelles mesures à mettre en place.
Évaluation des facteurs
La réalisation d’une évaluation des facteurs relatifs à la vie privée (ÉFVP) doit être effectuée quand une des situations suivantes intervient :
- Avant de divulguer des renseignements personnels à l’extérieur du Québec,
- Lors de l’obtention, de l’élaboration ou de la révision d’un système d’information,
- Avant de fournir des services électroniques utilisant des informations personnelles.
Quoi mettre en place pour septembre 2024
Ne soyez pas dernière minute ; prenez de l’avance !
Il n’y a qu’une seule chose à mettre en place pour 2024 ; le droit à la portabilité des données. Toute organisation se verra l’obligation de fournir à la personne concernée les renseignements qu’elle détient sur elle, sur demande. De plus, elles devront aussi transmettre les renseignements à une organisation, préalablement autorisée, si cette personne le demande.
Cette loi comporte beaucoup de critères et cet article a pour but de donner des renseignements généraux. Pour en savoir plus, ou même bénéficier d’un accompagnement sur la Loi 25, contactez-nous ; nous pouvons vous aider à mettre tout le nécessaire en place avant les dates importantes.