En septembre 2021, le gouvernement du Québec a adopté la nouvelle loi 25, soit la « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. »
Ces nouvelles règles touchent toutes les organisations établies aux Québec ainsi que toutes les collectes de renseignements personnels effectuées sur le territoire, et ce, même si la collecte est réalisée par une entreprise située à l’extérieur de la province.
QU’EST-CE QU’UN RENSEIGNEMENT PERSONNEL
Selon le Commissaire à l’information du Canada, un renseignement personnel est défini comme : un renseignement personnel est une information « concernant » un individu identifiable. Le terme « concernant » signifie non seulement que le renseignement en question porte sur un individu, mais aussi qu’il le touche ou qu’il peut y être associé.
En résumé, « lorsqu’il y a de fortes possibilités que l’individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec des renseignements d’autres sources » – Source : (Gordon c. Canada (ministre de la Santé), 2008 CF 258 (CanLII))
Exemples de renseignements personnels :
- Nom, prénom
- Numéro de téléphone
- Adresse
- Courriel personnel
- Date de naissance
- Numéro d’assurance sociale
COMMENT ÇA ME CONCERNE EN ENTREPRISE?
La protection des renseignements personnels touche toutes les entreprises. Vous avez non seulement des données de vos clients, mais également les données de vos employés! Il est important de s’assurer que tout est bien protégé autant au niveau des dossiers physiques qu’au niveau de vos outils numériques, c’est aussi une belle occasion de vous assurer que vous êtes à jour dans votre cybersécurité.
AIRES D’APPLICATION
La nouvelle loi 25 concerne trois grandes sphères d’application :
- La collecte, l’utilisation et la communication des renseignements personnels
- Les exigences en matière de gouvernance (gestion) des renseignements personnels et le signalement des incidents de confidentialité impliquant un renseignement personnel
- Les mécanismes d’application
LES PHASES DE DÉPLOIEMENT
L’entrée en vigueur de la loi 25 se fera en 3 phases et sera échelonnée sur 3 années.
Phase 1 –22 septembre 2022
- Nomination d’un responsable de la protection des renseignements personnels.
Pour la première année, les organisations devront nommer un responsable de la protection des renseignements personnels qui devra assurer la mise en œuvre de la loi et le respect de celle-ci. Cette personne devra avoir la plus haute autorité ou la déléguer par écrit à une personne désignée. Le nom et les coordonnées de la personne responsable devront être publiés sur le site web de l’entreprise.
- Signalement obligatoire
Tous les incidents de confidentialité impliquant un renseignement personnel sensible devront être signalés à la Commission d’accès à l’information (CAI). Les personnes touchées par ces incidents devront également en être informées.
Phase 2 – 22 septembre 2023
- Évaluation et analyse
Les organisations devront effectuer l’évaluation des facteurs relatifs à la vie privée (ÉFVP) pour chacune des opérations nécessitant la collecte, la divulgation, l’utilisation et même la destruction de données personnelles.
- Mise en place de politiques et de pratiques
Les entreprises devront se doter de politiques et de pratiques concernant la gestion des données. (Restrictions, limites d’accès, etc.)
Elles auront l’obligation de détruire les renseignements personnels une fois que l’objectif pour lequel ils ont été recueillis aura été atteint.
Les organisations, qui transfèrent des données à des tiers, devront conclure un accord écrit avec leurs fournisseurs/partenaires et obtenir une description complète des mesures utilisées par ceux-ci pour préserver la confidentialité des données.
Lors de la collecte de données personnelles, les entreprises devront fournir aux clients les renseignements suivants :
- L’objectif de la collecte de données
- Les méthodes utilisées pour la collecte
- Le temps d’utilisation
- Les droits d’accès et de rectification
- Le droit de retirer le consentement
- Rédiger les termes de la politique de confidentialité dans un langage clair et simple et les documenter
- Accepter les demandes des clients/utilisateurs
Les entreprises devront obtenir le consentement explicite des personnes concernées afin d’utiliser un renseignement de nature délicate à des fins secondaires.
Chaque personne aura le droit de demander à l’entreprise de cesser de diffuser ou d’utiliser leurs renseignements personnels et de désindexer tous les hyperliens associés à leur nom. Les entreprises devront se plier à ses demandes.
Phase 3 – 22 septembre 2024
- L’étendue et la source des données
Une personne pourra demander que les renseignements recueillis à son sujet lui soient communiqués à elle ou à une autre organisation dans un format déterminé. Si la personne le demande, les organisations devront aussi fournir la source utilisée pour obtenir ces données.
Les organisations auront l’obligation d’informer les gens lorsque leurs renseignements personnels seront utilisés pour prendre des décisions relatives au traitement automatisé des données. Une personne aura le droit de savoir quelles données ont été utilisées et quels facteurs ont mené à ces décisions.
SANCTIONS
Les organisations qui ne se conformeront pas aux nouvelles règles établies par la loi 25 s’exposeront à différentes sanctions selon la gravité de l’infraction.
Pour un manquement aux mesures visant la collecte, l’utilisation et la communication des renseignements personnels :
- Une sanction administrative pouvant atteindre 50 000 $ pour les particuliers et 10 millions de dollars ou 2% du chiffre d’affaires mondial, le montant le plus élevé des deux, pour les sociétés.
- Une infraction pénale avec une amende de 10 000$ pour les personnes physiques et de 25 millions de dollars ou 4% du chiffre d’affaires mondial, le montant le plus élevé des deux, pour les sociétés.
- En cas de récidive, les amendes seront doublées.
Pour un manquement aux exigences en matière de gouvernance à l’égard des renseignements personnels et le signalement des incidents de confidentialité :
- Sanctions administratives pouvant atteindre 10 millions de dollars ou 2% du chiffre d’affaires mondial, le montant le plus élevé des deux, en cas de non-conformité pour les sociétés.
- Établissement d’un droit privé d’action pour les personnes touchées par une contravention à la loi.
EST-CE QUE MON ENTREPRISE EST CONCERNÉE
Votre entreprise est soumise à la loi 25 si, par exemple :
- Vous conservez des données personnelles sur vos employés
- Vous conservez les coordonnées de vos clients
- Vous avez des données concernant des fournisseurs
- Vous faites des collectes d’adresse courriel pour une infolettre, des offres promotionnelles, etc.
- Vous obtenez des renseignements personnels d’individus par un moyen ou un autre.
QUOI FAIRE MAINTENANT
Pour vous assurer de bien répondre aux exigences de la loi 25 :
- Déterminez si la loi 25 s’applique aux activités de collecte et d’utilisation des renseignements personnels de votre organisation.
- Évaluez votre niveau actuel de conformité.
- Établissez un plan concernant les lacunes de votre entreprise, les moyens de les corriger et les ressources nécessaires pour y arriver.
- Au besoin, demandez l’aide d’un expert qui pourra vous guider et vous aider à mettre en place les bonnes pratiques de gestion de données.
Sources :
- Projet de loi 64: tout ce que vous devez savoir et pourquoi c’est important en 2022 | Grenier aux nouvelles
- La nouvelle loi québécoise sur la protection de la vie privée (projet de loi 64) est arrivée – Les entreprises canadiennes doivent en prendre note! | Miller Thomson LLP
- Projet de loi 64 – Le gouvernement du Québec redonne aux citoyens le plein contrôle de leurs renseignements personnels: Gouvernement du Québec (quebec.ca)
- Bulletin d’interprétation : Renseignements personnels – Commissariat à la protection de la vie privée du Canada
