2 octobre 2023

Bon, on en parle de la loi 25 ?

Bon, on en parle de la loi 25 ?

Vous êtes propriétaire d’entreprise, avez vaguement entendu parler de la Loi 25 et commencez à vous dire qu’il commencerait à être temps de s’y mettre, mais ne savez pas trop comment vous y prendre ni même quelles sont réellement vos nouvelles obligations? On décortique la patente pour vous. Vous allez voir, c’est pas si pire que ça, promis!

C’est quoi, au juste, la loi 25 ?

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, aussi appelée Loi 25, est une législation québécoise mise en place en septembre 2022 par la Commission d’accès à l’information du Québec visant à protéger nos données personnelles.

Fortement inspirée du RGPD européen de 2016, elle impose des obligations aux entreprises et aux organismes en ce qui concerne la collecte, l’utilisation, le stockage et la divulgation des renseignements personnels.

La Loi concerne les renseignements personnels que votre entreprise :

  • Recueille
  • Détient
  • Utilise
  • Communique à des tiers

Elle s’applique à tout renseignement personnel, peu importe leur nature et leur forme :

  • Écrite
  • Graphique
  • Sonore
  • Visuelle
  • Informatisée

Sont touchés par la Loi 25 les :

  • Entreprises privées
  • Travailleurs autonomes
  • Organismes à but non lucratif
  • Organismes publics
  • Ordres professionnels
  • Partis politiques
  • Députés ou candidats indépendants
  • Congrégations religieuses
  • Etc.

OK, mais avant, qu’est-ce qu’on entend par « renseignements personnels »?

D’abord, un renseignement personnel est une information qui concerne une personne physique (un consommateur, un employé, un client, un sous-traitant, une personne qui offre ses services-conseils, etc.) et qui peut permettre de l’identifier.

Notez que plusieurs informations ne permettant pas d’identifier une personne lorsque prises seules (ex. ville résidence), mais qui peuvent permettre d’identifier une personne lorsque regroupées (ex. ville de résidence + âge + sexe + profession) entrent aussi dans cette catégorie.

Connaître la ville de résidence d’une personne X ne permet d’identifier personne en soi, mais si cette information, couplée à d’autres, peut permettre de déduire de qui il s’agit, on parle d’un renseignement personnel.

Voici quelques exemples de données considérées comme des renseignements personnels :

  • Informations générales : nom, date de naissance, âge, sexe, ville (asv svp!), adresse, numéro de téléphone, adresse courriel, numéro d’assurance sociale, d’assurance maladie, etc.
  • Travail : dates de vacances, motifs d’absence, salaire, horaires, etc.
  • Santé : diagnostic, consultation avec un professionnel de la santé, médication, etc.
  • Finances : revenu annuel, numéro de compte bancaire, actifs, cartes de crédit, score de crédit, etc.
  • Situation : état civil, prestations reçues, le fait qu’une personne ait des enfants ou non, qu’elle soit mariée ou non, etc.
  • Scolarité : diplômes, curriculum vitae, etc.
  • Biométrie : empreintes digitales, reconnaissance faciale, signature, voix, etc.

Quelles sont les obligations à respecter en lien avec la loi 25?

La loi 25 se déploie en 3 phases, dont les dates de tombée sont en septembre 2022, en septembre 2023 et en septembre 2024.

Phase 1 – 22 septembre 2022

À partir de septembre 2022, dans le cadre de la loi 25, vous devriez :

  • Avoir fait l’inventaire des renseignements personnels détenus par votre entreprise et en avoir évalué la sensibilité (cet inventaire doit être tenu à jour).
  • Nommé une personne responsable de la protection des renseignements personnels.
  • Rédigé une procédure d’avis en cas d’incident de confidentialité.
  • Divulgué à la Commission les banques de caractéristiques ou de mesures biométriques si cela s’applique.
  • Cessé de communiquer tout renseignements personnels sans consentement explicite.

 

Si ce n’est pas encore fait, vous êtes un brin en retard, mais ça va. Pas de panique. Vous allez vous rattraper, on vous fait confiance.

Les organismes publics, quant à eux, doivent aussi créer un comité sur l’accès à l’information et la protection des renseignements personnels.

Phase 2 – Septembre 2023

Depuis septembre 2023, la loi 25 s’est étendue et prévoit que vous devriez :

  • Avoir mis en place ses politiques et pratiques de gouvernance des renseignements personnels et préciser les rôles de chaque intervenant·e au sein de votre entreprise en ce qui a trait à la confidentialité.
  • Avoir publié vos règles de gouvernance, sa politique de confidentialité, etc. sur votre site Web (ou autrement si votre entreprise n’a pas de présence Web).
  • Avoir commencé à détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie ou à les anonymiser.
  • Offert plus de contrôle aux individus sur la manière dont leurs données sont utilisées et partagées.
  • Établi une confidentialité par défaut dans les produits ou services technologiques.
  • Donné le droit à la désindexation.
  • Cessé de communiquer des renseignements personnels à l’extérieur du Québec.
  • Cessé de collecter de renseignements personnels concernant les mineurs de moins de 14 ans.

 

Ça, ça devrait aussi déjà être mis en place.

À partir de cette phase, des sanctions administratives pécuniaires en cas de non respect de la loi peuvent être réalisées. C’est aussi en septembre 2023 que les partis politiques sont assujettis à la loi 25.

Phase 3 – Septembre 2024

Pour terminer, en septembre 2024, vous devriez être à même de :

  • Respecter le droit à la portabilité des renseignements personnels, c’est à dire avoir mis en place les moyens d’exporter et de transmettre sur demande – dans un format couramment utilisé – l’ensemble des données personnelles d’une personne à sa demande ou à la demande de la Commission.

 

En d’autres mots, vous devriez avoir une vue d’ensemble réaliste des données que vous recueillez, avoir mis en place des méthodes afin d’assurer la confidentialité et la sauvegarde sécuritaire des données ainsi que des processus en cas de bris de confidentialité et avoir les moyens de rendre des comptes au besoin.

Quelles sont les sanctions encourues en cas de non-conformité?

Pour les entreprises, le non-respect de la réglementation pourrait entraîner des pénalités de 2 % du chiffre d’affaires de l’exercice précédent (jusqu’à concurrence de 10M$).

Une faute lourde retirerait à l’entreprise 4 % de ses ventes ou un montant fixe variant entre 15 K et 25 M.

Une infraction pour une personne physique entrainerait une sanction se chiffrant entre 5K et 100K.

En tant que propriétaires d’entreprise possédant un site Web : que devez-vous faire?

En tant que propriétaire d’entreprise ou entrepreneurs possédant un site Web, voici ce que vous devriez faire :

  1. Rédiger et publier une politique de confidentialité (comment vous collectez, utilisez et protégez les données personnelles des utilisateurs).
  2. Nommer un responsable de la protection des données et en publier les coordonnées sur votre site.
  3. Obtenir le consentement explicite des utilisateurs pour la collecte de données sur le site (avec option claire pour retirer le consentement).
  4. Mettre en place une procédure de notification d’incident.
  5. Tenir un registre d’incident (il faudra déterminer qui informera les personnes concernées, la Commission et comment).
  6. Mettre en place un processus pour anonymiser les données personnelles lorsque possible.
  7. Ne plus communiquer des renseignements personnels en dehors du Québec (sauf exception).

En tant que propriétaire d’entreprise, que faut-il faire pour se conformer à la loi 25?

C’est là que ça devient tannant, parce que des données personnelles, on n’en stocke pas seulement à travers nos formulaires de sites Web.

En gros, la Loi 25 ratisse plus large que les ressources informatiques.

Pour se conformer à la loi 25, il faut donc faire l’inventaire des données récoltées (et donc, des endroits où elles sont récoltées et stockées), et c’est là qu’on a parfois tendance à se limiter au site Web et à oublier quelques angles.

Où d’autre retrouve-t-on des données personnelles?

On retrouve des données personnelles à plusieurs endroits, au-delà des ressources informatiques :

  • Boutique Shopify
  • Logiciel comptable
  • Services d’expédition de colis
  • Statistiques clients stockées dans un fichier Excel (ou à la main, dans un cahier!)
  • Applications tierces

À noter que les politiques de confidentialité proposées par différentes plateformes, telles que Shopify, WordPress, etc., sont une belle base, mais ne représentent pas nécessairement la réalité complète de votre entreprise quant à la façon dont vous stockez et utilisez les données.

Miss.Nitro, experte Shopify, en parle en termes clairs ici :

@miss.nitro Réponse à @ledressingdejessica La loi 25, c’est plus qu’une histoire de plugin. Je te résume ma compréhension de la loi et de son implication (attention je ne suis pas Avocate) mais ça te donnera une bonne idée qu’on a tous du pain sur la planche! #loi25quebec #loi25 #donneespersonnelles ♬ son original – Maude | Experte Shopify 🇨🇦

Qui doit s’occuper des mesures à mettre en place?

Si vous êtes travailleur·euse autonome, c’est pas trop mal : vous êtes la seule personne à avoir accès à l’entièreté des données, à connaître tous les endroits (encore faut-il faire un inventaire réaliste) où elles sont entreposées, à vous en servir et à avoir le pouvoir de les supprimer sur demande ou de faire un rapport d’incident à la Commission.

Dans le cas des entreprises et organisations comptant plusieurs employé·es, la tâche devient un peu plus demandante : il faudra alors identifier quelles personnes ont accès à quelles données, qui est responsable de l’inventaire, qui devra faire les rapports d’incident, etc.

Que faire en cas d’incident de confidentialité?

En cas d’incident de bris de confidentialité, vous devrez désormais :

  • Prendre des mesures raisonnables pour diminuer les risques de préjudice pour la personne impliquée.
  • Aviser la Commission ainsi que la personne impliquée en cas de possibilité de préjudice grave.
  • Tenir un registre des incidents (dont une copie pourrait être envoyée à la Commission sur demande).

Ressources :

Dans tous les cas, en cas de doute, on vous suggère d’engager un avocat afin de réviser ou rédiger vos politiques de confidentialité, vos contrats, vos politiques internes, etc.


Vous pourriez aussi aimer :