Dans un monde de plus en plus connecté, la confidentialité des données et la vie privée des utilisateurs deviennent un enjeu majeur. Le gouvernement ainsi que les entreprises doivent donc prendre les mesures nécessaires afin d’assurer un meilleur contrôle de ces informations. Les législations adoptées il y a plusieurs années doivent être revues afin de suivre les nouvelles pratiques et optimiser la protection de renseignements personnels. La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, communément appelée la Loi 25 vient, comme son nom l’indique, moderniser ces législations. Dans cet article, nous décortiquerons les principaux changements afin que vous puissiez appliquer les mesures requises pour votre entreprise.
Le cabinet Bernard & Brassard, notre partenaire légal de confiance
Bernard & Brassard est notre partenaire légal pour tout ce qui a trait à la Loi 25. En tant qu’agence numérique, nous nous assurons de concevoir nos produits Web pour répondre aux dernières exigences en matière de protection des renseignements personnels. Le cabinet est composé d’avocats et de notaires spécialisés en droit des affaires, et nous sommes heureux de les compter parmi nos précieux collaborateurs.
Qu’est-ce que la Loi 25?
La Loi 25 a été mise en place par le Gouvernement du Québec afin de moderniser plusieurs lois de la province en matière de protection des renseignements personnels et de la vie privée en introduisant d'importants changements aux règles concernant la collecte, l'exploitation et la divulgation de renseignements personnels par les entreprises telles qu'elles sont énoncées dans la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la Loi sur le privé).
C’est la Commission d'accès à l'information du Québec qui veille à l'application des lois concernant la protection des données personnelles et impose des sanctions en cas de non-respect. Elle offre aussi des outils à l’intention des organismes publics et des entreprises pour les soutenir dans leur conformité en matière de protection des renseignements personnels.
Qu’est-ce qu’un renseignement personnel?
Un renseignement personnel fait référence à tout renseignement qui concerne un individu et qui permet de l’identifier. Il ne peut être utilisé par une entreprise sans le consentement de la personne concernée, sous réserve de quelques exceptions prévues dans la Loi sur le Privé.
Voici quelques exemples de renseignements personnels ;
.jpg?width=2670&height=1086&name=Personal-data%20(1).jpg)
Évidemment, ces informations n’ont pas le même niveau de sensibilité, il sera donc important d’établir le degré de sensibilité de chacun, de noter où ces données sont conservées et la raison pour laquelle elles sont collectées.
Les obligations de votre entreprise depuis le 22 septembre 2022
Les actions nécessaires seront réparties progressivement sur une période de trois ans, soit jusqu’en 2024. Les premiers changements apportés par la Loi 25 sont entrés en vigueur le 22 septembre 2022 et présentaient plusieurs nouvelles obligations auxquelles les entreprises devaient se conformer, incluant notamment :
Désigner un responsable de la protection des renseignements personnels
Par défaut, il s’agit de la personne ayant la plus grande autorité de l’organisation, mais celle-ci peut déléguer ces fonctions à une autre personne par écrit. D’ailleurs, son titre et ses coordonnées devront être publiés sur le Web. Le rôle de ce responsable est d’établir la politique et les pratiques de gouvernance en matière de protection des renseignements personnels, d’assurer la gestion des incidents de confidentialité, de réaliser les EFVP (évaluations de facteurs relatifs à la vie privée) et de sensibiliser et former le personnel de l’organisation.
Tenir un registre d’incidents de confidentialité pour les cinq dernières années
Un incident de confidentialité se produit lorsqu’une entité a obtenu un accès non autorisé à un renseignement personnel, en a fait une utilisation ou a communiqué celui-ci de manière non autorisée par la loi. La perte de ce type de renseignement ou toute autre atteinte à la protection de celui-ci constitue aussi un incident de confidentialité. La loi ne prévoit pas expressément le contenu du registre, mais il serait avantageux de tenir un registre des informations suivantes :
Aviser la Commission d’accès à l’information ainsi que les personnes concernées en cas d’incident de confidentialité
Lorsqu’un incident de confidentialité pose un risque de préjudice sérieux pour à personne concernée, il faut alors en aviser par écrit la Commission d’accès à l’information ainsi que les personnes concernées en plus de l’inscrire dans le registre d’incidents. Bien que la Loi sur le Privé ne définisse pas ce qui constitue un risque de préjudice sérieux, nous pouvons penser à une atteinte possible à la réputation, au dossier de crédit, une perte financière ou d’emploi ainsi qu’un vol d’identité. À cette fin, la Commission d’accès à l’information met à votre disposition un formulaire d’avis.
Ces actions ne sont pas une obligation légale, mais il serait avantageux pour votre entreprise d’entreprendre ces démarches :
Tenir un inventaire des informations confidentielles que possède votre entreprise
Faites l’inventaire des informations confidentielles que vous possédez, et évaluez le degré de sensibilité de ces renseignements. Déterminez ensuite le lieu où vous conserverez ces données. Il ne s’agit pas d’une obligation légale, mais cette pratique est fortement recommandée.
Former le personnel concerné
Il serait avantageux pour votre entreprise de mettre sur pied un programme de formation de personnel afin de former vos employés sur la protection des renseignements personnels.
Modalité à appliquer depuis septembre 2023
Depuis le 22 septembre 2023, la deuxième phase de la loi est en vigueur, et de nouvelles obligations doivent être respectées.
Mise en place des politiques de protection des renseignements personnels
Votre entreprise doit se doter de politiques proportionnelles à ses activités. Voici les types de politiques et procédures dont votre entreprise doit se doter :
|
Politique de confidentialité
|
On doit trouver dans votre politique de confidentialité les coordonnées du responsable des renseignements personnels, la liste de ces renseignements, leur fin d’utilisation, leur délai de conservation et leur condition d’accès et de retrait. |
|
Procédure quant à la conservation et la destruction des renseignements personnels
|
Comment conservez-vous les données confidentielles? Pendant combien de temps? Comment détruisez-vous ces données une fois échues? Votre procédure devra répondre à toutes ces questions. |
|
Procédure quant aux demandes d’accès aux renseignements personnels et le traitement des plaintes
|
Quelle est la procédure quant aux demandes d’accès aux renseignements personnels faites par les individus concernés? Quelle est la procédure quant aux plaintes et comment traiterez-vous celles-ci?
|
|
Procédure quant à la demande de désabonnement et de suppression de renseignements personnels
|
Votre entreprise doit se doter d’une procédure à suivre lors de demandes de désabonnement et/ou de suppression de données confidentielles effectuées par les individus concernés.
|
|
Procédure de gestion des incidents de sécurité
|
Dotez-vous d’une procédure en cas d’incident. S’il s’agit d’un incident présentant un haut risque de préjudice, vous devez en informer l’individu en question ainsi que la Commission d’accès à l’information.
|
|
Procédure de gestion du personnel
|
Votre entreprise doit posséder une procédure afin de former le personnel concernant les modalités de la Loi 25.
|
Ces politiques et procédures doivent être approuvées par le responsable de la protection des renseignements personnels.
Communiquer les procédures de manière transparente
Votre entreprise se doit d’être transparente quant à sa communication de procédures qu’elle aura mise en place concernant sa gestion de renseignements personnels.
|
Sur votre site Web
|
Non seulement vous devrez afficher la politique de confidentialité de votre entreprise sur votre site Web, mais vous devrez aussi afficher des informations détaillées simples et claires au sujet de ces politiques et de ces pratiques.
|
|
Lors de la collecte de données
|
Si vous collectez des renseignements personnels, que ce soit lors de l’utilisation de votre site Web, par le biais de la géolocalisation ou d'autres méthodes, vous êtes tenus d’en informer les personnes concernées. Vous devrez notamment informer ces personnes des raisons de la collecte et de la manière dont elle sera affectée. |
|
Lors d’une demande
|
Lorsqu’un individu en fait la demande, vous devez notamment lui partager les informations suivantes : les renseignements personnels recueillis auprès de lui; les catégories d’employés qui ont accès à ces renseignements au sein de l’entreprise; et la durée de conservation de ces renseignements. |
L’évaluation des facteurs relatifs à la vie privée
Au nombre des changements apportés par la Loi 25, nous comptons l’obligation de procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) dans certaines situations. Notamment, les entreprises devront procéder à une EFVP avant la mise en place de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels, ou avant de communiquer un renseignement personnel à l’extérieur du Québec.
Application des sanctions administratives et pénales
La Loi 25 introduit des sanctions plus sévères en cas de non-conformité à la législation sur la protection de la vie privée. Les entreprises prises en défaut pourraient se voir imposer des sanctions financières sans précédent, pouvant atteindre 25 M$ (ou, si supérieur, 4 % du chiffre d'affaires mondial de l'exercice financier précédent), ainsi que des sanctions administratives pécuniaires pouvant atteindre 10 M$ (ou, si supérieur, 2 % du chiffre d'affaires mondial de l'exercice financier précédent). De plus, la Loi 25 prévoit aussi la possibilité pour l’entreprise fautive de se voir condamner à payer des dommages-intérêts punitifs d'au moins 1000 $ en cas de violations intentionnelles ou graves causant un préjudice.
Conclusion
Finalement, la Loi 25 a pour principal objectif de protéger les renseignements personnels des individus. Ses modalités seront applicables sur une période de 3 ans et s’étendront jusqu’en 2024 afin de laisser le temps aux entreprises de s’ajuster. Les principaux axes sur lesquels votre entreprise devra se concentrer concernent la nomination d’un responsable de la protection des renseignements personnels, la mise en place de politiques de confidentialité et de procédures internes, la création d’un registre de ces renseignements collectés ainsi qu’un registre des incidents de confidentialité.
La Loi 25 apporte son lot de questionnements, et il peut être difficile de savoir quelles mesures mettre en place à quel moment. Nous avons donc développé un partenariat avec le cabinet d’avocats Bernard & Brassard afin de mettre en place les mesures nécessaires dans votre entreprise. Bénéficiez des conseils de nos experts numériques et légaux, et ce, sous un même toit en prenant rendez-vous ici.
Commentaires de blogs
Laisser un commentaire.