1. Qu’est-ce que la Loi 25?
C’est la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
Elle a pour objet de mettre à jour et rendre plus efficaces les lois québécoises en vigueur en matière de « protection des renseignements personnels ». Il y a notamment la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, et la Loi sur la protection des renseignements personnels dans le secteur privé qui s’applique aux entreprises privées.
La Loi 25 permet d’assurer une meilleure protection des renseignements personnels en mettant l’emphase sur le consentement des personnes qui sont invitées à divulguer leurs renseignements personnels, sur la transparence de la part des organisations qui font la collecte de renseignements personnels, et sur l’imputabilité de ces organisations à l’égard de la protection et de la confidentialité des renseignements personnels.
Elle confère aussi plus de pouvoirs à la Commission d’accès à l’information (l’autorité réglementaire chargée de son application) qui comptera désormais dans son arsenal des sanctions administratives et pénales sévères en cas de non-conformité.
2. À quelles organisations la Loi 25 s’applique-t-elle?
La Loi 25 s’applique à toutes les organisations qui recueillent des renseignements personnels de personnes physiques qui résident au Québec. Toutes les entreprises, publiques ou privées, qui collectent des renseignements personnels au Québec, sont assujetties à la Loi 25. C’est le cas des coopératives d’habitation.
3. Qu’est-ce qu’un renseignement personnel?
Selon la Loi 25, un renseignement personnel se définit comme suit:
Est un renseignement personnel tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier.
Le Gouvernement du Québec présente une définition un peu plus détaillée :
Un renseignement est personnel lorsqu’il concerne une personne physique et qu’il en permet, directement ou indirectement, l’identification. Voici ce qui le caractérise :
- Il doit faire connaître quelque chose à quelqu’un;
- Il doit avoir un rapport avec une personne physique;
- Il doit être susceptible de distinguer cette personne par rapport à une autre ou de reconnaître sa nature.
On retrouve des renseignements personnels dans différents contextes. En voici quelques exemples:
- Renseignements d’identification : Adresse, numéro de téléphone, sexe, âge, numéro d’assurance sociale, numéro d’assurance maladie, identifiant numérique, etc.
- Renseignements de santé : Dossier médical, diagnostic, consultation d’une professionnelle ou d’un professionnel de la santé, médicament, ordonnance, renseignements sur la cause d’un décès, etc.
- Renseignements financiers : Revenus d’une personne, renseignements relatifs à l’impôt, numéro de compte bancaire, biens possédés, numéros de cartes de crédit, etc.
- Renseignements relatifs au travail : Dossier disciplinaire, motifs d’absence, dates de vacances, salaire, évaluation du rendement, heures d’entrée et de sortie liées au lieu de travail, etc.
- Renseignements scolaires ou relatifs à la formation : Inscription à des cours, choix de cours, résultats scolaires, diplômes, curriculum vitæ, comportement, etc.
- Renseignements relatifs à la situation sociale ou familiale : Documents qui attestent de l’état civil, le fait qu’une personne ait ou non des enfants ou qu’elle reçoive des prestations d’aide sociale ou de chômage, religion, orientation sexuelle, etc.
Cependant, il faut noter que les renseignements qui ont un caractère public ne bénéficient pas de cette protection. D’autre part, la Loi 25 ne s’applique pas non plus aux renseignements qui concernent la fonction qu’une personne occupe au sein d’une organisation, tels que son nom, sa fonction, son courriel professionnel, son adresse professionnelle, et son numéro de téléphone au travail.
4. Quel est l’impact de la Loi 25 sur les organisations québécoises?
Les organisations sont désormais directement responsables de veiller à la protection et la confidentialité des renseignements personnels.
D’une part, la Loi contient des dispositions qui les obligent à désigner un Responsable de la protection des renseignements personnels qui aura la charge de voir à l’application de la loi et de répondre aux demandes exprimées par les usagers.
De plus, la Loi impose dorénavant qu’une organisation obtienne un consentement libre et éclairé d’une personne avant de pouvoir colliger ses renseignements personnels.
Cette personne devra également être informée des finalités de la collecte de renseignements personnels ainsi que des droits dont elle dispose à leur égard. Par ailleurs, les organisations devront faire preuve d’une plus grande transparence dans l’usage qu’elles font des renseignements personnels.
Finalement, la Loi les rend imputables de la protection et de la confidentialité des renseignements personnels qu’elles détiennent, ce tant et aussi longtemps que ceux-ci n’auront pas été détruits, même dans les cas où ils seraient confiés à des tiers.
Ultimement, pour s’assurer de la conformité des organisations, la Loi 25 prévoit des sanctions administratives et pénales sévères.
5. Que doivent faire les organisations pour se conformer à la Loi 25?
Dans un premier temps, elles doivent procéder à un mini-audit (ou analyse interne) pour déterminer quels sont les renseignements personnels qu’elles détiennent et comment ils sont organisés au sein de leur organisation : où sont-ils entreposés? qui y a accès? et quels sont les moyens mis en place pour les protéger?
Ensuite, une analyse de risque concernant les renseignements personnels doit être faite pour mesurer leur nature, leur sensibilité, leur volumétrie, les risques auxquels ils sont exposés. Ceci vous permettra alors d’établir un plan de mise en conformité qui comprend les étapes suivantes :
- Désignation du Responsable de la protection des renseignements personnels;
- Élaboration d’un Plan d’urgence pour minimiser les risques en cas d’incident entraînant la compromission de vos renseignements personnels;
- Élaboration des politiques et règles de gouvernance;
- Publication des mentions requises sur le site web de l’organisation;
- Révision des contrats avec les employés et tiers fournisseurs;
- Évaluation des facteurs relatifs à la vie privée à l’égard de chacun de vos tiers-fournisseurs hors-Québec (seulement ceux à qui vous confiez des renseignements personnels);
- Formation et sensibilisation des membres de l’organisation.
6. Quels sont les droits dont disposent les particuliers à l’égard de leurs RP en vertu de la Loi 25?
- Droit d’accès : Toute personne concernée peut demander l’accès aux renseignements personnels que détient une organisation à son égard.
- Droit de rectification : Si les renseignements personnels d’une personne sont inexacts, incomplets, équivoques ou illégaux, toute personne peut demander qu’ils soient rectifiés.
- Droit à l’information : En vertu de la Loi 25, une personne a le droit de savoir à quelles fins ses renseignements personnels seront utilisés, qui y aura accès, et déterminer si ceux-ci seront confiés à des organisations hors-Québec. De plus, une personne a le droit d’être informée si ses renseignements personnels seront recueillis par l’entremise de technologies comportant des fonctions d’identification, de localisation ou de profilage.
- Droit à l’oubli : Toute personne concernée qui rencontre les critères prévus par la Loi peut demander qu’une organisation cesse la diffusion d’un renseignement personnel ou procède à la désindexation de tout hyperlien rattaché à son nom.
- Droit de retrait : Sous réserve de certaines exceptions prévues par la loi, toute personne peut retirer son consentement à l’égard de la collecte, utilisation, communication, conservation ou destruction de ses renseignements personnels.
- Droit à la portabilité : Toute personne peut demander à récupérer les renseignements personnels que détient une organisation à son égard. Le cas échéant, l’organisation concernée devra les lui remettre dans un format technologique structuré et couramment utilisé (Attention: ce droit n’entre en vigueur qu’à partir du 23 septembre 2024).
7. Au sein d’une organisation, qui doit agir à titre de responsable de la protection des renseignements personnels ?
La Loi 25 attribue cette responsabilité par défaut à la personne ayant la plus haute autorité au sein d’une organisation.
Cette responsabilité peut cependant être déléguée par écrit en tout ou en partie à toute personne à l’interne ou à l’externe.
Le titre et les coordonnées de ce responsable doivent être publiés sur le site Internet de l’organisation ou par tout autre moyen approprié.
8. Quelles sont les responsabilités de la personne qui occupe la fonction de responsable de la protection des renseignements personnels au sein d’une organisation?
- Établir et mettre en œuvre au sein de l’organisation des politiques et des pratiques qui permettent d’assurer la protection des renseignements personnels. Ceci inclut, entre autres, les rôles et responsabilités des membres de l’organisation, le traitement des plaintes, et l’encadrement relatif à la conservation et la destruction des renseignements personnels.
- Évaluer le risque de préjudice sérieux que peut représenter pour les individus la survenance d’un vol ou la compromission de renseignements personnels.
- Traiter les demandes et les plaintes des particuliers à l’égard de leurs renseignements personnels et les assister pour pouvoir y donner suite lorsque nécessaire.
- Voir à la formation des membres de l’organisation.
- Suggérer toutes mesures nécessaires pour améliorer la protection des renseignements personnels de l’organisation.
9. Que peuvent faire les organisations avec les renseignements personnels qu’elles colligent?
Sous réserve des exceptions prévues par la Loi, les organisations qui recueillent des renseignements personnels doivent s’assurer qu’elles ne les utilisent que pour les fins pour lesquelles ils ont été recueillis.
10. En vertu de la Loi 25, que doivent publier les organisations sur leur site web?
- Le titre et les coordonnées du Responsable de la protection des renseignements personnels pour que les particuliers puissent lui transmettre leur demandes ou doléances;
- Des informations détaillées au sujet des politiques et des pratiques de gouvernance que les organisations adoptent pour assurer la protection des renseignements personnels;
- Une Politique de confidentialité pour préciser comment les renseignements personnels sont colligés, utilisés, communiqués et conservés, pour rappeler quels sont les droits des particuliers à leur égard, et pour communiquer les coordonnées pour rejoindre le responsable de la protection des renseignements personnels;
11. Qu’est-ce qu’un incident de confidentialité?
Un incident de confidentialité se définit dans la Loi 25 comme suit :
Pour l’application de la présente loi, on entend par « incident de confidentialité » :
1° l’accès non autorisé par la loi à un renseignement personnel;
2° l’utilisation non autorisée par la loi d’un renseignement personnel;
3° la communication non autorisée par la loi d’un renseignement personnel;
4° la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Autrement dit, un incident de confidentialité a lieu lorsque la sécurité d’un renseignement personnel a été compromise.
12. Que doivent faire les organisations en cas d’incident de confidentialité?
Lorsque les organisations ont des motifs de croire qu’un incident de confidentialité s’est produit, elles doivent prendre les mesures raisonnables pour diminuer les risques de préjudice pour les personnes concernées et s’assurer que des incidents de même nature ne se reproduisent pas.
S’il y a un risque qu’un préjudice sérieux soit causé aux personnes concernées, une organisation a l’obligation d’en aviser l’autorité réglementaire, la Commission d’accès à l’information, ainsi que toutes victimes potentielles.
Par ailleurs, un registre de tous les incidents de confidentialité doit être tenu.
13. Combien de temps les organisations peuvent-elles conserver des renseignements personnels?
Les organisations peuvent conserver les renseignements personnels aussi longtemps que raisonnablement nécessaire pour accomplir les fins pour lesquelles ils ont été colligés auprès des personnes concernées.
Cependant, une fois que ces fins ont été atteintes, les organisations doivent alors faire le nécessaire pour en assurer la destruction de manière sécuritaire, le tout sous réserve des lois applicables qui peuvent prévoir des délais additionnels (par exemple, la Loi sur l’impôt prévoit que les renseignements de nature financière doivent être conservés pour une période de 7 ans.
14. Quels sont les risques en cas de non-conformité à la Loi 25?
Les contrevenants à la Loi 25 s’exposent à des conséquences administratives et pénales sévères.
Dans un premier temps, les inspecteurs de la Commission vont leur remettre un avis de non-conformité. Ces derniers pourront alors présenter leur point de vue et faire une demande de réexamen. Si la situation ne se corrige pas, les inspecteurs pourront leur imposer une sanction administrative pécuniaire (SAP).
Par ailleurs, la Loi 25 habilite aussi la CAI à intenter des poursuites pénales pour non-conformité. Pour une personne physique l’amende est de 5 000 $ à 100 000$. Pour les organisations, l’amende maximale varie entre 15 000 $ à 25 000 000 $ (ou 4% du chiffre d’affaires mondial si ce dernier montant est plus élevé).