Loi modernisant des dispositions législatives en matière de protectiondes renseignements personnels au Québec
Pour vous éviter de lourdes amendes, nous démystifions la loi 25 et les nouvelles obligations de votre organisation !
Bienvenue à une introduction aux éléments clés de la loi 25, y compris les devoirs du responsable de la protection de la vie privée et de l'organisation ; comment traiter les brèches dans la confidentialité ; comment élaborer une politique ; et les informations à ajouter à vos plateformes médiatiques.
La loi 25 est un nouveau processus au Québec visant à assurer la transparence, la bonne gestion et la protection de la vie privée des client•es en ce qui concerne la collecte de leurs renseignements personnels. D'ici la fin de l'année 2024, les organisations doivent adapter leurs procédures de gestion des données des client•es et créer des politiques de protection de la vie privée afin d'être en conformité avec la nouvelle loi.
À la base, il s'agit d'une question d'archivage et de divulgation visant à rendre les entreprises plus responsables des données précieuses qu'elles détiennent. À bien des égards, ces mesures relèvent d'une politique de bon sens visant à protéger les personnes et leurs données personnelles. Bien que l'évaluation initiale et la mise en conformité permanente posent quelques problèmes, ces mesures garantissent une expérience utilisateur plus sûre et sont essentielles pour instaurer et conserver la confiance des personnes qui utilisent vos services.
La loi 25 exige que les informations personnelles soient rendues anonymes ou détruites une fois que les objectifs pour lesquels elles ont été recueillies ou utilisées ont été atteints. L'une des clés de la réussite est de veiller à ce qu'un•e responsable soit en place dans votre organisation pour suivre les procédures. Les organisations se doivent de privilégier l'évaluation initiale et le maintien de la conformité, en plus d’assurer la formation du personnel.
Les nouvelles technologies et la tenue de registres sont un défi pour les organisations dont les heures hebdomadaires sont limitées et pour les équipes qui passent plus de temps sur le terrain qu’à l'ordinateur. Cela dit, avec l'augmentation des amendes, les organisations à but non lucratif risquent désormais des pénalités allant de 3 000 à 30 000 dollars, les organisations plus importantes étant soumises à des amendes allant de 5 000 à 10 $ million dollars. La reddition de comptes et la conformité seront nécessaires pour éviter de telles amendes.
Pour vous aider à définir les mesures et les attentes pour l'année à venir, nous avons dressé la liste des principales étapes à suivre pour entamer votre évaluation interne.
Les équipes de gestion des organisations à but non lucratif devront mettre en place les éléments clés suivants :
Désigner un•e employé•e responsable de la protection des informations personnelles. Cette personne porte le titre de responsable de la protection de la vie privée.
Faire l'inventaire des informations personnelles détenues par l'organisation et analyser les documents qui contiennent des informations personnelles sensibles (que ce soit dans des documents physiques, sur des ordinateurs ou dans des systèmes de stockage en nuage). Évaluez qui peut accéder à ces fichiers et comment, puis créez un rapport faisant état des risques existants. Ces étapes représentent ce qu'on appelle une évaluation de l'impact sur la vie privée.
Établir des politiques internes et publiques pour définir la manière dont les dossiers sont conservés et dont les brèches de sécurité sont traitées.
Sur votre site web, en langage clair, publier des informations détaillées sur ces politiques. Si vous n'avez pas de site web, publiez ces informations par tout autre moyen approprié. Vous devrez publier leur titre et leurs coordonnées sur le site web de l’organisation.
Tâches de la personne responsable de la protection de la vie privée :
Mettre en place des stratégies et des mesures pour éviter ou considérablement réduire ces risques ;
Informer l'équipe de la politique et des pratiques en plus d’aider à planifier la formation.
Crée des formulaires pour : les rapports de collecte de données individuelles, les plaintes des utilisateur•ices, les rapports de violation de la confidentialité.
Veiller à ce que les personnes soient bien informées lors de la collecte de leurs données personnelles à des fins de transaction commerciale ou d'étude, de recherche ou de production statistique. (Par exemple, ajouter un texte à toute étude pour détailler l'utilisation qui sera faite des données et la manière dont elles seront consultées).
Travailler avec lea coordinateur•ice des communications pour mettre à jour le site web avec des informations clés.
Détruire les informations personnelles une fois que l'objectif pour lequel elles ont été recueillies a été atteint, ou les rendre anonymes pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et de la période de conservation stipulées par la loi.
Mettre à jour la politique en fonction des besoins, en plus de veiller à ce qu’elle soit respectée.
Quand la vérification ou la confirmation de l'identité est effectuée par des données biométriques, en informer la Commission.
En cas de brèche dans la confidentialité, la personne responsable de la protection de la vie privée doit :
Enregistrer tous les incidents et prendre rapidement des mesures pour réduire le risque de préjudice.
Informer la Commission et les personnes concernées de tout incident présentant un risque de préjudice grave.
Qu'est-ce qu'une brèche dans la confidentialité ?
Une brèche comprend l'utilisation illégale de données à caractère personnel, des avis de confidentialité inadéquats et la non-divulgation de décisions automatisées ou d’atteintes à la confidentialité.
Les entreprises doivent monitorer les brèches dans la confidentialité et montrer les mesures prises pour réduire le risque que des incidents similaires se reproduisent.
De quelles données privées parle-t-on ?
L'âge, le nom, les numéros d'identification personnelle, les revenus, l'origine ethnique ou le groupe sanguin ;
Les opinions, les évaluations, les commentaires, le statut social ou les mesures disciplinaires ;
Les dossiers des employé•es, les dossiers de crédit, les dossiers de prêt, les dossiers médicaux, l'existence d'un litige entre un•e consommateur•ice et un•e commerçant•e, ou des intentions telles que l'achat de biens ou de services ou la candidature à un nouvel emploi.
Quelles informations les organisations doivent-elles désormais ajouter à leur site web ?
La raison pour laquelle elles recueillent des informations et l'usage qui en sera fait ;
Comment elles recueillent l'information ;
Comment les personnes peuvent-elles accéder aux données ainsi collectées et/ou les modifier ? En vertu de la nouvelle loi, les personnes ont désormais le droit de recevoir une copie numérique de toutes les informations personnelles recueillies auprès d'elles par toute organisation. Décrivez ce processus.
Comment retirer l'autorisation. Si des personnes souhaitent retirer leur autorisation d'utilisation de leurs données, vous devez leur expliquer comment l’organisation supprimera leurs données de ses systèmes.
Que doit contenir votre nouvelle politique publique de protection de la vie privée ?
Objectif et champ d'application. Énoncer clairement l'objectif de la politique, soit : de protéger la vie privée et la confidentialité des données personnelles collectées par l'organisation à but non lucratif.
Qui est la personne responsable de la protection de la vie privée, que fait-elle et comment la contacter ?
Quelles sont les données incluses, pourquoi et comment sont-elles gérées ?
Quand et comment les données personnelles seront-elles détruites ou rendues anonymes?
Décrire la procédure de « droit à l'oubli » qui permet de supprimer les personnes des systèmes de données suivant leur demande.
Expliquer comment l'organisation obtient et gère le consentement pour la collecte et le traitement des données personnelles. Décrire le droit des personnes à retirer leur consentement à tout moment et les conséquences d'un tel retrait.
Comment dépose-t-on une plainte?
Expliquer aux utilisateur•ices comment faire une demande de rapport sur la collecte de leurs données personnelles.
Décrire vos procédures en matière de détection, d'enquête et d’intervention en ce qui concerne les brèches de données. Décrire les mesures à prendre en cas de brèche, y compris la notification aux personnes concernées, aux autorités et à tout organisme de réglementation, comme l'exige la loi.
Expliquer les mesures de sécurité mises en place pour protéger les informations personnelles pendant le stockage, y compris le cryptage, les contrôles d'accès et les mesures de protection contre l'accès ou la divulgation non autorisés.
Divulguer la collecte de toute information sur la biométrie, la localisation et la prise de décision automatisée.
Quels sont les formulaires supplémentaires à remplir ?
Rapport de collecte de données personnelles ;
Formulaire de plainte pour atteinte à la vie privée ;
Rapport de brèche dans la confidentialité (interne) ;
Rapport de suivi des incidents (interne) ;
Rapport d'évaluation de la protection de la vie privée pour l'organisation, y compris les délais pour la gestion des données des utilisateur•ices (interne).
Vue d'ensemble des responsabilités en matière de gestion de la vie privée à l'égard de votre communauté :
1. En des termes simples et clairs, obtenir un consentement distinct et valide pour chaque objectif spécifique.
(Par exemple, les utilisateur•ices s'inscrivent à un bulletin d'information, mais vous souhaitez ajouter leurs coordonnées/statistiques à une enquête ou à un outil d'analyse. L'utilisateur•ice doit être informé•e que ses données personnelles sont utilisées à des fins secondaires).
2. Si elle est écrite, présenter la demande de consentement de manière claire, distincte des autres informations fournies.
(Par exemple, dans un document, la demande de consentement peut être en gras, en italique, dans un encadré, afin qu'elle soit distincte du reste du document).
3. Fournir les informations requises par la loi à la personne dont les informations sont recueillies.
4. Informer une personne lorsqu'elle fait l'objet d'une décision fondée exclusivement sur un traitement automatisé.
(Les personnes doivent être informées au moment de la collecte ou avant le traitement automatisé de leurs données personnelles).
5. Informer une personne avant de recourir à une technologie permettant de l'identifier, de la localiser ou de la profiler, ainsi que les moyens disponibles pour activer ces fonctions.
(C'est-à-dire ; veiller à ce qu'il y ait toujours un texte qui décrive adéquatement l'interaction d'un•e utilisateur•ice avec des technologies d'identification telles que la localisation par GPS, la biométrie, les bases de données organisationnelles, etc.)
6. Publier des informations détaillées sur vos politiques et pratiques sur le site web de votre organisation ou, si vous n’avez pas de site web, rendre ces informations disponibles par tout autre moyen approprié.
(Créer une nouvelle section ou une nouvelle page sur votre site web, avec des informations clés telles que le nom et les coordonnées de la personne responsable de la protection de la vie privée, ainsi que votre politique de confidentialité en langage clair. Ces informations devraient également être diffusées via les médias sociaux et le bulletin de nouvelles).
7. Traiter les demandes et les plaintes des citoyen•nes concernant votre gestion des informations personnelles de manière ponctuelle et professionnelle.
(Par exemple, veiller à ce que votre procédure de plainte et de demande de renseignements soit clairement décrite dans votre politique de protection de la vie privée et que la personne responsable de la protection de la vie privée réponde aux demandes dans un délai de 5 jours ouvrables).
Les informations ci-dessus ont été compilées et éditées par Conseil impact social, comprenant des informations provenant des sources suivantes :
Ressources complémentaires :
Exemple de politique pour la loi 25 (FR)
Gouvernement du Québec : Loi 25 dispositions protégeant la vie privée des québécois (FR)
Canadian Federation of Independent Business: Everything you need to know about Law 25 (ENG)
Commission de l'accès à l'information au Québec. Liste de contrôle : Résumé des obligations des nouvelles entreprises (FR)