
Vous trouverez dans cet article certaines des nouvelles exigences de la Loi 25 qui s'appliquent dès le 22 septembre 2023.
La Loi 25, c'est quoi déjà ?
Il s'agit de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, entrée en vigueur en septembre 2022.
Cette Loi oblige les entreprises québécoises privées et publiques à prendre des mesures pour éviter les fuites de données sensibles, la vente d'informations confidentielles et autres fléaux informatiques.
Pourquoi c'est important
Se conformer à la Loi 25 renforce la réputation de votre organisation et permet d’éviter de sévères sanctions en cas de non-conformité.
Attention ! Cette loi s'applique sur les renseignements des clientes et clients, et aussi des membres du personnel et des fournisseurs.
Exemples de renseignement personnel
Il s’agit d'informations, données ou ensembles de données permettent d’identifier une personne :
- Nom complet
- Numéro d'assurance sociale
- Numéro de permis de conduire
- Numéro de carte d'identité
- Adresse courriel personnelle
- Numéro de téléphone personnel
- Adresse civile
- Date de naissance
- Numéro de carte de crédit
Exemples de données sensibles
D'autres informations sont considérées « sensibles ». Elles peuvent être en lien avec l'état de santé ou encore les finances d'un individu :
- Sexe
- Âge
- Nationalité
- Profession
- Niveau d'éducation
- Code postal
- Religion
- État civil
- Préférences de consommation
- Données de localisation
- Autres informations démographiques ou comportementales
Avez-vous nommé votre RPRP ?
Vous saviez déjà qu’une ou un responsable de la protection des renseignements personnels (RPRP) doit être désigné pour ce dossier important. Cette mesure était demandée en septembre 2022.
Si personne n'a été désigné comme responsable, l'individu ayant le plus haut niveau d'autorité de l'organisme prend ce rôle par défaut (automatiquement) selon la Loi.
Nouveautés en vigueur le 22 septembre 2023
Parmi les mesures qui entrent en vigueur, nous en avons relevé celles-ci qui nous apparaissent fondamentales.
1 — Facteurs relatifs à la vie privée (EFVP)
Lorsque la Loi l’exige, il est nécessaire d’évaluer les facteurs liés à la confidentialité des informations personnelles que vous utilisez. Partagez-vous des données sensibles à l’extérieur de la province par exemple ?
2 — Politique sur la confidentialité et la protection des renseignements personnels
Vous devez créer une politique et la rendre publique sur la façon dont vous utilisez les données sensibles. Celle-ci doit être accessible et facile à comprendre.
3 — Consentement
Renseignez-vous sur les règles portant sur le consentement à la collecte, à la communication ou à l’utilisation des renseignements. Par exemple, vous êtes tenus d'obtenir le consentement explicite de quiconque avant d'enregistrer leurs données personnelles. Les personnes doivent aussi pouvoir révoquer ce consentement.
4 — En cas de bris de confidentialité
Vous devez établir une procédure pour que, lorsque des règles sont enfreintes, vous saurez comment :
- Réduire les dommages éventuels
- Informer la Commission et les individus concernés
- Tenir un registre des incidents
Sauriez-vous identifier ce qui constitue un incident de confidentialité qui doit être déclaré aux autorités et aux personnes concernées ?
Autres considérations
Vous voudrez également vous renseigner sur d'autres mesures, règles et obligations, telles que :
- Destruction et anonymisation des données
- Utilisation des renseignements personnels
- Communication de renseignements personnels sans le consentement de la personne concernée
- Information et transparence envers les citoyens
- Communication des renseignements personnels à l’extérieur du QC
- Collecte des renseignements personnels concernant un mineur
- Communication de renseignements personnels facilitant le processus de deuil
- Droit à la cessation de la diffusion, à la réindexassions ou à la désindexation
Pour une liste exhaustive des règles, consultez le site de la Commission d'accès à l'information du Québec.
Nous avons aussi trouvé fort pertinent ce guide d’Adviso, une firme spécialisée dans la transformation numérique : Loi 25 : cas concrets, impacts légaux et solutions.
Dans le doute, il est toujours avisé de consulter une ou un juriste spécialisé en protection des renseignements personnels, de l'accès à l'information et de la cybersécurité.