Loi 25 en vigueur : Les nouvelles obligations pour la protection des renseignements personnels au Québec
Depuis le 22 septembre 2024, les dernières dispositions de la loi 25 sont entrées en vigueur. Faisant suite à notre dernier article sur les premières étapes de mise en conformité, nous vous présentons les nouvelles obligations générales que toute entreprise devrait avoir en place.
Ce texte constitue un résumé des principales nouvelles obligations auxquelles une entreprise doit se conformer, sans prétendre offrir une revue exhaustive des dispositions légales. Pour obtenir plus d’informations, n’hésitez pas à contacter notre équipe.
Politiques et pratiques internes
Votre entreprise doit désormais mettre en œuvre des politiques et pratiques internes claires concernant la gouvernance des renseignements personnels. La loi 25 exige explicitement que ces politiques encadrent les pratiques en matière de conservation et de destruction des renseignements personnels ainsi que les rôles et responsabilités des employés tout au long du cycle de vie des renseignements personnels.
Ces aspects concernent notamment la détermination des délais de conservation appropriés pour chaque type de renseignement, la mise en place d’un calendrier de conservation, ainsi que l’élaboration de procédures de destruction adaptées aux différents supports (papier, numérique, etc.). Chaque département doit avoir des responsabilités précises dans ce processus.
Bien entendu, il est vivement recommandé que vos politiques internes aillent au-delà de ces éléments et incluent les procédures permettant à vos clients d’exercer leurs droits (accès, rectification, etc.), ainsi que des politiques spécifiques pour traiter les incidents de confidentialité, comme abordé ci-dessous.
Politique de confidentialité
Sans doute l’obligation la plus connue, la politique de confidentialité doit être facilement accessible à vos clients, notamment sur votre site Web.
Cette politique constitue une vitrine de vos pratiques internes. Elle permet d’informer vos clients sur la manière dont leurs renseignements personnels sont collectés, utilisés, conservés et communiqués. En outre, elle est un outil essentiel pour obtenir un consentement valide lors de la collecte de renseignements personnels.
Mise à jour des moyens de collecte
Bien qu’il ne s’agisse pas d’une obligation explicite dans la loi, une organisation se doit de réviser ses moyens de collecte de renseignements personnels. Avec l’introduction des nouveaux principes encadrant le consentement, chaque organisation doit revoir les énoncés de consentement présents dans ses différents moyens de collecte, ainsi que la manière dont ce consentement est obtenu.
Qu’il s’agisse d’un consentement exprès ou implicite, une organisation doit réévaluer chaque situation de collecte afin de garantir sa conformité.
Registre des incidents de confidentialité
Désormais, toute organisation doit mettre en place un registre des incidents de confidentialité. Le règlement sur les incidents de confidentialité traite notamment du contenu de ce registre.
Bien que la mise en place de ce registre puisse sembler simple, il est également essentiel de savoir identifier un incident et d’évaluer le préjudice potentiel qui pourrait en résulter. Selon cette évaluation, il peut être nécessaire de notifier les personnes concernées ainsi que la Commission d’accès à l’information.
Évaluation des facteurs relatifs à la vie privée
S’ajoutent à ces obligations les évaluations des facteurs relatifs à la vie privée (EFVP). En résumé, ces évaluations ont pour objectif de déterminer l’impact potentiel de l’utilisation de renseignements personnels sur la vie privée de la personne concernée, en pesant les risques et les avantages.
Trois situations nécessitent la réalisation de telles évaluations :
- La communication de renseignements personnels à l’extérieur du Québec.
- L’acquisition, le développement ou la refonte d’un système d’information ou de prestation de services électroniques impliquant des renseignements personnels.
- La communication de renseignements personnels, sans le consentement des personnes concernées, dans le cadre d’une entente pour des fins d’étude, de recherche ou de production de statistiques.
Dans la grande majorité des cas, les entreprises sont concernées par la communication de renseignements personnels à l’extérieur du Québec, notamment lorsque les données sont hébergées sur des serveurs situés hors de la province.
Étant donné que les deux autres situations ne touchent pas directement toutes les organisations, il est recommandé d’inclure une mention dans votre politique de gestion des renseignements personnels pour identifier les cas nécessitant une EFVP. Cela vous permettra d’identifier ces situations spécifiques et, si nécessaire, de procéder à l’évaluation appropriée, sans avoir à mettre en place immédiatement un protocole d’EFVP.
Les droits des personnes concernées:
Les personnes qui fournissent leurs renseignements personnels aux entreprises disposent de plusieurs droits. Parmi eux, deux nouveaux droits importants ont été introduits : le droit à la désindexation et le droit à la portabilité.
Le droit à la portabilité permet à une personne d’obtenir certains renseignements personnels dans un format technologique structuré et couramment utilisé. Pour plus de détails à ce sujet, vous pouvez consulter notre article de février dernier.
Le droit à la désindexation, quant à lui, permet à une personne de demander à une organisation de cesser de diffuser ses renseignements personnels. Ce droit est particulièrement pertinent dans le contexte des réseaux sociaux et des moteurs de recherche.
Nomination d’une personne chargée de la protection des renseignements personnels.
En terminant, une entreprise doit désigner une personne responsable de la protection des renseignements personnels. À défaut de le faire, la loi attribue automatiquement ces fonctions à la personne ayant la plus haute autorité au sein de l’organisation.
Il est important de déléguer ces responsabilités par écrit, de créer une adresse courriel dédiée à la protection des renseignements personnels, et de publier les coordonnées de cette personne sur votre site Web, idéalement à la fin de votre politique de confidentialité.
Pour plus d’informations ou pour un accompagnement dans votre mise en conformité, n’hésitez pas à contacter notre équipe.