Qu’est-ce que la Loi 25?

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels ou de son petit nom, la Loi 25, est entrée en vigueur en septembre 2022 et continuera de se déployer en 2023 et 2024. Cette loi s’applique aux organisations établies au Québec, ainsi que celles qui font affaire avec des personnes qui y vivent ou y mènent leurs activités. L’application de la Loi 25 est d’ailleurs supervisée par la Commission d’accès à l’information du Québec.

Il s’agit d’une réforme de la Loi sur la protection des renseignements personnels dans le secteur privé qui a été mise en œuvre afin de mieux prévenir et gérer les enjeux liés à l’ère numérique dans laquelle nous vivons. Elle impose notamment des obligations de transparence en matière de protection des données qui exigent des organisations qu'elles informent les individus sur la collecte, l'utilisation et la divulgation de leurs renseignements personnels.

Une première série de responsabilités et d’obligations ont été instaurées en septembre dernier. Les prochaines arrivent à grands pas au mois de septembre 2023. Mais concrètement, qu’est-ce que ça implique? Entre autres :

• L’obligation de créer un programme de gouvernance qui détaille les pratiques et les politiques mises en place pour encadrer la collecte et la possession d’informations personnelles (et le partager aux personnes concernées).

• L’obligation de publier une politique de confidentialité, qui indique si votre entreprise recueille des renseignements personnels, écrite dans des termes clairs et simples.

• L’obligation de détruire ou d'anonymiser les renseignements personnels recueillis lorsque la tâche pour laquelle ils avaient été collectés a été accomplie.

En cas d’incidents liés à la confidentialité, la Commission d’accès à l’information du Québec peut donner des amendes pouvant aller jusqu’à 25 millions de dollars ou 4% du chiffre d’affaires mondial de votre entreprise. Il est donc très important de se conformer aux modalités de la Loi d’un point de vue monétaire mais également pour démontrer votre engagement.

Grâce au programme de gouvernance par exemple, vous protégez les personnes dont vous possédez les renseignements personnels et vous démontrez que vous êtes prêts à réagir rapidement si un incident venait à survenir. Les risques qui découlent d’un incident de confidentialité peuvent être importants (tâches à la réputation, amende salée, baisse de rentabilité, etc.), il faut alors s’assurer que toutes les mesures sont mises en place pour les prévenir et les guérir!

Au niveau numérique, il y aura également un ajout de réglementation concernant le Consent Management Platform (CMP) qui traite l’acceptation des témoins de connexion (les cookies). Nous allons voir des changements pour :

• Les demandes de consentement : il y a un renforcement de l’obligation qui demande aux entreprises de faire une demande de consentement isolée rédigé dans un langage clair, simple et de façon à facilement reconnaître qu’il s’agit d’une demande de consentement.

• Les informations sensibles : les données médicales, biométriques ou d’autre ordre privé ne pourront plus être utilisées dans un autre contexte que celui de leur collecte sans consentement.
• La biométrie : la biométrie ne sera plus utilisée pour vérifier l’identité sans le consentement concret de la personne concernée.
• Les mineurs : pour les enfants de moins de 14 ans, la collecte de données sera défendue sans le consentement des parents.

Il peut toutefois avoir exception à la règle en cas de détection ou prévention d’une fraude ou bien s’il faut si les renseignements sont nécessaires pour fournir un produit ou un service à une personne.

Un aide-mémoire (qui nous a été très utile d’ailleurs!) de la Commission d’accès à l’information est disponible et on y retrouve toutes les informations pertinentes sur la Loi 25 et même des pistes d’action qui servent à s’assurer que votre entreprise est conforme à la loi.

Notre partenaire DMP “Eulerian” est conforme à la loi 25 du Québec (en tant que partenaire third-party) qui modernise les dispositions législatives en matière de protection des renseignements personnels dans le secteur privé.