Loi 25 – Nouvelles dispositions protégeant la vie privée des Québécois – (Gestion des renseignements personnels)

Au 22 septembre 2023, les entreprises du secteur privé doivent se soumettre à de nouvelles obligations quant à la gestion des renseignements personnels. La loi 25 est venue renforcer la Loi P-39.1 sur la Protection des renseignements personnels dans le secteur privé, visant ainsi à favoriser la transparence et bonifier la protection des renseignements personnels détenus par les entreprises du secteur privé.

Ces nouvelles obligations visent la collecte, l’utilisation ainsi que la destruction de ces informations. En lien avec ces obligations, certaines politiques et procédures devront être prévues et des registres devront être tenus afin d’assurer un suivi adéquat de ces obligations.

Il existe bon nombre d’informations disponibles sur les réseaux Internet; il serait inutile et fastidieux de reprendre en détail toutes les nouvelles obligations qui sont complexes et élaborées.  Retenons simplement qu’il est impossible d’ignorer ce nouveau cadre et que l’attention des dirigeants d’entreprises doit être orientée de façon à le respecter. À défaut, des amendes importantes sont prévues.  L’objectif du présent Bulletin est de tenter de vulgariser au maximum les principales obligations.  Sachez que seule une analyse complète de votre situation et de vos pratiques peut permettre de s’assurer du respect de la loi et tous ses paramètres.

En simple

1. Désigner un responsable de la protection des renseignements personnels, et publiciser cette information et les coordonnées pour le rejoindre, sur votre site web.
2. Établir une politique de confidentialité et la publiciser, de façon distincte, en termes simples et clairs sur votre site web ou de toute autre façon pertinente. Celle-ci devrait notamment faire mention des éléments suivants :
   1. Collecte – Nature des informations détenues sur la personne
   2. Modalités du consentement – (Doit être fourni de façon explicite – droit de retrait)
   3. Usage – (à quoi va servir les renseignements collectées)
   4. Échange ou transfert – (Dévoiler si l’information sera partagée ou transférée)
   5. Droit d’accès et de rectification des renseignements détenues
3. Sur demande d’une personne concernée par des renseignements personnels détenues, vous devrez fournir les détails supplémentaires suivants :
   1. 1. Destruction – Quand l’information sera détruite (durée de conservation)
      2. Conservation – (qui a accès à ces informations)

Aussi, vous devrez, après une analyse détaillée, établir un registre des renseignements personnels détenues, les endroits de stockage ainsi ceux qui y ont accès et pourquoi.

1. Plaintes
   1. Établir un processus de plainte et les droits d’accès, de correction ou de retrait
   2. Tenir un registre des demandes et de leur traitement

1. 1. Bris de confidentialité
      1. Établir ce qui constitue un bris de confidentialité
      2. Tenir un registre des incidents et de leur traitement

• Établir les balises des incidents « sérieux » nécessitant un avis à la Commission d’accès à l’information

1. Ententes-fournisseurs
   1. Avoir des ententes écrites claires avec vos fournisseurs qui doivent manipuler les informations sensibles

1. Confidentialité des employés
   1. Réviser ou établir des politiques de confidentialité que vos employés doivent respecter

Sites web et « cookies »

Une attention particulière doit être apportée concernant les moyens technologiques récoltant des informations.  A ce niveau, la loi 25 vient renforcer la protection accordée en exigeant que les entreprises définissent par défaut, le plus haut niveau de confidentialité et de protection quand des renseignements personnels sont récoltés.  Que ce soit vos sites web, vos réseaux sociaux, vos formulaires de demande (tickets) ou toute autre mode utilisé, ce haut niveau de confidentialité doit être accordé sans aucune intervention ou choix de la personne qui donne des informations.  Si le niveau de confidentialité ou de protection des données doit être inférieur au plus haut niveau, la personne doit absolument donner son accord et en faire un choix actif.

Aussi, lorsque vos moyens technologiques permettent d’établir un « profilage » (i.e. identification des personnes, localisation de celles-ci, préférences ou autres caractéristiques personnels), la personne doit y consentir expressément en activant cette possibilité.  Donc, il n’est pas possible de profiler un individu en vue de lui offrir un produit ou un service en utilisant ce profil sans son consentement express.

Il est donc d’usage d’obtenir le consentement d’un visiteur web afin d’utiliser les fameux « cookies » (témoins de connexion).

En définitive, les modifications à la « Loi sur la protection des renseignements personnels dans le secteur privé » sont nombreuses et exigeantes. Ce Bulletin ne couvre que les points essentiels qui touchent l’ensemble des entreprises.  D’autres dispositions existent pour des cas particuliers et/ou moins courants.  On ne saurait trop vous recommander de consulter un expert en la matière afin de vous assurer du respect de vos obligations et ainsi éviter les amendes importantes prévues dans le cas d’un non-respect.

La bonne nouvelle?  C’est qu’à l’ère des technologies, qui se perfectionnent de plus en plus, incluant l’émergence de l’intelligence artificielle, on peut espérer que nos renseignements personnels soient mieux protégés!