Assurer la conformité des données à la loi 25

La Loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels, communément appelée Loi 25, apporte d’importantes modifications et modernisations aux lois qui couvrent les renseignements personnels et sensibles. La loi a été sanctionnée par l’Assemblée nationale du Québec en septembre 2021 et ses dispositions entreront en vigueur en septembre 2022, septembre 2023 et septembre 2024. La loi 25 vise à offrir un contrôle plus serré des données personnelles des individus et renforce les obligations des entreprises en matière de gouvernance, de transparence et de conformité.

Toutes les organisations situées dans la province du Québec, qu’elles soient privées ou publiques, sont tenues de respecter les règles énoncées dans la loi 25. Cela s’applique à tous les types d’organisations, des petites startups aux grandes entreprises, et inclut toute organisation qui traite, utilise ou partage les informations personnellement identifiables (PII) de ses parties prenantes. Il est important pour ces organisations de s’assurer du respect de la loi 25 afin d’éviter des conséquences potentielles telles que des pertes financières, une atteinte à leur réputation et des poursuites judiciaires.

La loi 25 couvre toutes les informations personnelles identifiables (PII), y compris les données sensibles, que possèdent les organisations au Québec. Les informations personnelles sont toutes les informations qui peuvent être utilisées pour identifier un individu, comme un nom, une adresse, un numéro de téléphone, une adresse électronique ou un numéro de sécurité sociale. Il peut s’agir de renseignements démographiques, comme l’âge, le sexe, la race ou le niveau de revenu, ainsi que de renseignements financiers, comme les numéros de compte bancaire ou les renseignements relatifs aux cartes de crédit. 

Les informations personnelles sensibles sont un sous-ensemble d’informations personnelles qui sont particulièrement sensibles ou privées, et peuvent être plus vulnérables à une mauvaise utilisation ou à un abus. Les informations personnelles sensibles nécessitent une protection et une attention supplémentaires car elles sont plus étroitement liées à l’identité d’une personne et peuvent être plus difficiles à modifier ou à protéger en cas de violation des données ou d’un autre incident de sécurité.

La loi 25 donnera aux citoyens un plus grand contrôle sur leurs informations personnelles. La mise en œuvre de cette loi nécessitera plusieurs actions au cours des 36 prochains mois.

Septembre 2022

• Désigner un responsable de la protection de la vie privée.
• Créer ou mettre à jour les politiques et pratiques régissant la gouvernance des renseignements personnels.
• Mettre en place un journal des incidents de confidentialité et un processus de notification.
• Disposer d’un inventaire des renseignements personnels de l’organisation.
• Mettre en œuvre un programme de formation sur la protection de la vie privée.

Septembre 2023 

• Mettre à jour les politiques et les pratiques en matière de conservation, de destruction et de dépersonnalisation des informations personnelles.
• Mettre en place une procédure de plainte relative à la protection de la vie privée
• Publier les politiques et procédures régissant la gouvernance des renseignements personnels sur le site Web de l’organisation.
• Introduire une politique et un processus d’évaluation des facteurs relatifs à la vie privée (« PIA »).
• Mettre en place un processus d’obtention du consentement pour collecter, conserver, utiliser ou divulguer des informations personnelles.
• Mettre en place un processus de destruction ou de dépersonnalisation et appliquer le droit à l’oubli tout au long du cycle de vie de ces informations.

Septembre 2024

• Mettre en œuvre des mesures visant à faciliter le droit à la portabilité des données.

Si une organisation ne respecte pas les règles énoncées dans la loi 25, elle risque de subir diverses conséquences négatives, notamment des pertes financières, une atteinte à sa réputation et des actions en justice. La Commission d’accès à l’information du Québec (CAI) a le pouvoir d’imposer des pénalités à toute organisation qui ne se conforme pas à la loi 25. Ces pénalités peuvent prendre la forme de sanctions administratives, qui peuvent atteindre jusqu’à 10 millions de dollars ou 2 % des revenus de l’entreprise, ou de sanctions judiciaires, qui peuvent atteindre jusqu’à 25 millions de dollars ou 4 % des revenus de l’entreprise.