visuel Loi 25
1 septembre 2023

Conformez-vous à la Loi 25

Nos données nous appartiennent. Comment en tirer parti dans l’intérêt commun tout en les protégeant à long terme ?

Mieux comprendre la Loi 25

Nous vivons actuellement une montée en puissance des lois et règlementations encadrant l’usage des données personnelles. La Loi 25*, en vigueur depuis le 22 septembre 2022 au Québec, a des impacts concrets et est assortie de sanctions conséquentes.

À compter du 22 septembre 2023, la Commission d’accès à l’information du Québec (CAI), l’organisme responsable, aura le pouvoir d’imposer des sanctions administratives pécuniaires significatives. À titre d’exemple, les sanctions administratives pourraient atteindre 10 millions $ ou 2 % du chiffre d’affaires mondial de l’organisation.

Sous un angle positif :

  • Un bon nombre d’actions requises peuvent s’intégrer aux tâches que les responsables d’organisations ont à accomplir dans le cadre de leurs activités régulières ;
  • Accomplir ces actions aide également à se prémunir contre les fuites de données, les cyberattaques ou les erreurs humaines qui pourraient avoir des impacts sur nos activités. Y travailler, c’est travailler à diminuer son stress.

 

Quelles sont les organisations visées ?

Qu’il s’agisse de PME, travailleuses ou travailleurs autonomes, ou toute autre forme d’organisation reconnue par la loi au Québec, toutes les entreprises doivent potentiellement se conformer à la nouvelle législation.

Par précaution, toute organisation, qu’elle soit privée ou à but non lucratif, devrait selon nous s’y conformer.

L’article 1525 du Code civil du Québec stipule que :
« Constitue l’exploitation d’une entreprise l’exercice, par une ou plusieurs personnes, d’une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services. »

Les organismes publics et les chercheurs sont visés par des dispositions de la Loi 25 qui leur sont propres.

 

Quels types de renseignements sont visés ?

Les renseignements personnels

« Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier. »

La gestion d’une base de données qui comporte des informations qui ne sont pas des renseignements personnels échappe en principe à l’application de la Loi 25. Il n’en reste pas moins important de mettre en place des mesures pour protéger nos informations. Une fuite de renseignement peut entraîner des conséquences importantes pour la réputation ou le fonctionnement d’une organisation.

 

Quelles sont les principales obligations des organisations ?

  • Mettre en place des politiques et des pratiques de gouvernance

Ceci inclut de définir les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels, de déterminer les règles qui seront applicables à la conservation et à la destruction de ces renseignements et également de mettre en place un processus de traitement des plaintes relatives à la protection des renseignements personnels.

Nous devons également mettre en place un plan de gestion et un registre des incidents de confidentialité. « Par incident de confidentialité, on entend l’accès, l’utilisation ou la communication non autorisés par la loi d’un renseignement personnel, la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement. »

  • Faire preuve de transparence

Nous devons publier dans nos sites Internet, en langage clair, de l’information au sujet de notre politique ainsi que les coordonnées de la personne responsable de la protection des renseignements personnels.

Nous devons également divulguer tout incident menaçant la confidentialité de données personnelles ou une cyberattaque. Toutes les personnes potentiellement touchées par la faille de sécurité doivent donc être avisées, ainsi que la Commission d’accès à l’information, si un risque de préjudice sérieux est lié à l’incident touchant les renseignements personnels.

  • Fournir des renseignements aux personnes concernées

Lors de la cueillette, nous devons en indiquer les fins, les moyens utilisés et le droit des personnes concernées à accéder à leurs renseignements, les rectifier ou retirer leur consentement. Si les renseignements sont partagés avec des tiers (prestataires de service, par exemple), il faut le mentionner ou encore indiquer que ces renseignements seront communiqués à l’extérieur du Québec.

Nous devons également être en mesure de répondre aux questions de la personne concernée par notre collecte. Par exemple, l’informer des renseignements personnels recueillis, des catégories de personnes qui y ont accès, de la durée de conservation de ces renseignements.

  • Assurer le droit à l’oubli

« À compter du 22 septembre 2023, les personnes pourront demander aux entreprises de cesser de diffuser leurs renseignements personnels ou de désindexer tout hyperlien rattaché à leur nom donnant accès à des renseignements si cette diffusion leur cause préjudice ou contrevient à la loi ou à une ordonnance judiciaire (droit à l’effacement ou à l’oubli). »

 

Recommandations pratiques

Créez-vous dès maintenant un dossier « protection des renseignements » afin d’y copier-coller les éléments pertinents au fil de vos actions hebdomadaires.

Profitez des différentes actions de gestion que vous aurez à réaliser au cours des prochains mois pour poser des jalons.

Voici quelques exemples simples à réaliser :

  • Profitez des différentes actions relatives à la gestion de vos équipes. Par exemple, lors de la révision de descriptions de tâches ou d’une embauche, assurez-vous de prévoir des dispositions relatives à l’accès aux bases de données et de communiquer votre politique par écrit.
  • Assurez-vous de répertorier les bases de données comportant des données personnelles lors de la prochaine mise à jour de vos systèmes informatiques. Une refonte prévue de votre site Web ou de vos bulletins d’information est l’occasion de revoir vos pratiques sous l’angle de la Loi 25.
  • Préparer une prochaine campagne de collecte de fonds est aussi une excellente occasion de valider vos pratiques.
  • Assurez-vous de conserver une copie de toutes ces informations dans votre dossier « protection des renseignements ». L’objectif est d’effectuer un audit de votre situation et de vos pratiques et de le documenter pour répondre aux questions suivantes : Quels renseignements, personnels et autres, collectez-vous ? Où sont-ils stockés ? Qui les traite et à quelles fins ? Qui a accès aux bases de données, et dans quelles conditions ? Le cas échéant, à qui les renseignements sont-ils transférés ?

Une fois ces informations colligées, il est beaucoup plus simple d’identifier les actions à mener pour pallier d’éventuelles failles et se conformer à la loi.

 

En conclusion

Cet article constitue un résumé des dispositions mises en place dans le cadre la Loi 25 et intègre des recommandations d’intérêt général. Selon la nature de votre organisation et de vos activités, différentes mesures et lois peuvent s’appliquer. Au besoin et en fonction de votre contexte particulier, nous vous recommandons vivement de consulter une avocate ou un avocat.

 

Quelques références utiles

Commission de l’accès à l’information du Québec
C’est l’organisme responsable. Dans le cadre de sa mission de sensibilisation à la Loi 25, la Commission a mis en place un espace d’information très utile.
https://www.cai.gouv.qc.ca/espace-evolutif-modernisation-lois/

Loi 25
Cette loi est en vigueur depuis septembre 2022 au Québec. Son application est effective, mais progressive.
https://www.canlii.org/fr/qc/legis/loisa/lq-2021-c-25/derniere/lq-2021-c-25.html

Cybereco
Un OBNL qui a pour objectif d’améliorer la cyberrésilience des entreprises et des individus. Il met à notre disposition de nombreuses ressources utiles.
https://cybereco.ca/cybertrousse/

 

*Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Retour aux publications