Loi 25: Quelles sont les exigences et comment s’y conformer?

Les exigences de la loi 25

Votre entreprise doit protéger les renseignements personnels des citoyens. La Loi sur le privé l’y oblige. Depuis septembre 2022, de nouvelles obligations adaptées à la réalité technologique d’aujourd’hui rehaussent d’ailleurs cette protection.

La Loi s’applique aux renseignements personnels que votre entreprise :

• Recueille;
• Détient;
• Utilise;
• Communique à des tiers.

La Loi s’applique aux renseignements personnels, que leur conservation soit assurée par l’entreprise ou par un tiers. Elle vise à protéger tous les renseignements personnels, que la nature de leur support ou de leur forme soit :

• Écrite;
• Graphique;
• Sonore;
• Visuelle;
• Informatisée;

Pour que la Loi sur le privé s’applique, il n’est pas nécessaire que les renseignements personnels soient constitués ou conservés dans un « dossier » identifié au nom d’un individu. Les obligations des entreprises s’articulent autour de la finalité de la collecte

Un Renseignement Personnel c’est quoi?

C’est un renseignement qui permet d’identifier une personne physique, directement ou indirectement.

Les renseignements personnels sont confidentiels. Leur confidentialité découle du droit à la vie privée, permettant à toute personne d’exercer un contrôle sur l’utilisation et la circulation de ses renseignements.

Les renseignements personnels concernant une personne sont :

• Le nom
• Le titre
• La fonction
• Le courriel, l’adresse et numéro de téléphone de son lieu de travail;

Renseignements publics

Certains renseignements permettant d’identifier directement des personnes sont publics.

Sachez que les renseignements concernant l’exercice d’une fonction d’une personne au sein d’une entreprise ou d’un organisme public comme :

• Le nom
• Le titre
• La fonction
• Le courriel, l’adresse et numéro de téléphone de son lieu de travail;

sont publics et ne sont pas soumis aux lois protégeant les renseignements personnels. Sachez également que, dans les organismes publics et ministères, sont publics l’adresse courriel :

• Des membres du conseil d’administration
• Du personnel de direction
• Du sous-ministre et de ses adjoints
• Du personnel d’encadrement
• Des membres du personnel

Les étapes pour se conformer à la loi 25

D’ici le 22 septembre 2022

1. Si vous êtes la plus haute autorité de l’entreprise et que vous ne souhaitez pas exercer la fonction de responsable de la protection des renseignements personnels, désignez une personne pouvant assumer efficacement ce rôle. Par exemple, celle-ci devrait avoir les compétences requises et un pouvoir décisionnel important;

2. Appuyez la personne responsable de la protection des renseignements personnels avec les ressources nécessaires (humaines, techniques et financières) pour assurer la réussite de votre mise en conformité;

3. Faites l’inventaire des renseignements personnels détenus par votre entreprise (ou pour son compte par un tiers) et évaluez leur sensibilité;

4. Mettez en place des mesures pour prévenir ou limiter les conséquences d’un incident de confidentialité impliquant un renseignement personnel;

5. Instaurez des pratiques qui vous permettront de réagir adéquatement et rapidement en cas d’incident de confidentialité impliquant un renseignement personnel (ex. : plan de réponse aux incidents et directive au personnel);

6. Si vous prévoyez utiliser une technique biométrique (ex. : empreinte digitale, reconnaissance faciale ou vocale), informez-vous au préalable de vos obligations en la matière.

D’ici le 22 septembre 2023

Pour établir et mettre en œuvre vos politiques de gouvernance en matière de protection des renseignements personnels, vous aurez besoin notamment de :

1. Faire l’inventaire des renseignements personnels détenus par votre entreprise (ou pour son compte par un tiers) et évaluer leur sensibilité;

2. L’inventaire des renseignements personnels étant évolutif, il importe de le tenir à jour pour rendre compte des changements susceptibles d’être survenus au sein de votre entreprise (ex. : nouvelle collecte de renseignements personnels pour un projet) et de vous assurer de planifier adéquatement vos actions et de respecter toutes vos obligations;

3. Préciser les rôles et responsabilités des membres du personnel impliqués dans la protection des renseignements personnels tout au long de leur cycle de vie.

Pour respecter les nouveaux droits des citoyens et vos nouvelles obligations de transparence à leur égard, vous devrez mettre en place les mécanismes (ex. : directive, processus, formulaire ou solution technologique adaptés) qui vous permettront notamment :

1. D’obtenir un consentement valide distinct pour chaque fin spécifique en termes simples et clairs;

2. De présenter distinctement la demande de consentement des autres informations fournies si elle est écrite;

3. De fournir les informations prévues par la loi à la personne dont les renseignements sont collectés;

4. D’informer une personne lorsqu’elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé;

5. D’informer une personne avant de recourir à une technologie permettant de l’identifier, de la localiser ou d’effectuer son profilage et des moyens offerts pour activer ces fonctions;

6. De publier de l’information détaillée sur vos politiques et vos pratiques sur le site Internet de l’entreprise ou, si elle n’a pas de site, de rendre cette information accessible par tout autre moyen approprié;

7. De publier une politique de confidentialité rédigée en termes simples et clairs sur le site Internet de votre entreprise et la diffuser par tout moyen propre à atteindre les personnes concernées si vous collectez des renseignements personnels à l’aide d’un moyen technologique tel qu’un site Web;

8. De traiter les demandes et les plaintes des citoyens concernant votre gestion des renseignements personnels.

D’ici le 22 septembre 2024

Informez l’équipe responsable de l’entretien, de la mise à jour ou du développement de vos systèmes informatiques que vous avez de nouveaux besoins d’affaires en lien avec le droit à la portabilité des renseignements personnels, à savoir :

1. que vos systèmes permettent de communiquer, sur demande d’une personne concernée, un renseignement personnel informatisé recueilli auprès d’elle, et ce, dans un format technologique structuré et couramment utilisé;

2. que cette communication puisse également se faire à une personne ou à un organisme autorisé par la Loi à recueillir le renseignement, à la demande de la personne concernée.

Assurez-vous de former votre personnel pour qu’il développe les bons réflexes en matière de protection des renseignements personnels.

Comment la technologie peut aider les entreprises à se conformer?

Bien que l’ensemble de la loi 25 n’exige aucune technologie en particulier, certaines solutions technologiques peuvent grandement faciliter le processus de conformité pour les entreprises québécoises.

• Mettre en place un système de gestion et de classification des données est un avantage majeur en termes d’efficacité pour répondre aux exigences de la loi liées à l’évaluation des facteurs relatifs à la vie privée (ÉFVP), soit un inventaire maintenu à jour des informations personnelles détenues par l’entreprise;
• Mettre en place un portail regroupant l’ensemble de vos politiques et procédures ainsi que les formulaires de consentement, de demande de destruction et de plainte afin de faciliter l’accès aux personnes;
• Intégrer un système de gestion du consentement CMP pour répondre aux exigences de la loi concernant les services offerts au public par le biais des services Web.

La loi 25 encourage les meilleures pratiques en matière de sécurité de l’information. Les entreprises peuvent saisir ce moment pour revoir les mesures en place et profiter du processus de conformité pour évaluer leur position en matière de cybersécurité soit :

• Maximiser les outils technologiques en place avant tout afin de profiter de leur plein potentiel;
• Procéder à une analyse de risque sur vos infrastructures informatiques et infonuagiques;
• Évaluer la structure et les processus de la gestion des identités et des permissions;

Intégrer des méthodes de détection et de contrôle afin d’identifier des anomalies liées aux renseignements personnels ou autres données sensibles de l’entreprise.