Mise en place en septembre 2021, la Loi 25 a été établie pour protéger les renseignements de nature confidentielle des personnes physiques et permet une meilleure gestion des renseignements personnels pour les entreprises. Tout renseignement qui concerne une personne et la conservation de ses renseignements personnels ont été modifiés au niveau de la législation lors de l’entrée en vigueur de la loi 25 en 2021. Pour mieux comprendre la protection des données personnelles, la gestion des renseignements personnels sensibles, les impacts pour les organismes du secteur privé, les dispositions de la loi modernisant les renseignements personnels collectés, les nouveaux défis à votre entreprise, les teneurs généraux de l’application de la Loi 25 et bien plus encore, c’est ici-bas que ça se passe. Suivez-nous dans ce décorticage légal!
Un court historique des lois sur la protection des renseignements personnels
Au Canada, la première loi se rapportant à la gestion de l’information et de la protection des personnes date de 1983. Créée initialement comme politique de confidentialité à l’usage des organisations fédérales, il a fallu attendre 2001 pour l’élargissement à de nouvelles dispositions. Le règlement général sur la protection de la vie privée est de juridiction fédérale, mais certaines provinces se sont dotées de leurs propres mesures relatives à la vie privée, comme le Québec avec le projet de loi 64, servant à la modernisation en matière de gouvernance des renseignements personnels, et sa version retravaillée ultérieurement. En effet, la loi québécoise actuelle, mieux connue sous l’article 25, concerne une personne physique et prévoit une protection accrue des renseignements concernant les éléments d’identification et le bon traitement des renseignements pour réduire les incidents de confidentialité.
Mieux comprendre la Loi 25
La loi régie le caractère confidentiel des renseignements personnels et l’accès à l’information du Québec (par rapport à la loi canadienne). Cette mesure encadrant la gouvernance des renseignements a été renouvelée pour prendre en compte les réalités technologiques actuelles. Les entreprises, les organismes publics, les chercheurs et les citoyens y sont soumis. Les renseignements qu’une personne peut être amenée à donner et qui sont considérés comme étant personnels sont ceux liés à la race, la nationalité, l’origine ethnique, la religion, l’âge, l’état civil, les informations concernant votre état de santé/de scolarité ou d’employabilité, les transactions financières, l’ADN, les numéros d’identification donnés par le gouvernement du Québec ou du Canada (permis de conduire ou numéro d’assurance sociale) ainsi que les visions et opinions individuelles d’un salarié. L’utilisation des renseignement personnels afin d’être identifié par ces instances peut être pratique, mais il faut être prudent dans la manière de les divulguer. Certaines clauses prévoient également la manière dont la communication faite des renseignements doit être effectuée. « La nouvelle loi 25 » cadre également les renseignements personnels détenus et l’utilisation des renseignements personnels.
Les étapes chronologiques de la Loi 25
Modernisée à maintes reprises, la loi a été sectionnée en étapes pour la mise en place des éléments législatifs en matière de protection des renseignements des particuliers. Trois dates charnières sont prévues pour que la loi modernisant des dispositions législatives soit bel et bien complète. Chacune de celle-ci met en lumière les responsabilités incombant à chacun en lien avec la protection individuelle, l’accès aux documents des organismes, les nouvelles dispositions de la loi, l’utilisation de renseignements personnels et davantage.
22 septembre 2022
Bien que votée un an avant, la Loi 25 au Québec est entrée en vigueur le 22 septembre 2022. Cette première date butoir statuait principalement sur les obligations liées à la responsabilité individuelle de protection, la formation d’un comité sur l’accès à l’information ainsi que sa gestion, l’obligation d’aviser en cas d’atteinte à la protection d’une personne, la communication des renseignements personnels sans le consentement et les données biométriques.
22 septembre 2023
En vertu de la loi, la majeure partie des encadrements prévus entrent en vigueur en septembre 2023. On parle de politiques et des pratiques encadrant la gouvernance, de transparence, de publication de politique de confidentialité, d’information pour traitement exclusivement automatisé, d’information d’utilisation de technologie d’identification, de localisation ou de profilage, d’anonymisation des renseignements personnels, d’intégration des partis politiques provinciaux à la loi, d’évaluation des facteurs relatifs à la vie privée, du consentement, du droit à l’effacement, de la communication des renseignements personnels à l’extérieur de la province, de la communication des renseignements personnels pour accélérer le processus de deuil, du recueillement des renseignements pour personnes mineures, de la mise en place de paramètres technologiques assurant le plus haut niveau de confidentialité et de la possibilité d’imposition de sanctions.
22 septembre 2024
La dernière étape concerne la portabilité, c’est-à-dire l’obligation de donner accès aux renseignements recueillis aux personnes ayant fournis leurs informations personnelles.
Les impacts pour les personnes légales
Les dispositions législatives en matière de renseignements personnels touchent directement les personnes légales qui doivent s’assurer d’adopter des comportements sécuritaires pour protéger leurs renseignements auprès d’organisations variées (légales, gouvernementales, entrepreneuriales, etc.) lorsqu’elles doivent les fournir. En plus de ces obligations prévues par la loi, les personnes civiles ont également des mesures de sécurité supplémentaires assurées par les éléments en vigueur de la loi 25. Elles ont des recours lorsqu’il y a atteinte à la protection d’un élément personnel les concernant et l’obligation de rapporter au registre des incidents de confidentialité toute atteinte. En tant que personne légale, nous sommes tous responsables de la protection de nos informations qui nous est si chère.
Les impacts pour les entrepreneurs
Qu’en est-il pour les entrepreneurs? La loi 25 pose-t-elle des défis supplémentaires à ces derniers? Dans le monde actuel, cela est certainement le cas. Il faut notamment savoir disposer des renseignements de manière sécuritaire, se prémunir contre les attaques de cybersécurité, être attentif à toute fuite, rapporter tout autre atteinte à la protection, savoir communiquer des renseignements personnels sans consentement seulement lorsque cela est vraiment nécessaire, respecter la commission d’accès à l’information, assurer votre transparence et informer vos utilisateurs du type de technologie employée (identification, géolocalisation, statistiques, etc). Certaines dispositions de la loi 25 peuvent certainement vous être plus lourdes que d’autres, mais c’est de votre crédibilité qu’il en retourne d’autant plus que les poursuites sont possibles. Vous devez les protéger pour vous protéger, aussi simple que ça!
Courte conclusion
Comme le dit le proverbe, nul n’est tenu d’ignorer la loi, surtout quand il s’agit de sa propre protection. Il est aussi primordial de connaître ses droits et de se protéger le mieux possible. Le cadre érigé par la loi distingue aussi clairement et positivement les entrepreneurs qui savent respecter et protéger leurs utilisateurs contre des incidents de confidentialité impliquant des fuites de leur site des autres commerçants qui ne protègent pas de tels renseignements adéquatement. Communiquer des renseignements personnels, d’une part et d’autre, doit se faire de manière à se conformer à la loi 25 afin d’assurer une saine gestion des facteurs relatifs à la vie personnelle. Le respect et la protection vont certainement de pair, et ce, dans votre intérêt personnel et/ou commercial.