Vous trouverez dans cet article un aperçu des exigences de la Loi 25 qui s'appliquent dès le 22 septembre 2023.
La Loi 25, c'est quoi déjà ?
Il s'agit de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, adoptée par le gouvernement du Québec en septembre 2021, dont certaines obligations entrent en vigueur en septembre 2023.
Rappelons que cette loi oblige les entreprises québécoises privées et publiques à prendre des mesures pour éviter les fuites de données sensibles, la vente d'informations confidentielles et autres fléaux informatiques.
Pourquoi c'est important
Se conformer à la Loi 25 renforce la réputation de votre organisation et permet d’éviter de sévères sanctions en cas de non-conformité.
Attention ! Cette loi s'applique sur les renseignements des clientes et clients, et aussi des membres du personnel et des fournisseurs.
Exemples de renseignement personnel
Il s’agit d'informations, données ou ensembles de données permettent d’identifier une personne :
- Nom complet
- Numéro d'assurance sociale
- Numéro de permis de conduire
- Numéro de carte d'identité
- Adresse courriel personnelle
- Numéro de téléphone personnel
- Adresse civile
- Date de naissance
- Numéro de carte de crédit
Exemples de données sensibles
D'autres informations sont considérées « sensibles ». Elles peuvent être en lien avec l'état de santé ou encore les finances d'un individu :
- Sexe
- Âge
- Nationalité
- Profession
- Niveau d'éducation
- Code postal
- Religion
- État civil
- Préférences de consommation
- Données de localisation
- Autres informations démographiques ou comportementales
Nouveautés au 22 septembre 2023
Pour vous familiariser avec les mesures qui entrent en vigueur, nous en avons relevé 5 qui nous apparaissent fondamentales.
1 — Responsable de la protection des renseignements personnels (RPRP)
Si personne n'a été désigné comme RPRP, l'individu ayant le plus haut niveau d'autorité de l'entreprise prend ce rôle par défaut (automatiquement) selon la Loi.
2 — Facteurs relatifs à la vie privée (EFVP)
Il est nécessaire d’évaluer les facteurs liés à la confidentialité des informations personnelles que vous utilisez. Par exemple : vous arrive-t-il de partager des données sensibles à l’extérieur de la province ?
3 — Politique sur la confidentialité et la protection des renseignements personnels
Vous devez créer une politique sur la façon dont vous utilisez les données sensibles et la rendre publique. Celle-ci doit être accessible, claire et facile à comprendre.
4 — Consentement
Renseignez-vous sur les règles portant sur le consentement à la collecte, à la communication ou à l’utilisation des renseignements. Vous êtes tenus d'obtenir le consentement explicite de quiconque avant d'enregistrer leurs données personnelles. Les personnes doivent aussi pouvoir révoquer ce consentement.
5 — Plan de contingeance
Sauriez-vous identifier ce qui constitue un incident de confidentialité qui doit être déclaré aux autorités et aux personnes concernées ?
Vous devez établir une procédure pour que, lorsque des règles sont enfreintes, par exemple un bris de confidentialité, vous saurez comment :
- Réduire les dommages éventuels
- Informer la Commission et les individus concernés
- Tenir un registre des incidents
Pour aller plus loin
Retrouvez une liste exhaustive des règles en consultant le site de la Commission d'accès à l'information du Québec.
Nous avons aussi trouvé fort pertinent ce guide d’Adviso, une firme spécialisée dans la transformation numérique : Loi 25 : cas concrets, impacts légaux et solutions.
Dans le doute, il est toujours avisé de consulter une ou un juriste spécialisé en protection des renseignements personnels, de l'accès à l'information et de la cybersécurité.