(Deuxième partie) : Comprendre la Loi 25 : les récentes modifications en vigueur depuis le 22 septembre 2023

Si vous n’avez pas encore rejoint notre équipe, prenez quelques instants pour parcourir la section initiale de notre série consacrée à la Loi 25, également connue sous le nom de « Projet de loi 64 ». Dans cette première partie, nous avons fourni une présentation détaillée des modifications apportées à la loi sur la protection de la vie privée qui sont entrées en vigueur le 22 septembre 2022. Ces informations constituent le fondement de notre discussion d’aujourd’hui et vous permettront de comprendre les changements apportés à la protection des données personnelles au Québec.

Aujourd’hui, nous allons parler de ce qui s’est passé le 22 septembre 2023. Nous allons aborder directement la seconde vague de modifications. Donc, avant de lire cette partie, assurez-vous d’avoir lu la première !

Politiques et pratiques de gouvernance

Conformément à la Loi 25, les entreprises doivent mettre en place et appliquer des politiques et des pratiques de gouvernance pour protéger les renseignements personnels. Ces politiques doivent offrir un cadre solide pour la gestion de l’information et définir les rôles et responsabilités tout au long du cycle de vie des données. De plus, elles devraient inclure une procédure simplifiée pour traiter les réclamations concernant la protection des données.

Mais ce n’est pas tout : la loi exige que ces politiques respectent la nature et l’étendue de l’entreprise. De plus, elles doivent recevoir l’approbation du responsable de la protection des renseignements personnels. Pour favoriser une plus grande transparence, ces politiques doivent ensuite figurer sur le site Web de l’organisation. En cas d’absence de site web, l’organisation doit mettre ces politiques à disposition par d’autres moyens facilement accessibles.

Comment votre entreprises peut-elle se préparer?

• Revoyez et modifiez vos politiques et vos pratiques actuelles de gouvernance pour mieux protéger les données.

• Mettez à jour ou rédigez de nouvelles politiques et procédures qui définissent clairement les rôles et responsabilités de l’organisation pour chacune des étapes du cycle de vie des informations personnelles ( de la collecte à la destruction ).

• Créez un programme de formation destiné au personnel qui a accès aux informations personnelles.

• Assurez-vous qu’on a approuvé les politiques par le responsable de la protection des informations personnelles.

• Publiez ces politiques sur le site web de votre entreprise.

  
  

L'évaluation des facteurs relatifs à la vie privée

La Loi 25 exige que les parties effectuent une évaluation des facteurs relatifs à la vie privée pour tout projet qui concerne l’achat, la création ou la refonte de systèmes informatiques ou de systèmes de services électroniques. Cette évaluation doit être réalisée en collaboration avec le responsable de la protection des données personnelles dès le début du projet.

Plus l’information contient de données confidentielles, plus l’évaluation des facteurs liés à la protection de la vie privée doit être approfondie. La façon dont on traitera les informations, la quantité de données, comment elles seront partagées et où elles seront gardées, tout compte pour déterminer l’ampleur de l’évaluation des facteurs relatifs à la vie privée. Cette dernière doit impérativement s’adapter aux exigences spécifiques de chaque situation.

Le responsable de la protection des renseignements personnels joue un rôle important tout au long du projet, que ce soit pendant les étapes de collecte, d’utilisation, de partage, de conservation ou de destruction des informations. À tout moment durant le projet, cette personne peut proposer des mesures visant à mieux protéger les informations. Elle pourrait proposer de nommer une personne pour assurer une protection optimale des informations personnelles ou de mettre en place des mesures pour sécuriser ces informations dans tous les documents du projet. De plus, elle peut contribuer à clarifier les actions attendues de chaque membre de l’équipe pour assurer la confidentialité des données personnelles, ainsi qu’à organiser des sessions de formation nécessaires pour apprendre aux membres comment bien les protéger. En agissant préventivement, on peut s’assurer que les informations personnelles sont correctement protégées et qu’elles respectent les règles tout au long du projet.

En mars 2021, la Commission d’accès à l’information ( la « CAI » ) a publié un guide pour faciliter les évaluations des facteurs en lien avec la vie privée. Ce guide précise que divers types de projets peuvent nécessiter la collecte, l’utilisation ou le partage de renseignements personnels. Dans ces situations, on doit effectuer une évaluation des facteurs relatifs à la vie privée. Voici quelques exemples de projets qui pourraient en nécessiter une :

1. Développer un nouveau système informatique ou une manière de personnaliser un produit ou un service.

2. Découvrir de nouveaux segments de clientèle ou s’aventurer sur de nouveaux marchés.

3. Mettre en place un logiciel ( algorithme ) ou un système d’intelligence artificielle.

4. Installer des caméras de surveillance.

5. Comparer différentes versions de bases de données ou de fichiers.

6. Acquérir d’autres entreprises ou les fusionner.

7. Employer des méthodes telles que les empreintes digitales, la géolocalisation, la reconnaissance faciale, la reconnaissance connectée, les objets connectés, les capteurs de villes intelligentes, etc.

Comment votre entreprises peut-elle se préparer?

• Créer une méthode claire pour effectuer l’évaluation des facteurs liés à la protection des renseignements personnels.

• Former le personnel sur la façon d’effectuer correctement cette évaluation.

• Préparer un modèle que vous pourrez réutiliser dans tous vos projets.

  
  

La collecte de renseignements personnels

La transparence revêt une grande importance lors de la collecte de renseignements personnels. La loi 25 exige que les personnes soient informées des raisons, des méthodes et des objectifs de la collecte de leurs données. Elles doivent comprendre leurs droits d’accès, de rectification et de rétractation de leur consentement.

De plus, si on utilise la technologie pour identifier, localiser ou créer un profil de personnes, celles-ci doivent en être informées. Elles doivent également connaître les moyens d’activer ou de désactiver ces fonctions. Lorsqu’on utilise la technologie pour collecter des données, la politique de confidentialité doit figurer facilement sur le site Web de l’entreprise, et celle-ci doit la mettre à jour au besoin.

Comment votre entreprises peut-elle se préparer?

• Préparez un inventaire des technologies utilisées pour identifier, localiser ou faire le profil des personnes.

• Élaborez une politique claire pour informer les personnes de l’utilisation de ces technologies lors de la collecte de données, et expliquez comment activer ou désactiver leurs fonctions.

• Publiez votre politique de confidentialité sur le site Web de votre organisation.

Le consentement valide

La collecte de données dépend du consentement, et la Loi 25 souligne l’importance de sa clarté, de sa liberté et de sa spécificité. Il est crucial de demander le consentement séparément pour chaque objectif, en employant un langage simple et compréhensible. En ce qui concerne les mineurs, c’est-à-dire les jeunes de moins de 18 ans, la personne ayant l’autorité parentale doit donner son consentement si la personne concernée a moins de 14 ans. Les jeunes de 14 ans et plus ont la capacité de donner leur propre consentement.

Cependant, vous ne devez pas oublier que le consentement demeure valide seulement pendant le temps nécessaire à la réalisation des objectifs pour lesquels on l’a obtenu. En outre, tout accord obtenu illégalement perd sa validité.

Les lignes directrices proposées par la CAI indiquent que le consentement doit contenir certains éléments pour être valide, soit qu’il soit manifeste, libre, éclairé, spécifique, granulaire, compréhensible, temporaire et distinct. Nous allons maintenant examiner chaque point individuellement.

1. Manifeste : Cela signifie qu’une personne exprime son consentement de manière explicite, en montrant ainsi sa détermination. La plupart du temps, cela se traduit par une réponse verbale affirmative nette et sans équivoque.

2. Libre : la personne ne doit pas se sentir forcée de répondre par l’affirmative, ni craindre les conséquences d’un refus. C’est un véritable choix, fait sans aucune contrainte.

3. Éclairé : la personne doit comprendre ce à quoi elle consent. Elle doit avoir accès à tous les détails pertinents lui permettant de faire un choix éclairé, conscient des répercussions potentielles.

4. Spécifique : la personne doit comprendre pourquoi on attend son consentement et quelle action on attend d’elle pour pouvoir dire oui. Une demande de consentement trop générale, couvrant tous les aspects, serait inappropriée.

5. Granulaire : Si on veut utiliser les renseignements à plusieurs fins, il faut obtenir le consentement séparément pour chaque fin. On ne peut pas demander une seule grande « autorisation » pour tout.

6. Compréhensible : La réponse doit être simple, claire et facile à comprendre. La personne peut répondre par oui ou par non, mais la demande doit être formulée avec des mots courants.

7. Distincte : Lorsqu’un consentement écrit est exigé, il doit être clairement distingué des autres informations. Il devrait être présenté dans une section ou une fenêtre séparée, ce qui permettra à la personne de le repérer facilement et d’y apposer sa signature.

8. Temporaire : le consentement cesse d’être valide une fois que l’action visée par la demande est terminée.

   
   

Comment votre entreprises peut-elle se préparer?

• Examinez et révisez vos politiques de confidentialité, en particulier celles qui concernent les mineurs de moins de 14 ans.

• Mettez en place des formulaires de consentement pour recueillir le consentement des personnes concernées.

• Créez une méthode pour obtenir le consentement et pour aider les gens à comprendre clairement la portée de la permission demandée.

• Établissez une liste ( un inventaire ) de tous les renseignements personnels que vous collectez.

La communication sans consentement

Dans certaines situations, on peut partager des renseignements personnels sans obtenir le consentement des personnes concernées. C’est permis si c’est nécessaire pour accomplir une tâche qui vous a été confiée, exécuter un contrat d’entreprise, ou offrir des services à l’entreprise. Toute transaction de partage d’informations doit être consignée par écrit. Celle-ci doit expliquer quelles mesures de protection ont été prises pour protéger la confidentialité de ces informations. Plus précisément, elle doit décrire comment la partie à qui on transmet les informations doit les protéger. Elle doit également s’assurer que la partie bénéficiaire des informations ne peut les utiliser que dans le cadre du mandat en cours ou du contrat. En outre, elle doit confirmer que ces informations ne seront plus nécessaires après la fin de l’entente. Toute violation ou tentative de violation doit être immédiatement rapportée au ou à la responsable de la sécurité des données.

Comment votre entreprises peut-elle se préparer?

• Passez en revue et modifiez vos ententes actuelles afin de vous assurer que vous respectez bien toutes les règles de la Loi.

La confidentialité par défaut

Pour les entreprises qui offrent des produits ou des services technologiques qui recueillent des renseignements personnels, une nouvelle règle importante est entrée en vigueur. Les paramètres doivent être réglés pour que la confidentialité soit au plus haut niveau par défaut. C’est-à-dire que la personne n’a pas besoin de faire quelque chose pour bénéficier d’une bonne protection ; la protection fonctionne automatiquement. Cependant, cette règle ne s’applique pas aux paramètres de confidentialité des témoins de navigation ( « cookies » ) de votre navigateur.

Comment votre entreprises peut-elle se préparer?

• Mettez en place les changements nécessaires afin que les paramètres par défaut des produits et services assurent un haut niveau de confidentialité.

Les prises de décision automatisées

Une entreprise doit informer les personnes concernées si elle utilise des données personnelles pour prendre des décisions automatisées ( c’est-à-dire des décisions prises par un ordinateur ou un programme sans intervention humaine directe ). Elle doit également fournir des détails sur le processus décisionnel.

Lorsqu’on lui demande, l’entreprise doit divulguer les détails des informations personnelles qui ont été utilisées pour prendre une décision. Elle doit expliquer les raisons, les éléments clés et les critères qui ont été pris en compte pour cette décision. En outre, la personne concernée peut demander que ses informations personnelles soient modifiées. Elle a également le droit de donner son avis et de demander des rectifications.

Comment votre entreprises peut-elle se préparer?

• Assurez-vous que votre personnel comprenne les raisons sous-jacentes aux décisions automatisées et soit en mesure de les expliquer. Il devrait également connaître les facteurs principaux et les critères utilisés.

• Créez un processus pour traiter les demandes de rectification des données personnelles utilisées dans ces décisions automatiques.

Transfert de données en dehors du Québec

Avant de pouvoir partager des renseignements personnels à l’extérieur du Québec, on doit maintenant obligatoirement évaluer les facteurs relatifs à la vie privée. Pour réaliser cette évaluation, il faut considérer plusieurs éléments. On doit tenir compte de différents éléments : la sensibilité de l’information, sa future utilisation, les mesures de protection mises en place, y compris celles qui figurent dans les contrats, ainsi que des règles relatives à la confidentialité dans le lieu de destination. On peut partager l’information seulement si on est certain qu’elle recevra une protection aussi bonne qu’au Québec. Cela signifie qu’elles doivent se conformer aux principes fondamentaux de la protection des renseignements personnels reconnus par tout le monde. Enfin, le partage de ces informations doit se faire dans le cadre d’une entente écrite. Celle-ci doit tenir compte du résultat de l’évaluation des facteurs relatifs à la vie privée, et inclure les mesures décidées pour réduire les risques identifiés.

Comment votre entreprises peut-elle se préparer?

• Tracez le chemin de vos données pour savoir où les informations personnelles seront stockées.

• Mettez en place des mesures pour réduire les risques liés à la protection des données personnelles.

• Mettez à jour vos modèles de contrats pour y inclure les résultats de l’évaluation des facteurs liés à la vie privée.

Destruction ou anonymisation des informations personnelles

Une fois que le traitement des données personnelles est terminé, on doit les détruire ou les rendre anonymes. Par contre, on peut seulement envisager de rendre l’information anonyme pour une raison sérieuse et légitime. En effet, rendre l’information anonyme signifie qu’on ne peut plus relier une personne à des informations précises, que ce soit directement ou indirectement. Cette procédure doit être effectuée en suivant les meilleures pratiques reconnues et en respectant des règles précises qui seront établies par un règlement.

Comment votre entreprises peut-elle se préparer?

• Créez un répertoire détaillé des données personnelles que vous possédez.

• Déterminez des délais de conservation pour ces données, c’est-à-dire la période pendant laquelle vous avez le droit de les conserver.

• Établissez une procédure ( une méthode ) pour la suppression définitive de ces données.

• Pour les données que vous pouvez anonymiser, mettez en place des procédures de dépersonnalisation pour vous assurer qu’elles ne peuvent plus être reliées à une personne.

Le droit à l'oubli

Tout individu peut exiger qu’on cesse de divulguer ses données personnelles ou qu’on supprime les hyperliens permettant d’y accéder via des technologies. On peut recevoir ces demandes si la diffusion de ces informations va à l’encontre de la loi ou d’une décision judiciaire.

Quand elle remplit certaines conditions, une personne peut demander que son nom soit retiré d’un moteur de recherche. Par exemple, si la diffusion de l’information entraîne un préjudice considérable à sa réputation ou à sa vie privée, si ce préjudice est manifestement plus grand que l’intérêt du public à connaître cette information, ou que l’intérêt d’une autre personne à s’exprimer librement ; et si la demande d’arrêter la diffusion ou de modifier l’indexation du lien contient les mesures nécessaires pour éviter que le préjudice se poursuive.

Pour évaluer ces critères, nous prenons en compte plusieurs facteurs : la nature publique ou privée de la personne concernée, l’âge du sujet, la fiabilité et la pertinence des informations, la confidentialité de celles-ci, le contexte de leur diffusion, le délai entre leur diffusion et la demande, ainsi que leur lien éventuel avec une procédure judiciaire, un pardon ou une restriction d’accès aux dossiers judiciaires.

Ces demandes sont évaluées en tenant compte de plusieurs facteurs, tels que le préjudice causé à la réputation ou à la vie privée de l’individu et le contexte de la diffusion de l’information.

Comment votre entreprises peut-elle se préparer?

• Mettez en place un processus pour arrêter la diffusion d’informations ou pour retirer des hyperliens.

• Créez une liste de contrôle des critères à vérifier lorsqu’une personne demande le droit à l’oubli.

• Veillez à ce que votre organisation soit en mesure de vérifier l’identité de la personne qui fait la demande.

• Créez un système qui permettra à votre entreprise de prouver que l’information n’est plus disponible, qu’elle a été retirée des résultats de recherche ou qu’elle est de nouveau accessible.

Mise en place de sanctions financières administratives

La CAI ou son représentant peut infliger des amendes aux organisations qui ne respectent pas la loi. Ces amendes peuvent aller jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’année fiscale précédente, le montant le plus élevé étant retenu.

Conclusion

La Loi 25 peut paraître complexe, mais on doit se souvenir qu’elle ne représente pas seulement une obligation légale. Respecter cette loi, c’est s’engager à préserver la confidentialité et les droits des individus. Soyez à l’affût des mises à jour pour mieux comprendre comment gérer la protection des données au Québec, un domaine en constante évolution !

Ce billet de blogue ne constitue pas un avis juridique. Il vise uniquement à fournir des informations générales. Avant de prendre une quelconque décision en se fondant sur le contenu de cette page, il est recommandé de consulter un avocat.