top of page
Rechercher

(Partie 1) Loi 25 : Votre guide pour la protection des renseignements personnels au Québec

  • Photo du rédacteur: Anmol Trehin
    Anmol Trehin
  • 22 sept. 2023
  • 7 min de lecture

Le Québec a introduit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, mieux connue sous le nom de « Loi 25 » ou « Projet de loi 64 ». Cette loi vise à moderniser les cadres législatifs relatifs à la protection des renseignements personnels. Cette législation vise à mettre à jour le régime de protection des données personnelles, en étendant sa portée à divers secteurs, y compris le secteur privé réglementé par la Loi sur la protection des renseignements personnels dans le secteur privé. Ces modifications ont un impact significatif, affectant non seulement les institutions publiques, mais aussi les entreprises privées.


À qui s'applique la Loi 25 ?


La portée de la Loi 25 est considérable, s’étendant aux entités publiques et privées. Pour la discussion d’aujourd’hui, nous nous pencherons principalement sur ses implications pour les entreprises du secteur privé.

privacy law, bill 64 law 25 quebec, private sector, businesses, avocat d'affaire, business law, lawyer anmol trehin

Cadre réglementaire actuel


Depuis son entrée en vigueur en septembre 2022, la Loi 25 a introduit plusieurs exigences importantes pour les organisations :


  1. Nommer un responsable de la protection des renseignements personnels

  2. Déclarer les incidents de confidentialité

  3. Respecter les nouvelles lignes directrices concernant la divulgation de renseignements personnels dans le cadre de transactions commerciales (exception)

  4. Se plier aux nouvelles règles régissant la transmission de données confidentielles à des fins de recherche, d’étude ou de création de statistiques (exceptions)

  5. Se conformer aux modifications apportées par la Loi concernant le cadre juridique des technologies de l’information en ce qui a trait à la biométrie.


La désignation d'une personne responsable de la protection des renseignements personnels


Selon la Loi 25, le plus haut dirigeant d’une entreprise est, par défaut, responsable de la protection des renseignements personnels. Toutefois, ce rôle peut être délégué, en tout ou en partie, par écrit, à une autre personne, qui pourrait se trouver à l’interne ou chez un tiers.


Comment préparer votre entreprise

  • Effectuez une évaluation des capacités internes de votre organisation concernant la sécurité des informations et le respect de la législation sur la confidentialité.

  • Envisagez de faire appel à l’expertise externe ou d’embaucher quelqu’un pour assurer la protection des données.

  • Définissez et documentez clairement le rôle et les responsabilités du responsable de la protection des informations confidentielles.

  • Mettez sur pied un programme de formation spécifique au responsable de la protection des renseignements personnels, qui répondra aux besoins particuliers de votre organisation.

  • Assurez-vous que les coordonnées du responsable de la protection des renseignements personnels se trouvent facilement ( sur le site Web de l’organisation, par exemple ).


Déclaration des incidents de confidentialité


Selon la Loi 25, les entreprises doivent mettre en œuvre des mesures raisonnables pour prévenir les incidents de confidentialité et s’assurer qu’ils ne se reproduisent pas. Les incidents de confidentialité incluent : l’accès non autorisé par la loi à des renseignements personnels ; l’utilisation non autorisée par la loi de renseignements personnels ; la communication non autorisée par la loi de renseignements personnels ; ou la perte de renseignements personnels ou toute autre atteinte à la protection de ces renseignements. En cas d’incident pouvant entraîner un préjudice grave, les personnes concernées et la Commission d’accès à l’information ( la « CAI » ) doivent en être informées sans délai.


Comment préparer votre entreprise

  • Créez un système permettant de consigner et de suivre systématiquement tous les incidents de confidentialité.

  • Désignez dans votre organisation des personnes responsables de la prévention, de la gestion et de la réponse aux incidents de sécurité.

  • Mettez à jour vos politiques de confidentialité existantes afin qu’elles soient conformes aux nouvelles exigences en matière de déclaration d’incidents.


Lignes directrices pour la communication de renseignements personnels sans consentement


Pour les transactions commerciales


La Loi 25 permet la communication de renseignements personnels lors de transactions commerciales, mais seulement si une entente formelle précise les modalités essentielles, notamment :


  1. To use the information only for concluding the commercial transaction;

  2. Not to communicate the information without the consent of the person concerned, unless authorized by the Act [respecting the protection of personal information in the private sector];

  3. To take the measures required to protect the confidentiality of the information; and

  4. To destroy the information if the commercial transaction is not concluded or if using the information is no longer necessary for concluding the transaction.

  5. de n’utiliser les renseignements qu’aux fins de la conclusion de la transaction commerciale ;

  6. interdire toute diffusion sans le consentement préalable de la personne concernée, sauf disposition contraire prévue par la Loi sur la protection des renseignements personnels dans le secteur privé.

  7. Assurer la confidentialité des informations en prenant les mesures nécessaires pour les protéger.

  8. Détruire les informations si la transaction commerciale n’est pas conclue ou si leur utilisation n’est plus nécessaire pour la mener à bien.


Une transaction commerciale implique un transfert de propriété de tout ou partie d'une entreprise (art. 18.4 de la Loi 25).


Une fois la transaction commerciale conclue, l’autre partie doit, dans un délai raisonnable, informer la personne concernée qu’elle détient maintenant des renseignements personnels à son sujet. Dans ce cas, l’autre partie doit se conformer aux exigences de la Loi quant à l’utilisation et à la communication de ces données.


Comment préparer votre entreprise

  • Intégrez les clauses nécessaires à la communication des informations personnelles dans vos modèles d’ententes actuels en cas de transaction commerciale.

  • Vérifiez, avec l’aide d’un professionnel, que vos ententes respectent les exigences règlementaires.


À des fins d'étude, de recherche ou de production de statistiques


Les organisations du secteur privé peuvent communiquer des renseignements personnels à des fins d’études, de recherches ou de productions statistiques, sous réserve de la réalisation d’une évaluation des facteurs liés à la protection de la vie privée et de la conclusion d’ententes détaillées définissant les modalités.


L’évaluation des facteurs relatifs à la vie privée doit conclure que : ( 1 ) on ne peut atteindre l’objectif de l’étude, de la recherche ou de la production de statistiques que si les renseignements sont communiqués sous une forme permettant d’identifier les personnes concernées ; (2) exiger du consentement des personnes concernées serait irréaliste ; (3) l’objectif de l’étude, de la recherche ou de la production de statistiques l’emporte sur l’impact de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées ; (4) on utilise les renseignements personnels de manière à assurer la confidentialité ; et ( 5 ) on ne communique que les renseignements nécessaires.


Quiconque souhaite utiliser des renseignements personnels à ces fins doit se conformer à des exigences précises. Ces dernières incluent : ( 1 ) une requête formelle ; (2) un document décrivant la méthodologie de l’étude ; (3) l’exposé des motifs justifiant la satisfaction des critères énoncés aux alinéas 1 à 5 du deuxième paragraphe de l’article 21 de la Loi ; (4) l’indication de toute autre entité recevant une demande semblable concernant la même étude, recherche ou production de statistiques ; (5) un aperçu des différentes technologies utilisées pour traiter les informations ; (6) si approprié, la décision documentée d’un comité d’éthique de la recherche concernant l’étude, la recherche ou la production de statistiques ; et ( 7 ) si nécessaire, tout autre document demandé.


Avant de communiquer les renseignements, l’entreprise et la personne ou l’organisme qui souhaite utiliser les renseignements personnels doivent conclure une entente. Celle-ci doit stipuler, entre autres, que les renseignements :

  1. ne peuvent être rendus accessibles qu’aux personnes dont la connaissance s’avère essentielle pour qu’elles puissent exercer leurs fonctions et qui ont signé un engagement de confidentialité ;

  2. ne peuvent servir à d’autres fins que celles prévues au protocole de recherche.

  3. ne peuvent être liés à aucun autre fichier de renseignements non prévu au protocole de recherche ; et

  4. on doit s’assurer que les personnes concernées ne pourront pas être identifiées.

L’entente doit aussi :

  1. Spécifier l’information à fournir aux personnes concernées si on utilise des renseignements personnels pour les contacter afin qu’elles participent à l’étude ou à la recherche ;

  2. Définir des mesures visant à assurer la protection des renseignements personnels ;

  3. Établir la durée de conservation des renseignements personnels.

  4. Prévoir l'obligation d'aviser la personne qui communique les renseignements personnels de leur destruction; et

  5. Exiger que la personne qui communique les renseignements personnels et la Commission doivent être informées sans délai : (a) de tout manquement à une condition prévue à l'entente; (b) de tout manquement aux mesures de protection prévues à l'entente; et (c) de tout événement qui pourrait porter atteinte à la confidentialité des renseignements.


Cet accord doit être envoyé à la Commission et entre en vigueur 30 jours après sa réception par la Commission.


Comment préparer votre entreprise

  • Mettez au point des modèles standardisés pour évaluer les facteurs liés à la vie privée.

  • Mettez en place des procédures encadrant vos initiatives de recherche, en accordant une attention particulière à la protection des informations confidentielles et au respect des règlements.

  • Instaurez une procédure bien définie afin que le commissaire à l’information soit informé chaque fois qu’une divulgation s’avère nécessaire.


La biométrie


L’utilisation de données biométriques dans le cadre de la vérification de l’identité nécessite une divulgation préalable à la Commission ainsi que le consentement explicite des personnes concernées. La création d'une banque de caractéristiques et de mesures biométriques doit être déclarée à la Commission au plus tard 60 jours avant sa mise en service. Suite à cette déclaration, la Commission peut rendre des ordonnances déterminant la manière dont la banque doit être établie, fonctionner, se consulter, se communiquer et se conserver, ainsi que la manière dont les mesures ou caractéristiques enregistrées à des fins d’identification personnelle doivent s’archiver ou se détruire.


Comment préparer votre entreprise

  • Mettez en place une politique globale concernant l’utilisation de vos systèmes biométriques, qui abordera notamment les sujets suivants : la divulgation, le consentement et l’usage des données.

  • Examinez tous vos futurs projets afin de savoir s’ils utilisent ou non des données biométriques.

  • Effectuez une évaluation rigoureuse des facteurs relatifs à la vie privée dans le cadre de tout projet qui utilise des données biométriques.

  • Passez en revue les contrats et les politiques de vos fournisseurs de services tiers afin de comprendre leur approche concernant l’utilisation des données biométriques.

Sanctions pour non-conformité


La Loi 25 introduit des sanctions considérablement augmentées pour les contrevenants de la législation sur la protection des renseignements personnels. Les amendes varient désormais de 15 000 $ à un montant substantiel de 25 000 000 $, ou à un montant équivalent à 4 % du chiffre d’affaires mondial de l’exercice financier précédent, le montant le plus élevé étant retenu.


Restez à l’écoute pour la seconde partie, dans laquelle nous aborderons les nouvelles mesures entrées en vigueur le 22 septembre 2023.


N’attendez plus ! Communiquez avec nous dès maintenant pour vous assurer d’être en conformité avec la Loi 25 et de protéger efficacement vos données confidentielles. Nous sommes prêts à vous accompagner dans cette démarche en vous aidant à mettre en place des mesures de protection des renseignements personnels adaptées à vos besoins.


Ce billet de blog ne constitue pas un avis juridique et n'est donné qu'à titre d'information générale. Consultez toujours un avocat avant d'agir sur la base des informations contenues dans le présent document.

 
 
 

Commentaires

bottom of page