top of page
Photo du rédacteurLudovic Bianciotto

La Loi 25 : plan d'action pour les entreprises québécoises

Dernière mise à jour : il y a 1 jour

Fortement inspirée du Règlement Général sur la Protection des Données (RGPD) européen, la Loi 25 est une législation québécoise importante qui modifie diverses dispositions législatives en matière de protection des renseignements personnels dans le secteur privé et les organismes publics. Elle s’applique à toutes les entreprises et les organismes publics qui collectent, utilisent ou divulguent des renseignements personnels au Québec, quels que soient leur type et leur taille. Elle impose des obligations plus importantes en matière de transparence et de gestion des données personnelles, ainsi que des sanctions financières importantes en cas de non-respect.


Voyons un exemple de plan d'action pour les entreprises québécoises, les nouvelles obligations de 2024, les enjeux internes et aussi les risques de ne pas être en conformité.


loi 25
Loi 25 pour les PME

La Loi 25 entre progressivement en vigueur sur une période de trois ans, de 2022 à 2024. Il est donc essentiel de se conformer à ses exigences et de se tenir informé de son évolution.


Si ce n'est pas déjà fait, voici un plan d’action que vous pouvez suivre pour mettre en place la Loi 25 dans votre PME :


  • Désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Internet de votre PME. Cette personne doit avoir l’autorité et les ressources nécessaires pour assurer le respect et la mise en œuvre de la Loi 25. Vous pouvez déléguer cette fonction à une personne de votre choix, par écrit. Cette étape doit être faite avant le 22 septembre 2022.

  • Établir des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de votre PME. Ces politiques et pratiques doivent décrire les principes, les règles et les procédures que vous suivez pour collecter, utiliser, communiquer, conserver et détruire les données personnelles. Elles doivent aussi préciser les droits et les recours des personnes concernées par les données personnelles. Cette étape doit être faite avant le 22 septembre 2023.

  • Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec. Une ÉFVP est un outil qui permet d’identifier et de réduire les risques pour la vie privée liés à un projet, une activité ou une décision impliquant des données personnelles. Vous pouvez consulter le guide pratique de la Commission d’accès à l’information (CAI) pour réaliser une ÉFVP. Cette étape doit être faite avant le 22 septembre 2023.

  • Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels. Le consentement doit être libre, éclairé, spécifique et donné pour une durée limitée. Il doit être manifesté par un acte positif clair de la personne concernée. Vous devez informer la personne de la finalité, des conséquences, des droits et des recours liés au traitement des données personnelles. Vous devez aussi lui permettre de retirer son consentement à tout moment. Cette étape doit être faite avant le 22 septembre 2023.

  • Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, en l’absence de règlement du gouvernement. Vous devez vous assurer que les données personnelles ne sont pas conservées plus longtemps que nécessaire pour les besoins légitimes de votre PME. Vous devez aussi utiliser des méthodes sécurisées pour détruire les données personnelles, en tenant compte du support et du format utilisés. Cette étape doit être faite avant le 22 septembre 2023.

  • Respecter les nouvelles obligations d’information et de transparence envers les citoyens. Vous devez répondre aux demandes d’accès, de rectification, de portabilité ou de désindexation des données personnelles dans un délai de 30 jours. Vous devez aussi aviser la CAI et les personnes concernées de tout incident de confidentialité présentant un risque sérieux de préjudice. Vous devez tenir un registre de tous les incidents de confidentialité et le communiquer à la CAI sur demande. Cette étape doit être faite avant le 22 septembre 2023.

  • Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée, par exemple dans le cadre d’une transaction commerciale ou à des fins d’étude, de recherche ou de production de statistiques. Vous devez vous assurer que les conditions prévues par la Loi sont remplies et que les mesures de sécurité appropriées sont prises pour protéger les données personnelles. Vous devez aussi documenter les motifs et les modalités de la communication. Cette étape doit être faite avant le 22 septembre 2023.

  • Respecter les nouvelles règles de communication des renseignements personnels à l’extérieur du Québec. Vous devez vous assurer que le pays ou l’État où les données personnelles sont communiquées offre un niveau de protection équivalent à celui du Québec. Vous devez aussi réaliser une ÉFVP et obtenir le consentement de la personne concernée, sauf exception. Cette étape doit être faite avant le 22 septembre 2023.

  • Respecter les nouvelles règles d’utilisation des renseignements personnels. Vous devez vous assurer que les données personnelles sont utilisées uniquement pour les fins pour lesquelles elles ont été collectées, sauf exception. Vous devez aussi prendre des mesures pour garantir l’exactitude, l’intégrité et la confidentialité des données personnelles. Cette étape doit être faite avant le 22 septembre 2023.

  • Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité d’un produit ou d’un service technologique offert au public. Vous devez vous assurer que les produits ou les services technologiques que vous offrez au public respectent le principe de la confidentialité par défaut, c’est-à-dire qu’ils assurent le plus haut niveau de protection des données personnelles sans intervention de l’utilisateur. Vous devez aussi informer l’utilisateur des conséquences de modifier les paramètres par défaut. Cette étape doit être faite avant le 22 septembre 2023.

  • Divulguer préalablement à la CAI la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques. Vous devez vous assurer que l’utilisation de la biométrie pour vérifier ou confirmer l’identité d’une personne est justifiée par la nature ou les objectifs de l’activité concernée. Vous devez aussi obtenir le consentement de la personne concernée et divulguer à la CAI les renseignements requis par la Loi. Cette étape doit être faite avant le 22 septembre 2022.


En cas de non-respect de la Loi 25, les entreprises s’exposent à des sanctions pénales et administratives pécuniaires sans précédent, notamment des amendes pouvant atteindre 25 millions de dollars ou, si plus élevé, le montant correspondant à 4% du chiffre d’affaires mondial de l’exercice financier précédent. Les sanctions seront relatives à la gravité des manquements et à la capacité de payer de l’entreprise.


La prochaine date à retenir est le 22 septembre 2024, où d’autres dispositions entreront en vigueur. Ces dispositions concernent notamment :


  • La possibilité pour la Commission d’accès à l’information (CAI) d’imposer des sanctions administratives pécuniaires aux entreprises et aux organismes publics qui ne respectent pas la Loi 25;

  • La possibilité pour la CAI de rendre des ordonnances pour faire cesser une atteinte à la vie privée ou pour ordonner la mise en œuvre de mesures correctives;

  • La possibilité pour la CAI de rendre publiques les ordonnances et les sanctions administratives pécuniaires qu’elle impose;

  • La possibilité pour la CAI de conclure des ententes de conformité avec les entreprises et les organismes publics qui s’engagent à se conformer à la Loi 25;

  • La possibilité pour la CAI de recevoir des plaintes de personnes qui se croient lésées par une atteinte à leur vie privée et de les traiter selon un processus simplifié;

  • La possibilité pour les personnes lésées par une atteinte à leur vie privée de demander des dommages-intérêts punitifs et exemplaires, en plus des dommages-intérêts compensatoires.


La Loi 25 implique des défis et des opportunités pour l'organisation interne des entreprises québécoises. Voici quelques-uns de ces enjeux :


  • Gérer des tensions et des conflits au sein de l’organisation : la Loi 25 peut entraîner des changements dans les pratiques et les responsabilités des employés, ce qui peut générer des résistances, des incompréhensions ou des désaccords. Il est donc important de communiquer clairement les objectifs et les bénéfices de la Loi 25, de former et d’accompagner les employés dans la transition, et de favoriser la collaboration et la confiance entre les différents services.

  • Risquer une perte de contrôle et d’autorité sur les collaborateurs : la Loi 25 exige que les PME désignent une personne responsable de la protection des renseignements personnels et qu’elles publient son titre et ses coordonnées sur leur site Internet. Cette personne doit avoir l’autorité et les ressources nécessaires pour assurer le respect de la Loi 25, ce qui peut remettre en question le pouvoir et le rôle des autres dirigeants ou managers. Il est donc essentiel de définir clairement les attributions et les limites de la personne responsable, de lui accorder le soutien et la reconnaissance appropriés, et de maintenir un dialogue constructif avec les autres parties prenantes.

  • Avoir des difficultés à maintenir la coordination et la communication : la Loi 25 implique que les PME doivent avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur leur site Internet. Elles doivent aussi réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec. Ces démarches nécessitent une coordination et une communication efficaces entre les différents services et acteurs impliqués dans la collecte, l’utilisation ou la divulgation des données personnelles. Il est donc important de mettre en place des outils et des procédures adaptés pour faciliter les échanges, le partage et le suivi de l’information.

  • Maintenir une culture d’entreprise forte et une cohésion d’équipe : la Loi 25 représente une opportunité pour les PME de renforcer leur culture d’entreprise et leur cohésion d’équipe autour des valeurs de la protection de la vie privée et du respect des droits des individus. Il s’agit de sensibiliser et de mobiliser les employés sur l’importance et les bénéfices de la Loi 25, de les impliquer dans la définition et la mise en œuvre des politiques et des pratiques de protection des renseignements personnels, et de les reconnaître et de les récompenser pour leurs efforts et leurs résultats.


La Loi 25 est une réforme majeure qui touche chaque entreprise, chaque organisme public et chaque citoyen. Elle vise à renforcer la protection de la vie privée des Québécois et à les rendre plus maîtres de leurs données personnelles. Il est donc essentiel de se conformer à ses exigences et de se tenir informé de son évolution. N,hésitez pas à vous faire accompagner dans vos démarches.


Principales sources :

Guide Pratique : Application de la loi 25 - Cybereco

Loi 25 expliquée simplement: Les nouvelles règles sans jargon - Juridik

Guide pratique pour réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) - CAI

BDC


30 vues
bottom of page