La loi 25 et la protection des renseignements personnels : ce qu’il faut savoir
Si vous êtes gestionnaire ou propriétaire d’une entreprise au Québec, quelle qu’en soit la taille, vous traitez des informations qui sont désormais régies par la loi 25. En effet, les renseignements personnels de vos employés, de vos clients, de vos fournisseurs ou de vos patients sont tous concernés par cette nouvelle loi.
Chez Agendrix, on travaille d’ailleurs depuis 2 ans à préparer le terrain pour obtenir les certifications ISO 27001 et ISO 27701, qui sont directement liées à la loi 25. Le tout dans le but d’assurer la sécurité des informations sensibles que l’on traite. Tous les employés sont d’ailleurs impliqués dans la mise en place des diverses mesures de sécurité.
Pour démystifier la loi 25 et les changements qu’elle amène, j’ai échangé avec Charles Vallières, Directeur de la technologie, cofondateur et responsable de la sécurité des données chez Agendrix. 🔒
Qu’est-ce que c’est la loi 25?
La loi 25 découle du projet de loi 64, qui a été adopté à l’unanimité le 21 septembre 2021 par l’Assemblée nationale du Québec.
De son nom officiel, la loi 25 est la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
Elle amène d’importants changements à tout ce qui concerne la protection des renseignements personnels des citoyens, afin de mieux refléter la réalité numérique d’aujourd’hui.
Pourquoi une loi sur la protection des renseignements personnels?
Précisément, cette loi donne plus de pouvoir aux individus sur le traitement de leurs données personnelles et une meilleure compréhension quant à l’utilisation de celles-ci.
Tout ceci dans le but de mieux protéger les droits de la personne. Les organisations doivent donc prendre des actions concrètes pour assurer la sécurité des informations qu’elles traitent. Et ce, peu importe si elles sont un organisme public ou une entreprise du secteur privé.
Autrement dit, la loi 25 encadre les mesures à mettre en place pour la collecte, le stockage et le traitement des informations personnelles qu’une entreprise traite.
Fini le temps où n’importe quelle entreprise pouvait obtenir et conserver les données personnelles des citoyens pour une durée indéterminée.
Qu’est-ce que ça implique pour les entreprises?
Chaque entreprise doit faire l’évaluation des facteurs relatifs à la vie privée, que j’explique plus en détail ci-dessous. De plus, toute collecte de données personnelles faite par les entreprises doit être justifiée. Pourquoi l’entreprise a-t-elle besoin d’une telle information? Est-ce vraiment nécessaire? L’individu doit aussi fournir son consentement à partager ses données personnelles.
Qu’est-ce qui est considéré comme un renseignement personnel?
Un renseignement personnel est toute information se rapportant à une personne physique et qui permet de l’identifier. Quelques exemples de renseignements personnels d’un individu :
- Son nom;
- Son numéro d’assurance sociale;
- Son adresse;
- Son âge;
- Son genre;
- Sa situation familiale;
- Ses identifiants en ligne;
- Son numéro d’identification d’employé.
S’ajoutent à la liste un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Pourquoi le gouvernement du Québec met-il en place la loi 25 sur la protection des renseignements personnels?
Le Québec n’est pas le premier à mettre en place une telle législation pour protéger ses citoyens. En effet, l’Europe a lancé le bal il y a plusieurs années (en 2018 plus précisément) avec l’adoption du Règlement Général sur la Protection des Données (RGPD), qui encadre le traitement des données personnelles sur l’ensemble du territoire de l’Union européenne.
Quels sont les trois principaux objectifs de la loi 25?
- Renforcer la protection des renseignements personnels détenus par les organisations des secteurs publics et privés;
- Améliorer la confiance des citoyens envers ces organisations;
- Appuyer l’innovation tout en prenant en compte les nouvelles technologies.
Qu’est-ce que l’évaluation des facteurs relatifs à la vie privée (ÉFVP)?
L’évaluation des facteurs relatifs à la vie privée est une démarche préventive en lien avec la loi 25 pour mieux protéger les renseignements personnels et assurer le respect de la vie privée des personnes. Elle permet aux entreprises de s’assurer qu’elles ont mis les bonnes mesures en place.
Lors de l’ÉFVP — qui est en fait une analyse de risques — il faut considérer tous les facteurs qui ont potentiellement un impact positif ou négatif sur le respect de la vie privée des personnes concernées. On peut ensuite réduire ces risques en les analysant puis en prenant action.
L’évaluation des facteurs relatifs à la vie privée est entre autres proportionnelle à la sensibilité des renseignements concernés, à leur quantité et à la finalité de leur utilisation.
Une entreprise doit faire une ÉFVP pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services qui implique des renseignements personnels.
Par exemple, si une entreprise souhaite changer son système informatique pour la gestion des dossiers de ses patients ou clients, elle doit faire une évaluation des facteurs relatifs à la vie privée.
Une ÉFVP doit aussi avoir lieu avant de communiquer un renseignement personnel à l’extérieur du Québec.
Quels seraient des exemples concrets d’utilisation des données personnelles pour une PME?
Voici 3 exemples qui pourraient s’appliquer à toute entreprise avec des employés.
L’embauche
L’embauche est l’un des moments où les entreprises collectent le plus d’informations personnelles sur leurs salariés. Le nom, l’adresse, le NAS, les données bancaires pour la paie, et j’en passe sont toutes des données légitimes que l’employeur recueille dès les premiers jours.
L’employeur doit se demander pour quelle raison il souhaite obtenir certaines informations. Pour ne pas enfreindre la loi 25, il faut que la collecte des renseignements demandés soit justifiée.
Par exemple, un employeur qui demande à ses employés s’ils sont fumeurs doit prouver que cette information est pertinente dans le cadre du travail. De plus, il doit obtenir le consentement des employés et documenter le tout dans un endroit sécurisé.
Dans le cas des renseignements biométriques (empreintes digitales, traits du visage, yeux, etc.) — qui sont entre autres utilisés notamment pour pointer les heures de travail, la loi est très sévère. La nécessité de recueillir ces informations doit être évaluée, et le consentement des employés, éclairé.
Le congédiement et roulement de personnel
Qu’en est-il lors du congédiement ou du départ d’un employé? Bien que les entreprises doivent conserver certaines informations pour respecter certaines obligations légales ou fiscales, tout ce qui n’est pas nécessaire doit être détruit pour se conformer à la loi 25.
Il est recommandé d’établir un calendrier avec des échéances précises pour la conservation des informations personnelles des employés. Qu’est-ce que qui peut ou doit être conservé? Pendant combien de temps? Et à quelles fins? Encore une fois, tout doit être justifiable et légitime.
Le télétravail
Si vous avez des employés en télétravail, la loi 25 prévoit des restrictions sévères pour le transfert des renseignements personnels hors-Québec. Vos employés ont-ils accès à des renseignements personnels de clients, d’autres employés, de patients ou de fournisseurs? Vous êtes responsables de respecter la loi, même lorsqu’un employé est en télétravail et spécialement s’il se trouve à l’extérieur de la province.
Dans un tel cas, il faut faire une évaluation des facteurs relatifs à la vie privée incluant divers facteurs comme la sensibilité des renseignements auxquels l’employé a accès, les lois en vigueur dans le pays où a lieu le télétravail, etc. Pour se protéger de part de d’autre, une entente de télétravail entre l’employé et l’employeur est de mise. Celle-ci doit prendre en compte les risques pour la vie privée et inclure un politique de sécurité pour assurer la confidentialité des données à l’extérieur du Québec.
De plus, l’employeur doit s’assurer que ses employés font usage de bonnes pratiques pour la gestion des mots de passe, comme l’authentification à deux facteurs par exemple. Les salariés doivent aussi éviter de se connecter à un réseau wifi non sécurisé.
Quelles sont les dates importantes concernant la loi 25?
La loi 25 a commencé son entrée en vigueur progressive en septembre 2022. Bien que la majorité des dispositions soient applicables en 2023, c’est en 2024 que la loi prendra pleinement force. Pour mieux comprendre les lignes directrices des nouvelles obligations et les dates importantes, la Commission d’accès à l’information du Québec est la référence.
Septembre 2022
Depuis le 22 septembre 2022, les entreprises doivent désigner une personne responsable de la protection des renseignements personnels. En cas d’incident qui affecte la confidentialité et qui pourrait causer un préjudice sérieux, les personnes concernées doivent être informées.
Septembre 2023
À partir de septembre 2023, les entreprises devront élaborer un cadre de gouvernance pour la protection des renseignements personnels. Dans certaines circonstances, il faudra détruire ou rendre anonymes les renseignements personnels.
Les entreprises devront aussi évaluer les risques d’atteinte à la vie privée lors de certaines communications ou utilisations impliquant des renseignements personnels. Enfin, le consentement de la personne sera obligatoire pour utiliser ses renseignements personnels à des fins commerciales.
Septembre 2024
En septembre 2024, les entreprises devront obligatoirement communiquer, à la demande de la personne concernée, les renseignements personnels qu’elle a fournis.
Quelles sont les conséquences pour les entreprises qui ne respectent pas la loi 25?
Pour les entreprises qui ne respectent pas la loi 25, la Commission d’accès à l’information pourra imposer d’importantes sanctions. Les amendes seront très salées et pourront s’élever jusqu’à 25 millions de dollars ou à 4 % du chiffre d’affaires de l’entreprise. Les sanctions seront relatives à la gravité de la négligence et à la capacité de payer de l’organisation.
Où peut-on trouver des outils sur la loi 25 et la protection des données personnelles?
Le gouvernement du Québec a mis plusieurs outils en place pour aider les entreprises à se préparer aux impacts de la loi 25 sur leurs opérations :
- Aide-mémoire : survole la loi 25 avec un calendrier des dates importantes;
- Guide d’accompagnement de la Commission d’accès à l’information du Québec — Réaliser une évaluation des facteurs relatifs à la vie privée : accompagne pour l’évaluation des risques liés aux projets qui impliquent des renseignements personnels ou qui peuvent avoir une incidence sur le respect de la vie privée;
- Site Web de la Commission d’accès à l’information : explique les conditions qui requièrent un ÉFVP.
- Site Web du gouvernement du Québec : offre le détail de toutes les informations à savoir, incluant des définitions, la loi et les mesures en cas d’incident.