La loi 25 (issue du projet de loi 64), ou la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, apporte des changements profonds au cadre législatif concernant la protection des renseignements personnels dans les organismes publics et les entreprises privées au Québec.
Quels sont les objectifs de la loi 25?
La loi 25 permet une meilleure protection des renseignements personnels des citoyens en leur donnant plus de pouvoirs concernant le traitement de leurs données personnelles et en leur permettant une meilleure compréhension à l’égard des conséquences de leurs choix.
La loi 25 oblige les organisations à prendre des actions concrètes pour assurer la sécurité des informations qu’elles traitent.
Son objectif final est d’empêcher les organisations de s’échanger ou de vendre les renseignements personnels et les données sensibles des individus.
Quels sont les changements prévus par la loi 25?
La loi 25 apporte plusieurs changements pour les organisations, tels que :
- L’obligation de nommer un responsable de la protection des renseignements personnels (PRP);
- L’obligation d’avoir un plan de gestion et un registre des incidents de confidentialité;
- L’obligation de divulguer tous les incidents menaçant la confidentialité de données confidentielles ou une cyberattaque.
Pour les citoyens, la loi 25 garantit leur droit de pouvoir utiliser, user, divulguer, partager et effacer leurs propres informations en tout temps.
À qui s’applique la loi 25?
La loi 25 s’applique à toutes les entreprises, qu’elles soient des PME, des OBNL, un travailleur autonome ou toute autre forme d’entreprise reconnue par la loi au Québec.
Qu’est-ce qui est considéré comme un renseignement personnel selon la loi 25?
Selon la loi 25, un renseignement personnel est toute information qui se rapporte à une personne physique et qui permet de l’identifier tel que :
- Son nom;
- Son genre;
- Son numéro d’assurance sociale;
- Ses identifiants en ligne;
- Son numéro d’identification d’employé;
- Son adresse;
- Son âge;
- Sa situation familiale;
- Ses caractéristiques physiques, physiologiques, génétiques, économiques, culturelles ou sociales.
Qu’est-ce qu’une évaluation des facteurs relatifs à la vie privée (ÉFVP)?
L’évaluation des facteurs relatifs à la vie privée (ÉFVP) est une démarche préventive obligatoire dans le cadre de la loi 25 ayant pour but de mieux protéger les renseignements personnels et d’assurer le respect de la vie privée des citoyens.
Une entreprise doit faire une ÉFVP pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services qui implique des renseignements personnels. Une ÉFVP doit aussi avoir lieu avant de communiquer tout renseignement personnel à l’extérieur du Québec.
L’évaluation des facteurs relatifs à la vie privée doit être proportionnelle à la sensibilité des renseignements concernés, à leur quantité et à la finalité de leur utilisation.
Quelles sont les sanctions liées au non-respect de la loi 25?
La Commission d’accès à l’information peut imposer d’importantes sanctions aux entreprises qui ne respectent pas la loi 25. Les amendes peuvent s’élever jusqu’à 25 millions de dollars ou à 4 % du chiffre d’affaires de l’entreprise.
Les sanctions prévues par la loi sont relatives à la gravité de la négligence et à la capacité de payer de l’organisation.
Quel est l’échéancier de la loi 25?
L’entrée en vigueur de la loi 24 s’échelonnera sur une période de 3 ans, entre le 22 septembre 2022 et le 22 septembre 2024.