Loi 25 et renseignements personnels : êtes-vous vraiment prêts?
Auteures et auteur : Me Maude Fréchette, Me Catherine Ramsay-Piérard et Me Bruno Provencher-Bordeleau
Les renseignements personnels doivent être protégés au Québec par toutes les entreprises privées et publiques, peu importe leur taille et chiffre d’affaires. Or, la Loi sur la protection des renseignements personnels dans le secteur privé (LPRP), en vigueur depuis de nombreuses années, était devenue quelque peu inefficace en raison de l’apparition notamment de nouvelles technologies.
Le Québec a donc adopté la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, aussi appelée la « Loi 25 », afin de moderniser la LPRP, dont les dispositions entrent en vigueur progressivement aux dates suivantes : le 22 septembre 2022, le 22 septembre 2023 et le 22 septembre 2024.
Pourquoi alors en entend-on soudainement autant parler au sein des entreprises québécoises?
C’est que des dispositions très importantes de la Loi 25 sont entrées en vigueur le 22 septembre 2023. La prise d’effet de ces dispositions a un impact réel sur les petites et moyennes entreprises, lesquelles devront absolument s’y conformer afin d’éviter de faire l’objet d’importantes sanctions.
Qu’est-ce qu’un renseignement personnel?
La loi s’applique à « tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier. »1
Il va de soi que tous les renseignements personnels des employés d’une entreprise sont donc visés par la loi, par exemple, toute adresse personnelle, numéro d’assurance sociale, informations requises pour les assurances collectives, etc.
Mais qu’en est-il de vos clients, partenaires, fournisseurs et sous-traitants?
Les renseignements personnels qui concernent uniquement les fonctions d’une personne au sein d’une entreprise (nom, titre professionnel et adresse de courriel professionnelle) sont soustraits à la plupart des exigences de la loi.
Mais une nuance s’impose : toutes les autres informations personnelles qui sont associées à cette personne, comme son historique d’achat, son numéro de client, les notes à son sujet, son adresse personnelle de livraison, sa date d’anniversaire, ou toute autre information personnelle concernant celle-ci qui pourraient permettre de l’identifier sont considérés, pour leur part, comme des renseignements personnels et soumis aux exigences de la loi. En d’autres mots : si vous détenez des informations personnelles sur vos contacts d’affaires enregistrées sur vos serveurs, dans vos courriels ou logiciels tels que CRM (Customer Relationship Management), ces renseignements personnels doivent être protégés par votre entreprise.
Quels sont les principaux droits des personnes dont on collecte les renseignements personnels?
Depuis le 22 septembre 2022
Les entreprises doivent tenir un registre des incidents de confidentialité. Elles ont également l’obligation de notifier la Commission de l’accès à l’information du Québec et les personnes dont un renseignement personnel est concerné si l’incident est susceptible de causer un préjudice sérieux.
À partir du 22 septembre 2023
Il est désormais obligatoire pour toutes les entreprises d’adopter des politiques et pratiques internes sur la gouvernance des renseignements personnels et de publier des informations à propos de ces politiques sur leur site Web.
Du contenu obligatoire supplémentaire devrait être inclus dans les politiques de confidentialité de la plupart des entreprises.
L’obligation d’effectuer une évaluation des facteurs relatifs à la vie privée2 entre également en vigueur lors de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation de services électroniques, ainsi qu’avant d’envoyer un renseignement personnel à l’extérieur du Québec.
Les exigences relatives au consentement des individus pour la collecte, l’utilisation et la communication de leurs renseignements personnels sont augmentées. En effet, les individus ont désormais des droits supplémentaires à l’égard de leurs renseignements personnels, dont notamment les droits suivants :
- Droit à la désindexation
- Droit d’obtenir plus d’information sur le traitement de leurs renseignements personnels
- Droit à la portabilité (en septembre 2024)
Qui est affecté dans mon entreprise par ces nouvelles dispositions?
La direction
Elle doit savoir notamment quels renseignements personnels sont collectés par l’entreprise et ses fournisseurs, à quelles fins et qui y a accès.
Votre service des RH
Il doit protéger les renseignements personnels de ses employés et candidats.
Votre service du marketing
La collecte de renseignements personnels doit être encadrée, que ce soit sur le site Web, sur les réseaux sociaux et dans le cadre de toute campagne marketing.
Votre service des TI
Il doit s’assurer que les bases de données de l’entreprise sont sécuritaires et permettent de retracer, effacer et rectifier des renseignements personnels.
Vos employés
Ils doivent être conscientisés sur les renseignements personnels qu’ils reçoivent dans le cadre de leur emploi et connaitre les directives de l’entreprise quant à leur protection.
Vos fournisseurs de services
Ils doivent aussi respecter la loi et protéger les renseignements personnels que vous pourriez leur transmettre.
Concrètement, quelles sont les principales actions urgentes à mettre en place par mon entreprise?*
- Nommez un responsable de la protection des renseignements personnels (si ce n’est déjà fait).
- Révisez la politique de confidentialité affichée sur votre site Web et paramétrer la collecte automatique de renseignements personnels par le biais des témoins et des autres technologies de traçages en activité sur votre site Web.
- Adoptez une politique interne applicable à vos employés et travailleurs autonomes sur la collecte, la sauvegarde et la consultation des renseignements personnels.
- Adoptez une politique interne de gouvernance relative aux renseignements personnels.
- Faites un inventaire des renseignements personnels recueillis et une analyse de vos bases de données.
- Vérifiez auprès de vos fournisseurs de services à qui vous transmettez des renseignements personnels s’ils respectent la loi, surtout si les renseignements personnels sont envoyés à l’extérieur du Québec.
- Mettez en place un processus d’évaluation des facteurs relatifs à la vie privée dans le cadre de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
- Contactez votre courtier d’assurance pour confirmer que vous êtes suffisamment couverts avec votre assurance cyber-risques.
*Attention : Cette liste n’est pas exhaustive. Veuillez consulter votre avocat pour vous assurer que toutes vos obligations légales sont respectées.
Quels sont les risques pour notre entreprise si nous ne sommes pas conformes à la loi?
Les sanctions auxquelles s’exposent les contrevenants à la Loi sur la protection des renseignements personnels dans le secteur privé sont beaucoup plus importantes qu’avant :
- La sanction administrative pécuniaire maximale est de 50 000 $ pour les personnes physiques, et pour les entreprises, le montant le plus élevé entre 10 millions de dollars et 2% du chiffre d’affaires mondial; et
- La sanction pénale maximale est de 100 000 $ pour les personnes physiques, et pour les entreprises, le montant le plus élevé entre 25 millions de dollars et 4% du chiffre d’affaires mondial.
Attention : Les sanctions sont applicables aux entreprises, mais aussi dans certains cas à ses administrateurs, dirigeants et représentants.
Vous avez besoin de soutien?
L’équipe de YULEX peut vous accompagner dans votre processus de rédaction de politiques, dans la vérification de votre conformité à la loi et dans la mise en place des meilleures pratiques adaptées à votre domaine d’affaires.
Nous avons élaboré différents forfaits d’accompagnement à cet effet. Contactez-nous au pour en savoir plus.
Liste de références :
1. CanLII (2023). Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c 25. Repéré à https://www.canlii.org/fr/qc/legis/loisa/lq-2021-c-25/derniere/lq-2021-c-25.html. Consulté le 20 septembre 2023.
2. Commission d’accès à l’information du Québec (2023). Évaluation des facteurs relatifs à la vie privée. Repéré à https://www.cai.gouv.qc.ca/espace-evolutif-modernisation-lois/thematiques/evaluation-facteurs-relatifs-vie-privee/. Consulté le 22 septembre 2023.