Loi 25. La loi modernisant les dispositions législatives en matière de protection des renseignements personnels.
 

La Loi 25 modifie tant Loi sur l’accès aux documents des organismes public et sur la protection des renseignements personnels que la Loi sur la protection des renseignements personnels dans le secteur privé. Tous les organismes publics, toutes les entreprises privées qui font affaire au Québec et bien sûr, tous les citoyens sont concernés par cette réforme.

Quels sont les impacts sur votre organisation?
 

Si vous récoltez des données personnelles sur les personnes de votre communauté, vous devez vous conformer aux dispositions de la Loi dont les premières obligations s’appliqueront dès septembre 2022. D’autres s'ajouteront progressivement chaque année et ce jusqu’en 2024, année à laquelle la loi sera pleinement effective.

La première étape : Nommer un.e responsable de la protection des renseignements personnels
 

À partir du 22 septembre 2022, votre organisation devra nommer un.e responsable de la protection des renseignements personnels. Si vous ne procédez pas à sa nomination, c’est la personne ayant la plus haute autorité dans votre organisation qui se verra automatiquement attribuer cette fonction.

La Loi 25 prévoit que la personne ayant la plus haute autorité puisse déléguer cette fonction, pour toutes les obligations ou seulement pour certaines d’entre elles. Cette délégation doit être officialisée par écrit. Le titre et les coordonnées de la personne responsable devront être publiés sur le site web de l’organisation d’ici le 22 septembre 2022. Nous recommandons à nos clients d’ajouter cette mention aux conditions de protection de la vie privée en vigueur dans leur organisation.

La personne déléguée à cette fonction aura notamment la responsabilité de s’assurer que l’organisation respecte et mette en œuvre les dispositifs de la Loi par la mise en place de politiques et de pratiques encadrant la gouvernance des renseignements personnels au sein de l’organisation. Ces responsabilités peuvent être partagées à travers un comité composé de plusieurs personnes.

• Définir des règles de conservation et de destruction des renseignements personnels;
• Attribuer des rôles et des responsabilités du personnel tout au long du cycle de vie des renseignements personnels;
• Mettre en place un processus de traitement des plaintes en matière de protection des renseignements personnels;
• Effectuer des évaluations de facteurs relatifs à la vie privée;
• Gérer les incidents de confidentialité ainsi que du processus de notification;
• S’assurer que les employés et gestionnaires de l’organisation soient sensibilisés et formés sur la protection des renseignements personnels et à ses enjeux;
• Mettre en place des mesures afin de faciliter le droit à la portabilité des données.

Plusieurs des exemples précités sont des obligations prévues à la Loi 25 qui n’entreront en vigueur qu'à partir de septembre 2023. Il est toutefois souhaitable d’utiliser l’année 2022 pour prévoir une période d’ajustement qui sera nécessaire à la personne désignée comme « responsable » pour acquérir les connaissances requises à l'accomplissement de son rôle au sein de l'organisation.

Les grandes étapes de l’entrée en vigueur de la Loi 25

2022
 

• Obligation d’exercer la fonction de responsable de la protection des renseignements personnels ou de la déléguer à une autre personne et de publier les coordonnées du responsable.
• Mise en place d’un comité sur l’accès à l’information et la protection des renseignements personnels.
• Principe de responsabilité d’un organisme public.
• Obligation d’aviser la Commission et la personne concernée de tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice et de tenir un registre devant être fourni à la Commission sur demande.
• Nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques, et dans le cadre d’une transaction commerciale.
• Changement à la structure de la Commission d’accès à l’information et octroi de certains pouvoirs
• Lignes directrices de la Commission d’accès à l’information
   

2023
 

• Mandat ou contrat de service d’une entreprise
• Anonymisation des renseignements personnels
• Critères de validité d’un consentement
• Collecte et consentement en lien avec les renseignements personnels d’un mineur
• Consentement exprès lors de certaines utilisations et communication de renseignements personnels sensibles
• Acquisition, développement et refonte de système d’information ou de prestation électronique de services (protection de la vie privée dès la conception)
• Protection par défaut pour les produits ou services technologiques offerts au public disposant de paramètres de confidentialité
• Décision fondée exclusivement sur un traitement automatisé
• Utilisation d’une technologie comprenant des fonctions d’identification, de localisation ou de profilage
   

2024
 

• Adoption et diffusion de règles de gouvernance
• Politique de confidentialité
• Communication dans un processus de deuil
• Devoir d’assistance pour aider un requérant à comprendre sa décision
• Informations à fournir aux personnes dans le cadre d’une collecte
• Collecte en collaboration avec un autre organisme public
• Utilisation des renseignements dépersonnalisés
• Exigence pour une communication conforme à l’article 68 de la Loi sur l’accès
• Exigences pour une communication à l’extérieur du Québec
• Sanctions pénales
   

Référence La ligne du temps

Vous avez des questions?

L’entrée en vigueur progressive de la Loi 25 demande aux organisations d’agir maintenant afin d’être prêtes à intégrer les nouveaux processus assurant leur conformité aux nouvelles obligations. De plus amples renseignements sont disponibles ici.

Si vous avez des questions à propos du déploiement de votre comité de protection des renseignements personnels ou sur la gestion et la conformité de vos données, n’hésitez pas à nous contacter.

Jean-François Dommerc président - associé