Loi 25 – Nouvelles obligations en septembre 2023

conformite-loi-25-obligations-septembre-2023-quebec
Image élaborée par fabrikasimf sur Freepik

En septembre 2023, la majorité des modifications engendrées par la Loi 25 sur les renseignements personnels au Québec entreront en vigueur. Pour rappel, la Loi 25 est la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, adoptée en septembre 2021. 

Cette loi impose de nouvelles obligations aux organismes publics et organisations privées avec la visée principale de rehausser le niveau de protection des renseignements personnels détenus par ces organisations. L’objectif étant de garantir la confiance des citoyens et consommateurs dans l’usage de leurs données personnelles.

L’entrée en vigueur de la Loi 25 a été progressive, de sorte que les nouvelles obligations qu’elle impose sont échelonnées sur trois années consécutives. La majorité des obligations entrent en vigueur en septembre 2023, mais certaines le sont déjà depuis septembre 2022 et d’autres ne le seront qu’en septembre 2024.

Découvrons ensemble quelles sont les principales obligations des organisations publiques et privées qui entrent en vigueur ce mois-ci : 

Mise en place d'un cadre de gouvernance

Tout d’abord, les organisations ont l’obligation de mettre en œuvre des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier des informations détaillées et claires au sujet de celles-ci, de préférence sur leur site Internet.

Ces politiques et pratiques doivent minimalement prévoir :

  • Des règles applicables à la conservation et à la destruction des renseignements personnels;
  • Les rôles et les responsabilités des membres du personnel, tout au long du cycle de vie des renseignements personnels (page en cours d’actualisation);
  • Un processus de traitement des plaintes relatives à la protection des renseignements personnels.

Obligations de transparence

De nouvelles obligations de transparence incombent aux organisations, telles que celles :

  • de publier les règles encadrant sa gouvernance à l’égard des renseignements personnels
  • de publier une politique de confidentialité rédigée en des termes simples et clairs si vous recueillez par un moyen technologique des renseignements personnels et aviser les personnes concernées de ses mises à jour
  • d’informer la personne concernée lorsqu’elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé
  • d’informer la personne lors du recours à une technologie d’identification, de localisation ou de profilage et des moyens offerts pour activer ou désactiver ces fonctions

Anonymisation et destruction

La Loi 25 prévoie également que les entreprises et les organismes publics pourront, au lieu de détruire des renseignements personnels au terme de l’accomplissement de leur finalité, anonymiser ces renseignements personnels pour les utiliser, mais uniquement à des fins sérieuses et légitimes (pour les entreprises) et à des fins d’intérêt public (pour les organismes publics). 

Toutefois, comme l’a souligné la Commission d’accès à l’information (CAI) récemment : en l’absence de règlement du gouvernement, il n’est pas possible d’anonymiser des renseignements pour les conserver et les utiliser à des fins d’intérêt public ou sérieuses et légitimes. Voyez notre article à ce sujet sur ce lien.

Droit à la desindexation

À compter du 22 septembre 2023, les personnes pourront demander aux entreprises de cesser de diffuser leurs renseignements personnels ou de désindexer tout hyperlien rattaché à leur nom donnant accès à des renseignements si cette diffusion leur cause préjudice ou contrevient à la loi ou à une ordonnance judiciaire (droit à l’effacement ou à l’oubli).

Evaluation des facteurs relatifs à la vie privée

Depuis le 22 septembre 2022, les organisations doivent déjà procéder à une Évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques.

À compter du 22 septembre 2023, les organisations devront notamment mener une ÉFVP :

  • Pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels;
  • Avant de communiquer un renseignement personnel à l’extérieur du Québec.

Dans tous les cas, l’ÉFVP réalisée devra être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

Paramètres de confidentialité par défaut

Les organisations devront désormais s’assurer que, par défaut, les paramètres de confidentialité du produit ou du service technologique offert au public assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée. Cette disposition ne s’appliquera pas aux paramètres de confidentialité d’un témoin de connexion.

Nouvelles obligations en lien avec le consentement

Aussi, dès le mois de septembre, de nouvelles règles encadreront le consentement des personnes à la collecte, à la communication ou à l’utilisation de leurs renseignements personnels. Par exemple :

Il sera désormais officiellement indiqué dans la Loi sur l’accès que les organismes publics doivent s’assurer que le consentement qu’ils obtiennent soit manifeste, libre et éclairé et donné à des fins spécifiques. Ces critères s’appliquent déjà aux entreprises.

  • Tout consentement obtenu par un organisme public ou une entreprise devra être demandé pour chacune de ces fins, en termes simples et clairs ;
  • Lorsque la demande de consentement sera faite par écrit, elle devra être présentée distinctement de toute autre information communiquée à la personne concernée ;
  • Sauf exception, un renseignement personnel ne pourra être utilisé à une autre fin par une organisation, à moins que la personne concernée n’y consente ;
  • Les organisations devront obtenir un consentement formulé de manière expresse avant d’utiliser un renseignement personnel sensible à une fin différente de celle prévue lors de la collecte. 

Finalement, il est important de mentionner que d’importantes sanctions sont à prévoir en cas de non-respect des nouvelles obligations prévues par la Loi 25. En effet, la CAI pourra imposer des sanctions pécuniaires sévères qui seront proportionnelles à la gravité du manquement ainsi qu’à la capacité de payer d’une entreprise.

Facebook
Twitter
LinkedIn
Email

Dernières publications

Obrigado por entrar em contato conosco! Em breve entraremos em contato.

Um erro aconteceu

Usamos apenas suas informações pra entrar em contato contigo e nada mais.