Perspective

Comprendre les grands principes de la nouvelle Loi 25 au Québec

30 janvier 2023
Loi 25

Cet article tentera de vulgariser ce que vous devez comprendre de la nouvelle Loi, d'expliquer pourquoi elle s'applique à vos opérations et de définir les mesures à mettre en place afin d'éviter de devoir payer des pénalités qui peuvent s'avérer coûteuses pour votre entreprise.

Mise en garde :

Ce document est une interprétation du texte de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, aussi appelé Loi 25, par Tink. Il ne remplace pas un avis juridique en bonne et due forme.

Les origines de la Loi 25

La Loi 25 au Québec s'inspire du Règlement général sur la protection des données (RGPD) de l'Union européenne, qui a été mis en place en 2016 afin de mieux protéger les données personnelles en encadrant et en établissant des responsabilités auprès des entreprises qui collectent ces données.

Icône case à cocher
22 septembre 2021

L'adoption
de la Loi

 
Icône mesures
22 septembre 2022

La mise en place des premières mesures

 
 
Icône éclair
22 septembre 2023

L'entrée en vigueur des pénalités

 
Icône pouce en l'air
22 septembre 2024

L'application de tous les articles de la Loi

Pourquoi mettre en place une telle loi?

La nouvelle Loi donne davantage de contrôle aux individus, en bonifiant les règles de consentement et en obligeant les entreprises à mettre en place des politiques et des pratiques précises visant à améliorer la protection des renseignements personnels.

Cette Loi modernise l'encadrement applicable à la protection des renseignements personnels dans diverses lois, dont la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé.

Qu'est-ce qu'un renseignement personnel?

Voici la définition officielle de la Commission d'accès à l'information :

Un renseignement personnel représente toute forme de renseignement sur une personne physique et qui permet de l'identifier directement ou indirectement.

Dans le monde du numérique, cette dernière subtilité pourrait être associée à certains outils qui permettent de lier une donnée non personnelle (tel qu'un identifiant unique) à une série de renseignements personnels et, par le fait même, à un individu.

Qu'est-ce qui est inclus dans les renseignements personnels?

La loi canadienne sur la vie privée fournit un peu plus d'information sur ce qui doit être considéré comme une information personnelle.

Cela inclut :

  • Le nom, l'origine ethnique, la religion, l'état matrimonial et le niveau d'instruction;
  • L'adresse électronique, les messages de courriel et l'adresse IP (protocole Internet);
  • L'âge (ou la date de naissance), la taille, le poids, les dossiers médicaux, le groupe sanguin, l'ADN, les empreintes digitales et la signature vocale;
  • Les revenus, les achats, les habitudes de consommation, les renseignements bancaires, les données sur les cartes de crédit ou de débit, les rapports de prêt ou de solvabilité et les déclarations de revenus;
  • Le numéro d'assurance sociale (NAS) ou d'autres numéros d'identification.

Quel est l'impact de la Loi 25 pour les entreprises?

Plusieurs sites web recueillent des données personnelles à propos de leurs visiteurs. Par exemple, lorsqu'un client passe une commande, lorsqu'un candidat postule pour un poste sur votre site ou lors de la création d'un profil sécurisé.

Pour plusieurs entreprises, la collecte d'informations personnelles se fait dans un contexte de communication marketing. Plusieurs entreprises ont mis en place des mécanismes permettant de réunir des informations personnelles de diverses sources afin d'affiner et de personnaliser la communication.

Cependant, les informations réunies sont capturées dans des contextes différents (l'adresse courriel recueillie pour les infolettres est ensuite fusionnée avec l'information d'un profil d'utilisateur) et l'utilisation combinée de ces données n'a pas forcément fait l'objet d'une demande de consentement spécifique (on ne prévient pas l'utilisateur qu'on utilisera son adresse municipale pour créer un nouveau segment dans une liste d'infolettres, par exemple).

La réglementation du consentement

La Loi demande que ce consentement soit acquis, et donc les entreprises devront mettre en place des mécanismes pour aller chercher cette permission.

Obtention du consentement et obligation de transparence

La Loi stipule que seule la collecte « d'informations sensibles » demande un consentement explicite. Il s'agit ici d'un renseignement personnel de type médical, biométrique ou autrement intime ou alors d'une information dont le contexte d'utilisation ou de communication nécessite un haut degré de protection vis-à-vis de la vie privée.

De manière générale, la Loi exige que le consentement soit donné pour l'utilisation de renseignements personnels. La demande de consentement doit se faire de façon simple et facile à comprendre et elle doit être faite pour toute nouvelle utilisation de l'information capturée.

Exceptions et subtilités

La Loi 25 prévoit certaines exceptions à l'obligation de demande de consentement; à titre d'exemple, notons les cas suivants :

  • Lorsque la donnée est utilisée à des fins de recherche et qu'elle est dépersonnalisée;
  • Lorsque les renseignements personnels sont utilisés pour des raisons compatibles aux fins pour lesquelles ils ont été recueillis ou lorsque l'utilisation est manifestement au bénéfice de la personne concernée;
  • Lorsque l'utilisation des renseignements est nécessaire à des fins de prévention et de détection de la fraude ou d'évaluation et d'amélioration des mesures de protection et de sécurité;
  • Lorsque l'utilisation des renseignements est nécessaire à la fourniture ou à la livraison d'un produit ou à la prestation d'un service demandé par la personne concernée.

De plus, l'obtention du consentement dépasse le cadre de la collecte de données quand l'utilisateur entre lui-même ses informations.

À noter que la Loi exige certaines formes de consentement explicite dans des contextes précis.

Lors d'une séance parlementaire, Éric Caire, ministre responsable de l'Accès à l'information et de la Protection des renseignements personnels, a indiqué que celle-ci (la Loi 25) avait pour conséquence d'introduire un consentement explicite (opt-in) pour la collecte de renseignements personnels au moyen de technologies ayant des fonctions d'identification, de localisation ou de profilage.

De plus, la Commission d'accès à l'information, sur son site web, mentionne que :

Ces technologies ne pourront être activées par défaut; ce sera à la personne concernée de les activer si elle le souhaite.

La Loi exige donc que le plus haut niveau de confidentialité soit offert par défaut.

En résumé :

Les entreprises devront non seulement gérer les applications mobiles qui font des suivis des individus, mais elles devront aussi mettre en place, sur leur site web, des outils de gestion du consentement pour les témoins (cookies) afin de s'assurer de répondre aux exigences de la Loi tout en conservant un certain niveau de suivi des comportements sur leur site web (il faut avoir un outil qui « explique » les bienfaits des témoins à l'utilisateur).

Modifications aux politiques sur la vie privée

De manière générale, les entreprises devront faire certaines modifications sur leur site web, tout en s'assurant de mettre en place les activités qu'elles décrivent sur ces politiques.

1 - Obligation de divulguer les échanges avec des tiers

Dans beaucoup d'entreprises, la responsabilité de capturer, de traiter ou d’utiliser la donnée personnelle peut être confiée à un tiers. La Loi 25 oblige les entreprises à révéler le nom des tiers ou la catégorie de tiers avec qui les informations personnelles sont partagées. Ces informations devront se retrouver dans les politiques sur la vie privée.

2 - Obligation de divulguer l’exportation des données hors Québec

Les entreprises doivent informer les utilisateurs de la possibilité que les renseignements soient communiqués à l'extérieur du Québec, que ce soit dans une autre province ou un autre pays. De plus, elles devront s'assurer que les principes de protection des renseignements personnels du régime juridique applicable dans l'État où ces renseignements seraient communiqués seront équivalents à ceux applicables au Québec.

3 - Obligation de désigner un responsable des données personnelles

Depuis le 22 septembre 2022, les entreprises ont le devoir de désigner une personne responsable de la protection des renseignements personnels au sein de l'entreprise. Le titre et les coordonnées de cette personne doivent être publiés sur le site web de l'entreprise.

4 - Obligation de mettre en place un processus de protection de donnée

La Loi vise à éduquer les entreprises et à les responsabiliser en matière de collecte et de stockage de données personnelles. Elle demande donc aux entreprises de mettre sur pied un plan de gouvernance qui décrit leurs différents processus, leurs activités et leurs responsables, ainsi que la façon dont elles assurent la protection des données dans leur environnement.

Des responsables doivent être désignés et un plan de surveillance et de détection d'incident doit être mis en place, et tout incident concernant la confidentialité des informations doit être communiqué à la Commission d'accès à l'information.

L'évaluation des facteurs liés à la vie privée (EFVP)

L'entreprise doit mettre en place un mécanisme de validation avec les partenaires qui utilisent, consomment et manipulent la donnée personnelle afin de se protéger et de démontrer qu'elle a mis en place les mécanismes de sécurité appropriés pour prévenir les incidents potentiels.

L'entreprise doit mener une EFVP avec tous ses partenaires; ils doivent démontrer qu'ils sont à même de protéger la donnée selon les normes gouvernementales.

Pénalités : Que se passe-t-il si vous ne vous conformez pas aux directives de la Loi 25?

La nouvelle Loi introduit des mécanismes afin de lui donner du mordant, des sanctions administratives pécuniaires et de nouvelles infractions pénales ainsi qu'un droit privé d'action (les individus pourront poursuivre les entreprises).

Les entreprises qui ne respectent pas les modalités de la Loi 25 et ses règlements d'application s'exposeront à des pénalités plus lourdes qu'aux termes du régime actuel. Ces pénalités varieront en fonction de la taille de l'entreprise, mais ressembleront généralement à ce qui suit :

  • 20 000 000 $ ou un montant correspondant à 2 % du chiffre d'affaires mondial de l'exercice financier précédent pour les entreprises privées qui omettent d'appliquer la réglementation.
  • 4 % des ventes de l'organisation – ou entre 15 000 $ et 25 000 000 $ – pour les entreprises privées qui ont commis des infractions.
  • En cas de récidive, les amendes prévues à la présente section sont portées au double.

Que faire pour répondre aux exigences de la Loi?

À faire dès que possible

Même si la majorité des pénalités entreront en vigueur en septembre 2023, les entreprises devraient dès maintenant entreprendre des démarches pour assurer leur conformité à la Loi.

  1. Revoir les politiques et pratiques actuelles afin de s'assurer qu'elles répondent aux exigences de la nouvelle Loi.
  2. Revoir les contrats conclus avec les fournisseurs de services afin d'assurer la conformité actuelle et future.
  3. Élaborer de nouvelles procédures en matière de protection des renseignements personnels, dont une qui permettra d'effectuer des EFVP lorsque requis par la Loi.
  4. Implanter des processus afin de permettre aux individus d'exercer leurs nouveaux droits :
    • Le droit à l'oubli
    • Le droit à la portabilité des données
    • Le droit d'être informés d'une décision fondée exclusivement sur un traitement automatisé, lorsqu'applicable
  5. Mettre à jour les politiques de confidentialité afin qu'elles soient conformes au nouveau régime de protection de la vie privée et qu'elles reflètent les nouvelles pratiques de l'entreprise.

Ce qui devrait être fait au 22 septembre 2022

  1. Désigner une personne responsable de la protection des renseignements personnels au sein de l'entreprise. À noter que la Loi désigne par défaut la personne ayant la plus haute autorité (PDG, propriétaire, président) comme responsable (cette fonction peut être déléguée officiellement).
  2. Publier le titre et les coordonnées de cette personne sur le site web de l'entreprise.
  3. Signaler tout incident concernant la confidentialité des informations à la Commission d'accès à l'information au https://www.cai.gouv.qc.ca/.
  4. Mettre en place un processus de gouvernance et d'escalade d'alerte.

Ce qui doit être fait au 22 septembre 2023

C'est la date d'entrée en vigueur des pénalités.

  1. Mettre en place une gouvernance à l'égard des renseignements personnels et de la création de programmes, y compris une politique et une pratique de gouvernance propres à assurer la protection des renseignements personnels et les publier sur le site web de l'entreprise.
  2. Publier sur son site Internet et diffuser par tout moyen approprié une politique de confidentialité rédigée en termes simples et clairs afin qu'elle soit facile à consulter.
  3. Procéder à des EFVP avant d'entreprendre tout projet de système d'information impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels.
  4. Informer les individus des fins de la collecte, des moyens de la collecte, des droits d'accès et de rectification et du droit de retirer leur consentement sur le site web.
  5. Permettre le droit à l'oubli (c'est-à-dire le droit pour un individu de limiter la diffusion publique de ses renseignements personnels, à certaines conditions).
  6. Offrir le plus haut niveau de confidentialité sans intervention de la personne concernée pour les entreprises offrant au public un produit ou un service technologique disposant de paramètres de confidentialité.

Ce qui doit être fait au 22 septembre 2024

  1. Permettre le droit à la portabilité des données (c'est-à-dire le droit à la communication des renseignements personnels dans un format technologique structuré et couramment utilisé).
  2. Permettre le droit d'être informé lorsqu'une décision est fondée exclusivement sur un traitement automatisé des renseignements personnels (c'est-à-dire sans aucune intervention humaine).
  3. Confirmer à quiconque le demande la provenance de ses renseignements personnels et préciser si cette source est une autre personne ou une organisation.

À noter : La Commission d'accès à l'information met à jour régulièrement les normes et des directives pour aider les entreprises à se conformer aux nouvelles obligations. N'hésitez pas à les consulter au https://www.cai.gouv.qc.ca/.

Alain Tremblay
Stratège Numérique atremblay@tink.ca