Loi 25 au Québec : quoi faire?

L’année 2021 passera à l’histoire comme l’année de la transformation numérique. La pandémie actuelle de Covid-19 a mené à des niveaux sans précédent d’innovations technologiques et de numérisation, modifiant complètement notre façon de vivre et de travailler.

 

La protection des renseignements personnels et de la vie privée

Avec la numérisation croissante, la collecte de données et la quantité de données collectées ont également augmenté de façon exponentielle et devraient enregistrer un taux de croissance annuel de 18 % entre 2021 et 2025.

De ce fait, les entreprises sont de plus en plus sensibilisées à l’utilisation des données personnelles et au respect de la vie privée. En réponse à cette préoccupation, le gouvernement du Québec a adopté la Loi 25 (anciennement connue sous le nom de projet de loi 64), qui vise à moderniser divers aspects de la législation québécoise en matière de collecte et de protection des renseignements personnels.

Le paysage législatif québécois en matière de protection des données est sur le point de connaître une importante réforme, qui aura une incidence sur toutes les organisations qui interagissent avec des clients basés au Québec (quel que soit leur lieu de résidence).

C’est pourquoi il est essentiel que les entreprises comprennent les changements fondamentaux introduits par la Loi 25, les sanctions qui y sont associées et les principales lignes directrices pour agir en toute conformité.

 

Qu’est-ce que la Loi 25? Voici un résumé de cette législation qui protège les données personnelles.

La Loi 25, officiellement connue sous le nom de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, propose des exigences plus strictes en matière de protection des renseignements personnels, y compris des exigences accrues en matière de protection, de transparence et de consentement explicite pour les organisations québécoises.

Cette loi a été sanctionnée le 22 septembre 2021 à l’Assemblée nationale du Québec, soit 14 mois après sa présentation initiale. Elle met à jour et modernise le cadre juridique existant relatif aux droits des individus en matière d’accès à l’information et de protection des renseignements personnels et harmonise également les lois québécoises avec celles d’autres juridictions.

En fait, bon nombre des modifications proposées avec la Loi 25 ont été influencées par d’autres lois mondiales sur la protection des renseignements personnels, comme le Règlement général sur la protection des données (RGPD) de l’Union européenne.

En 2022, les entreprises qui font des affaires au Québec ont entamé une course contre la montre afin de comprendre les exigences introduites par la Loi 25 et de les mettre en œuvre.

 

Comment se conformer à la Loi 25? À quel moment entre-t-elle en vigueur? Qui est soumis à la Loi 25? Voici un résumé des nouvelles obligations et les dates importantes.

La Loi 25 apporte des modifications importantes aux lois québécoises sur la protection des renseignements personnels dans le secteur privé et le secteur public.

Bien que la Loi 25 ait été officiellement adoptée, elle sera progressivement mise en place au cours des trois prochaines années. La première étape entre en vigueur 12 mois après la date de la sanction.

La Loi 25 sera appliquée par la Commission d’accès à l’information (CAI) du Québec. Voici un aperçu des trois phases.

Année 1 | Les dispositions de la Loi 25 qui entreront en vigueur en 2022 comprennent :

  • Les organisations doivent procéder à la désignation d’une personne qui agira à titre de responsable de la protection des renseignements personnels qui sera chargée de la conformité à la loi.
  • Les organisations sont tenues d’informer la Commission d’accès à l’information en cas de violation des données. Les individus touchés par toute utilisation non autorisée de renseignements personnels doivent également être informés.

Année 2 | Les dispositions de la Loi 25 qui entreront en vigueur en septembre 2023 comprennent :

  • L’obligation pour chaque entreprise d’établir et de mettre en œuvre des politiques et des pratiques concernant la gouvernance des données.
  • Les organisations doivent effectuer des évaluations des facteurs relatifs à la vie privée (ÉFVP) pour les opérations de traitement qui nécessitent la collecte, la divulgation, l’utilisation ou la destruction de données personnelles.
  • Le droit pour les individus de demander aux organisations de cesser de diffuser leurs renseignements personnels et de désindexer tout hyperlien associé à leur nom (droit à l’oubli).
  • L’obligation pour les organisations de détruire les renseignements personnels une fois que l’objectif pour lequel ils ont été recueillis est atteint ou lorsque la durée de conservation requise est atteinte.
  • Les organisations qui transfèrent des données à des tiers doivent conclure un accord écrit avec ces derniers. L’autre partie doit fournir une description des mesures prises pour préserver la confidentialité des données.
  • Les organisations doivent obtenir un consentement explicite pour utiliser les renseignements de nature délicate des clients à des fins secondaires.
  • Lors de la collecte de données personnelles, les organisations doivent fournir les renseignements suivants : l’objectif de la collecte, les méthodes utilisées pour la collecte, les droits d’accès et de rectification ainsi que le droit de retirer le consentement.

Les organisations doivent rédiger ces modifications dans un langage clair et simple et les documenter.

Année 3 | Les dispositions de la Loi 25 qui entreront en vigueur en 2024 comprennent :

  • La portabilité des données — Une personne peut demander que les renseignements personnels recueillis à son sujet lui soient communiqués ou soient communiqués à une autre entreprise dans un format déterminé.
  • Le traitement automatisé — Obligation pour les organisations d’informer les personnes lorsque leurs renseignements personnels sont utilisés pour prendre des décisions fondées sur le traitement automatisé de ces renseignements. À la demande de la personne, les entreprises doivent lui indiquer les données précises utilisées et les principaux facteurs qui ont conduit à ces décisions.
  • La source de l’information — Si une personne le demande, les organisations doivent fournir la source utilisée dans le cadre de la collecte de ces données.

Les sanctions de la Commission d’accès à l’information (CAI) pour non-conformité

La Commission d’accès à l’information du Québec aura le pouvoir d’imposer des sanctions pour les raisons suivantes :

  • Le non-respect de l’obligation de signaler une violation de données;
  • Le non-respect de la protection des renseignements personnels;
  • La collecte, l’utilisation ou la diffusion illicite de renseignements;
  • Le non-respect de l’obligation d’informer les personnes.

Les amendes maximales sont de 50 000 $ CA pour les particuliers et de 10 000 000 $ CA pour les entreprises, ou de 2 % du chiffre d’affaires à l’échelle mondiale pour l’année précédente, le montant le plus élevé étant retenu.

Selon la nature du délit, la Commission d’accès à l’information aura le pouvoir d’engager des poursuites pénales avec une amende maximale de 10 000 $ CA pour les personnes physiques et de 25 000 000 $ CA ou 4 % du chiffre d’affaires à l’échelle mondiale pour les sociétés.

En cas de récidive, les sanctions seront doublées.

La Loi 25 prévoit également un droit d’action pour les citoyens qui ont subi des dommages en raison d’une atteinte à la vie privée. Dans de tels cas, le tribunal pourra accorder des dommages et intérêts pour un montant minimum de 1 000 $ CA par personne.

 

Demandez une présentation de nos produits dès maintenant!

Pourquoi la Loi 25 est-elle importante et pourquoi s’y conformer?

Cette législation représente un changement d’étape pour la façon dont les organisations québécoises procèdent à la collecte et à la gestion des données personnelles. Inspiré par le RGPD de l’Union européenne, la Loi 25 propose une protection maximale des données en introduisant de nouvelles normes en matière de droit à la protection des renseignements personnels et en établissant des normes qui dépasseront bientôt les frontières de la province.

Voici quelques-unes des dispositions de la Loi 25 qui auront probablement une forte incidence sur les organisations opérant au Québec et au-delà des frontières :

  • De lourdes sanctions en cas de non-conformité.
  • Des exigences plus strictes en matière de protection des renseignements personnels. Cela comprend, entre autres, des ÉFVP obligatoires, une évaluation pour la communication de données personnelles au-delà du Québec, et un consentement explicite écrit pour transférer les données d’une personne à des fournisseurs de services ou à des tiers.

Que vous soyez au Québec ou à l’extérieur du Québec, la Loi 25 vous touchera d’une façon ou d’une autre. N’oubliez pas que toutes les organisations qui traitent des renseignements personnels provenant de sources québécoises doivent s’assurer que leurs pratiques sont conformes à la Loi 25.

 

Votre entreprise ou votre OBNL est-elle prête pour ces nouvelles modifications en matière de cybersécurité?

Pour demeurer pertinent et compétitif et pour éviter les pénalités, vous devrez vous préparer rapidement à ces nouvelles modifications. Cela dit, voici quelques mesures que vous pouvez prendre avant qu’il ne soit trop tard.

1. Tout d’abord, essayez de trouver des gains rapides.

Par exemple, si le marketing par courriel et l’automatisation du marketing sont des stratégies importantes pour votre entreprise, envisagez la plateforme d’engagement client de Symplify. Notre solution, pourvue d’outils technologiques à la fine pointe, a été conçue en tenant compte de la confidentialité des données. Nous sommes déjà conformes au RGPD et notre plateforme satisfait aux exigences de la Loi 25.

2. Ensuite, préparez-vous dès maintenant!

Travaillez avec toutes les parties prenantes (vos équipes de sécurité, votre comité de protection des renseignements personnels, votre équipe de conformité ou la personne chargée de la protection des renseignements personnels au sein de votre entreprise) afin d’élaborer des politiques qui garantiront une conformité totale avec les exigences ci-dessus.

3. Enfin, restez connecté avec Symplify.

Nos experts basés au Québec continueront à vous informer des meilleures pratiques et à vous donner des conseils pour vous aider à faciliter la transition avec la Loi 25.

Vos acteurs clés doivent comprendre le contexte de cette nouvelle législation, son incidence sur votre entreprise et les sanctions prévues en cas de non-conformité. Vous devez impérativement vous préparer dès maintenant afin de vous éviter de nombreux problèmes par la suite.

Contactez-nous! Il nous fera plaisir de vous conseiller et de vous accompagner dans ces importants changements.