Loi 25 au Québec : votre organisation est-elle bien préparée?

Table des matières :

1. En quoi consiste la Loi 25?
2. Que devez-vous savoir?
3. Pénalités
4. À qui revient la responsabilité de faire appliquer la Loi 25?
5. À quel moment la Loi 25 entre-t-elle en vigueur?
   1. Première année
   2. Deuxième année
   3. Troisième année
6. Quelles sont les incidences de la Loi 25 sur les autres provinces qui font affaire au Québec?
7. Votre organisation est-elle préparée pour ces changements?

En quoi consiste la Loi 25?

La Loi 25 (également appelée la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé) régit la protection des renseignements personnels au Québec et apporte des modifications notables à la législation de la province en la matière. Qualifiée de « loi ayant du mordant » (La Presse Canadienne, 2021, par. 2), elle suit le modèle des exigences européennes en matière de protection des renseignements personnels, comme le Règlement général sur la protection des données (RGPD).

Déposée à l’origine sous le libellé de Projet de loi n^o64, la Loi 25 a été adoptée par l’Assemblée nationale du Québec en septembre 2021 et les nouvelles dispositions sont entrées en vigueur en septembre 2022.

Certaines modifications apportées par la Loi 25 constituent des écarts importants par rapport à la législation canadienne actuelle en la matière. Fait intéressant, un sondage mené en juin 2022 par la Fédération des chambres de commerce du Québec (FCCQ) indiquait que près de 40 % des entreprises ne connaissent pas l’incidence de la Loi sur leurs activités et leurs processus.

Votre entreprise est-elle préparée? Poursuivez votre lecture pour en savoir plus sur les modifications apportées par la Loi 25.

Que devez-vous savoir?

Exigences législatives

Voici quelques-unes des modifications apportées par la Loi 25 qui auront le plus d’incidence sur les organisations :

• L’obligation pour toutes les organisations de désigner un responsable de la protection des renseignements personnels ou de créer un poste équivalent.
• Des mesures précises liées à l’utilisation d’évaluations des facteurs relatifs à la vie privée.
• Des politiques sur la protection des renseignements personnels accessibles au public et des exigences pour les pratiques internes relatives à la protection des données.
• Des avis obligatoires pour signaler les atteintes à la protection des renseignements, ce qui s’accorde avec les exigences fédérales actuelles.
• Une plus grande transparence au sujet du consentement et de la collecte de renseignements personnels.
• La mise en œuvre des principes de confidentialité programmée dans la technologie et les systèmes.
• De nouveaux droits en matière de données pour les personnes dont les renseignements personnels sont recueillis, notamment :
  • le droit à la portabilité des données;
  • le droit à la prise de décision automatisée;
  • les droits liés au profilage de données;
  • le droit à l’oubli (à l’exception des renseignements d’intérêt public).

La Loi 25 impose des exigences uniques relativement aux données biométriques (empreinte vocale, empreintes digitales, ADN, etc.). Les entreprises doivent aviser la Commission d’accès à l’information (CAI) du Québec au moins 60 jours avant la création d’une base de données biométriques.

Vous trouverez ci-dessous plus de détails sur ces modifications et leurs échéanciers.

Pénalités

Les organisations qui ne respectent pas les dispositions de la Loi 25 et ses règlements d’application s’exposeront à des pénalités plus lourdes qu’aux termes du régime actuel. Ces pénalités varient en fonction de la taille de l’entreprise, mais suivent généralement les lignes directrices ci-dessous :

• 10 millions de dollars, ou un montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent, pour les entreprises privées qui omettent d’appliquer la réglementation;
• un montant correspondant à 4 % des ventes de l’organisation — ou se situant entre 15 000 $ et 25 millions de dollars — pour les entreprises privées qui s’exposent à des sanctions pénales;
• deux catégories de pénalités pour les institutions publiques qui ne respectent pas la réglementation :
  • de 3 000 $ à 30 000 $;
  • de 15 000 $ à 150 000 $;
• de 5 000 $ à 100 000 $ pour les infractions commises par une personne physique

La Loi 25 permet à une organisation passible d’une sanction administrative pécuniaire de conclure une entente avec la CAI précisant les mesures qu’elle entend prendre afin de remédier à l’infraction ou d’en atténuer les conséquences.

En vertu de la Loi 25, les citoyens conservent leur droit d’intenter une poursuite civile (y compris une action collective) lorsque leur droit à la confidentialité a été lésé, que ce soit intentionnellement ou à la suite d’une faute lourde. À cet effet, les dommages-intérêts commencent à 1 000 $ par personne (cette pénalité n’existe pas aux termes de la LPRPDE). Les organisations risquent aussi d’être passibles d’amendes aux termes du Code civil du Québec.

À qui revient la responsabilité de faire appliquer la Loi 25?

La CAI du Québec est l’organisme provincial désigné en la matière et à qui il incombe de faire appliquer la Loi 25.

À quel moment la Loi 25 entre-t-elle en vigueur?

La Loi 25 a été adoptée officiellement en septembre 2022. Cependant, elle entrera progressivement en vigueur sur une période de trois ans. Les exigences de la première année (2022) sont déjà en vigueur. Les exigences des deuxième et troisième années entreront en vigueur en septembre 2023 et 2024, respectivement.

Durant cette période, la CAI prévoit recruter des experts en technologie pour soutenir la Loi 25, ainsi que créer et publier des normes et des lignes directrices pour les entreprises. Par exemple, une liste de territoires de compétence ayant un cadre juridique similaire à celui de la Loi 25 devrait être publiée dans la Gazette officielle du Québec pour aider les organisations à connaître leurs obligations de divulgation des renseignements personnels à l’extérieur de la province.

Première année (2022)

Responsable de la protection des renseignements personnels

La Loi 25 exige que les organisations nomment un ou une responsable de la protection des renseignements personnels ou créent une fonction équivalente. Le titre et les coordonnées de cette personne doivent être publiés sur les sites Internet de l’organisation et diffusés par tout moyen approprié, afin que le public puisse les consulter facilement.

La Loi 25 permet également de nommer au poste de responsable de la protection des renseignements personnels toute personne de l’intérieur ou de l’extérieur de l’organisation.

Création d’un comité pour les organismes publics

Les organismes publics doivent créer un comité chargé de surveiller l’accès aux renseignements et la protection des renseignements personnels. Ce comité aidera l’organisation à s’acquitter de ses responsabilités et de ses obligations en vertu de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels du Québec, qui a été modifiée par la Loi 25.

Déclaration obligatoire d’un incident de confidentialité

Les incidents de confidentialité ou toute atteinte aux renseignements personnels qui sont en la possession d’une organisation (accès non autorisé, utilisation ou communication non autorisée, ou perte pouvant causer un préjudice grave) doivent obligatoirement être déclarés à la CAI et aux personnes touchées.

Les organisations doivent tenir un registre des incidents de confidentialité et mettre en évidence les mesures prises pour éviter que de nouveaux incidents de même nature ne se produisent. Les dirigeants d’une organisation s’exposent à des sanctions pécuniaires beaucoup plus importantes s’ils omettent de déclarer un incident de confidentialité ou une atteinte à des renseignements personnels.

Exceptions relatives au consentement

La Loi 25 prévoit deux situations où une organisation peut, durant cette première année, divulguer un renseignement personnel sans devoir obtenir le consentement de la personne concernée :

• lorsque le renseignement personnel est nécessaire pour conclure une transaction commerciale;
• lorsque le renseignement personnel est utilisé à des fins de recherche ou de production de statistiques.

D’autres exceptions à cet égard entreront en vigueur la deuxième année.

Deuxième année (2023)

Politique de confidentialité

Une organisation doit publier sur son site Internet ou diffuser par tout moyen approprié une politique de confidentialité rédigée en termes simples et clairs afin qu’elle puisse être consultée facilement. La Loi 25 exige que cette politique précise :

• l’encadrement applicable à la conservation et à la destruction des renseignements personnels;
• les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements;
• le processus de traitement des plaintes relatives à la protection des renseignements personnels;
• des mesures pour protéger des renseignements personnels.

Gouvernance à l’égard des renseignements personnels et création de programmes

Les organisations doivent établir et mettre en œuvre des politiques propres à assurer la gestion et la protection adéquate des renseignements personnels dans toutes leurs sphères d’activité. Elles devraient en outre créer des programmes exhaustifs visant l’application de ces politiques, de même qu’un plan de mise en œuvre et des outils d’évaluation pour ces programmes.

Ces politiques doivent traiter notamment des éléments suivants :

• les rôles et les responsabilités clairement définis des membres du personnel tout au long du cycle de vie des renseignements personnels;
• le processus de traitement des plaintes relatives à la protection des renseignements personnels;
• l’évaluation des tiers ayant accès aux renseignements personnels et la vérification qu’ils observent les exigences;
• la mise en œuvre de mesures de protection appropriées visant les renseignements personnels;
• les pratiques de conservation et de destruction des renseignements personnels;
• l’établissement d’un cadre de protection des renseignements personnels et de surveillance.

Évaluation des facteurs relatifs à la vie privée

Pour s’assurer que la protection des renseignements personnels est conforme aux exigences de la Loi 25, une évaluation doit être effectuée dans les situations suivantes :

1. au moment de l’acquisition, du développement ou de la refonte d’un système d’information;
2. avant la prestation électronique de services faisant usage de renseignements personnels;
3. avant la communication de tout renseignement personnel à l’extérieur du Québec.

La Loi 25 exige que les évaluations des facteurs relatifs à la vie privée soient proportionnées à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support. De plus, les organisations doivent conclure avec des tiers des conventions écrites stipulant les responsabilités des parties en ce qui a trait à la protection des renseignements personnels.

Fins, collecte et consentement

Les fins pour lesquelles les renseignements personnels sont recueillis doivent être énoncées clairement et bien comprises afin d’assurer la transparence, lors de la collecte et lors de l’envoi de réponses aux particuliers qui font des demandes d’information sur l’objet et les pratiques de collecte de l’organisation.

Lors de la collecte de renseignements personnels :

• un consentement doit être demandé, en termes simples et clairs, pour chacune des fins pour lesquelles les renseignements sont recueillis;
• un consentement écrit doit être obtenu distinctement de toute autre information communiquée à un particulier, ce qui représente une différence importante par rapport aux règles actuelles prévues par la LPRPDE;
• les moyens de collecte doivent être clairement définis;
• les personnes doivent être informées de leur droit d’accéder à leurs renseignements personnels et des façons d’y apporter des modifications;
• leur droit de retirer leur consentement doit être clairement énoncé;
• le nom de tout tiers pour lequel les renseignements sont recueillis doit être clairement indiqué;
• le nom de tout tiers auquel il est nécessaire de communiquer les renseignements aux fins énoncées doit être clairement indiqué;
• la possibilité que les renseignements soient transmis à l’extérieur du Québec doit être clairement signifiée.

À l’instar de la LPRPDE, la Loi 25 exige l’obtention d’un nouveau consentement si les renseignements personnels doivent servir à toute autre fin. Toutefois, contrairement à la LPRPDE, qui exige un consentement implicite, la Loi 25 exige que ce consentement soit donné de façon expresse, dès qu’il s’agit d’un renseignement personnel sensible (renseignement qui, par sa nature ou dans le contexte de son utilisation ou de sa divulgation, exige un degré élevé de protection selon des attentes raisonnables).

Aux termes de la Loi 25, le consentement de tout mineur de moins de 14 ans doit être donné par le titulaire de l’autorité parentale ou un tuteur*.

*Tuteur : Comme le précise le Gouvernement du Québec, une personne peut être désignée à titre de tuteur à la suite du décès des parents d’un enfant mineur ou en raison de leur inaptitude à en prendre soin. Le tuteur doit veiller au bien-être de l’enfant ou gérer son patrimoine.

Exceptions relatives au consentement

La Loi 25 n’exige pas l’obtention d‘un consentement pour l’utilisation de renseignements personnels lorsqu’ils sont de nature commerciale, ce qui comprend le nom, le titre et les fonctions d’une personne, son adresse courriel et numéro de téléphone au travail, ainsi que l’adresse de l’entreprise où elle travaille.

La Loi 25 prévoit qu’une organisation peut utiliser des renseignements personnels à une autre fin sans devoir obtenir le consentement de la personne concernée dans les cas suivants, dont bon nombre ne sont pas traités par la LPRPDE :

• lorsque leur utilisation est à des fins compatibles avec celles pour lesquelles ils ont été recueillis et qu’elle sert la personne concernée;
• lorsque leur utilisation est nécessaire à la prévention ou à la détection d’une fraude, ou à l’évaluation et à l’amélioration de mesures de protection et de sécurité;
• lorsque leur utilisation est nécessaire à la fourniture d’un produit ou à la prestation d’un service demandé.

Les cas où les renseignements personnels sont nécessaires pour s’acquitter d’un mandat ou remplir un contrat de services réalisés par un tiers constituent aussi des exceptions. Cependant, certaines conditions s’appliquent :

• le tiers doit posséder un mandat écrit qui détaille ses responsabilités et les mesures de protection mises en place à l’égard des renseignements personnels;
• une entente écrite doit exiger du tiers qu’il avise le responsable de la protection des renseignements personnels de l’organisation chargée de recueillir les renseignements de toute violation ou tentative de violation de la confidentialité;
• le tiers doit permettre l’audit de ses mesures de protection.

Confidentialité programmée

La Loi 25 exige que les paramètres de confidentialité de toute technologie ou solution technologique utilisée par une organisation doivent être réglés par défaut au niveau le plus strict en ce qui concerne les renseignements personnels. Cette exigence est limitée aux éléments suivants :

• les produits et services offerts au public (par opposition aux technologies internes d’entreprises);
• les produits et services intégrant déjà des paramètres de confidentialité.

Les témoins sont également exclus de cette exigence, puisqu’ils ne comportent pas de paramètres de confidentialité personnalisables.

La Loi 25 exige que toute fonction permettant à une technologie d’identifier, de localiser ou d’effectuer un profilage d’une personne dont elle a recueilli des renseignements personnels doit être désactivée par défaut. L’organisation doit en informer cette personne et lui offrir des moyens d’activer ces fonctions, si possible.

Destruction de renseignements personnels

Il est obligatoire de détruire des renseignements personnels lorsque la finalité de leur collecte a été accomplie. S’il existe une raison légitime de les conserver, l’organisation doit les anonymiser.

Droit à l’oubli

Les organisations doivent accommoder les personnes qui souhaitent se prévaloir de leur droit consistant à faire cesser la diffusion de leurs renseignements personnels, ou de désindexer ou réindexer un hyperlien rattaché à leur nom permettant d’accéder à ce renseignement.

Remarque : Les deux éléments suivants ont été déplacés de la troisième à la deuxième année en vertu de la Loi 25. 

Traitement automatisé des renseignements personnels

Les organisations sont tenues d’informer une personne lorsqu’elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé de ses renseignements personnels. Cet avis doit être transmis au moment de la collecte ou avant le traitement automatisé des renseignements personnels.

En outre, les organisations doivent informer les personnes concernées de la nature des renseignements personnels qui seront utilisés pour prendre la décision, des raisons derrière la décision et de tout autre facteur important ayant mené à la décision.

Les personnes concernées doivent être tenues au courant sur une base régulière de leur droit de rectifier tout renseignement personnel. Elles pourront aussi donner leur avis sur toute décision automatisée prise à partir de leurs renseignements personnels.

Source des renseignements personnels

Les organisations doivent confirmer à chaque personne qui le demande, la provenance de leurs renseignements personnels et préciser si cette source est une autre personne ou organisation.

Troisième année (2024)

Portabilité des données

Les organisations seront tenues de fournir à toute personne qui le demande ses renseignements personnels dans un format technologique structuré et couramment utilisé. Elles devront aussi transmettre ses renseignements personnels à une autre organisation autorisée à les recueillir si cette personne le demande (p. ex., si elle souhaite changer de fournisseur de services).

La Loi 25 limite de deux façons le droit à la portabilité des renseignements :

• elle ne couvre pas les renseignements créés ou dérivés à propos de la personne concernée;
• elle ne s’étend pas aux situations soulevant des difficultés majeures d’ordre pratique.

Quelles sont les incidences de la Loi 25 sur les autres provinces qui font affaire au Québec?

La Loi 25 peut vous toucher, même si votre organisation ne se trouve pas au Québec. Les entreprises qui traitent des renseignements personnels divulgués par des organisations du Québec doivent faire le nécessaire pour que leurs pratiques respectent la Loi 25 et répondre de façon satisfaisante aux évaluations des facteurs relatifs à la vie privée menées par des organisations du Québec.

La Loi 25 et les lois émergentes analogues peuvent aussi accroître le besoin, pour les organisations du Québec et celles menant des activités interprovinciales et nationales, de faire appel à des experts en données et en confidentialité. Certains éléments de la Loi 25 pourraient aussi s’inscrire dans la législation fédérale dans l’avenir.

Votre organisation est-elle préparée pour ces changements?

L’équipe Cybersécurité et protection des données de MNP peut vous prêter main-forte dans l’analyse interne de vos processus et solutions technologiques pour déterminer si vous répondez aux exigences de la Loi 25.

Nos experts peuvent aussi vous épauler dans l’amélioration proactive de vos pratiques relatives à la protection des renseignements et à la gestion des données en prévision de la réglementation future. Nous sommes là pour vous aider à demeurer en règle auprès des autorités de réglementation et de vos parties prenantes, mais aussi à observer les exigences en constante évolution.

Avis de non-responsabilité : Le présent article n’a pas pour objet de fournir des services juridiques ou d’interprétation juridique à nos clients. Une organisation devrait obtenir l’avis d’un conseiller juridique avant de prendre toute décision de cet ordre. Bien qu’il ne fournisse pas de services juridiques, le groupe MNP Solutions numériques propose des services-conseils en en technologies numériques et en cybersécurité et protection des données.