Loi 25, quels impacts pour votre entreprise?

Conçue pour moderniser la réglementation existante au Québec en matière de protection des renseignements personnels, la loi 25 – anciennement projet de loi 64 – entre vigueur le 22 septembre 2022 et implique un certain nombre de mesures à prendre pour les entreprises exploitant des renseignements personnels (autrement dit toute information qui se rapporte à une personne physique et permet de l'identifier).

PROTECTION DES CONSOMMATEURS

Globalement, la loi 25 pousse les organisations à revoir leur approche en matière de collecte d’informations (notamment concernant les données recueillies via leurs sites Internet) Contrairement aux pratiques en place depuis plusieurs années, les consommateurs bénéficieront dorénavant d’un droit « automatique » à la confidentialité, signifiant que tout dispositif de profilage ou d’acquisition automatisée d’information ne pourra plus être exploité sans avoir obtenu au préalable le consentement des personnes ciblées.

En complément, la loi 25 a pour objectif de garantir aux consommateurs les droits suivants :

Droit à la transparence

Il sera de la responsabilité de l’entreprise d’afficher de façon claire et explicite (ex. sur la page Confidentialité de son site Internet) :

• Quelles sont les données collectées
• Par quel moyen (ex. formulaire en ligne)
• Dans quel but (ex. publicité, contact, etc.)
• Préciser si ces données sont transmises – ou susceptibles de l’être – à des organisations tierces, au Québec et/ou en dehors (et les nommer explicitement dans l’un ou l’autre des cas)
• Préciser si ces informations font l’objet de traitements automatisés visant à prendre des décisions (ex. dans le cas d’une demande de crédit en ligne). Plusieurs règles supplémentaires s’appliquent dans ce cas, obligeant les organisations à informer les consommateurs :
  • Lorsqu'une décision est rendue
  • De leur droit d’accès et de correction des renseignements utilisés pour la prise de décision
  • De leur doit d’information sur le processus de décision
  • De leur droit de faire réviser la décision et de soumettre des données complémentaires s’ils souhaitent y faire appel

Dans le cadre de la loi, les consommateurs auront également le droit de demander à une entreprise donnée un certain nombre d’informations en rapport avec les renseignements les concernant (ex. détail des catégories de personnes ayant accès à leurs informations personnelles au sein de l'organisation, durée de conservation des données, procédures pour l’accès et la mise à jour des informations, etc.)

Droit au consentement

Il vise à encadrer encore davantage le processus de demande de consentement à la collecte et à l’exploitation des renseignements personnels. Avec l’entrée en vigueur de la loi, cette démarche devra impérativement se faire auprès des consommateurs de façon :

• Libre et éclairée
• Dans un langage clair et simple
• De manière isolée (autrement dit de façon évidente et non dissimulée)

Selon la nature des renseignements collectés, des règles spécifiques peuvent en plus s’appliquer (ex. dans le cas de renseignements relatifs à des enfants de moins de 14 ans, à des informations dites sensibles ou encore à des données de type biométriques)

Droit à l’effacement

En vigueur à partir du 22 septembre 2023

Il permet à toute personne de demander à une entreprise l’arrêt de l’exploitation des renseignements personnels la concernant.

Droit à la portabilité

En vigueur à partir du 22 septembre 2024

Il permet à toute personne de recevoir une copie des renseignements personnels collectés auprès d’elle par une entreprise donnée.

ÉTAPES & ÉCHÉANCES

Le déploiement de la loi 25 sera progressif jusqu’en 2024 et intègre trois phases – ou échéances – clés dans la mise en conformité des entreprises :

22 SEPTEMBRE 2022

• Désignation d’un responsable de la protection des renseignements personnels. La principale tâche de ce rôle consiste à s’assurer que l’entreprise respecte et mette en œuvre les politiques, mesures et règles exigées par la loi 25. Le nom et les coordonnées de cette personne devront être publiés sur votre site Internet (et potentiellement transmis à la Commission d’accès à l’information du Québec (CAI) selon la nature de vos activités).
• En cas de violation de données personnelles, déclaration obligatoire des incidents à la CAI ainsi qu’aux personnes touchées. Le responsable de la protection des renseignements personnels devra par ailleurs maintenir à jour un registre complet des incidents constatés.
• Déclaration obligatoire des banques de données biométriques à la CAI, dans le cas où votre entreprise utilise – ou est sur le point d’utiliser – des systèmes biométriques.

22 SEPTEMBRE 2023

• Mise en place d’une politique de confidentialité et de protection de la vie privée au sein de votre entreprise – en accord avec les requis de la loi 25 en matière de transparence, notamment en ce qui concerne le traitement et la conservation des données –, et publication de celle-ci sur votre site Internet.
• Adoption d’une procédure d’anonymisation des données, visant à détruire ou à rendre anonymes les renseignements collectés une fois leur but d’utilisation atteint.
• Évaluation des facteurs relatifs à la vie privée (EVFP) – applicable ou non selon l’utilisation que vous faites des données – et mise en place de procédures claires quant au traitement des données personnelles associées.
• Globalement, mise en place et intégration complète des processus de transparence et de consentement dans le fonctionnement de votre organisation, afin de garantir votre pleine conformité avec les nouvelles règles en matière de collecte, d’hébergement et d’exploitation des renseignements personnels. De façon non-exhaustive, cela inclut les incontournables suivants :
  • Désactivation de tout dispositif de collecte de données sur votre site Web sans avoir obtenu au préalable un consentement express des visiteurs (sous forme de pop-up à leur arrivée sur la plateforme par exemple).
  • Mise à jour de vos formulaires en ligne pour vous assurer qu’ils respectent pleinement le droit au consentement exigé par la loi 25.
  • Si votre organisation transfère des informations personnelles à des tiers situés en dehors du Québec - Évaluation des facteurs relatifs à la vie privée (EVFP) pour chacune des juridictions vers lesquelles des données sont transmises.
  • Si votre entreprise à recours à des outils de prise de décision automatisée – Élaboration d’une politique de confidentialité et de protection de la vie privée suffisamment détaillée de façon à expliciter les processus associés, y compris les démarches d'accès aux informations et de recours.
  • Adaptation de vos procédures de collecte et de traitement de l’information dans le cas où vous collectez des renseignements dits sensibles ou relatifs à des enfants de moins de 14 ans.
• Garantie d’un droit à l'effacement (demandes d’usagers pour la suppression de leurs informations personnelles), de son respect et de sa bonne application dans l’exercice de vos activités.

22 SEPTEMBRE 2024

• Assurer aux consommateurs un droit à la portabilité en étant capable de remettre, aux personnes qui en font la demande, une copie numérique de l’ensemble des renseignements personnels les concernant.

Si vous souhaitez être accompagnés dans cette transition sur le plan technologique (adaptation de vos outils Web à la nouvelle réglementation, modernisation de vos processus de collecte et de traitement des informations personnelles, etc.), nous pouvons assurément vous accompagner.

Contactez-nous sans plus tarder pour en savoir plus ou si vous avez la moindre question.