La Loi 25: votre entreprise est-elle en phase avec ses récentes dispositions?
La protection des renseignements personnels est devenue un enjeu majeur au cours des dernières années. Les nombreuses brèches dans les données informatiques des entreprises ont, en quelque sorte, forcé le gouvernement à agir. La Loi 25 est la dernière mesure législative permettant de mieux faire face à ces nouveaux défis technologiques.
La Loi 25, appelée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est progressivement entrée en vigueur le 22 septembre 2022. Les organismes publics étaient, pour la plupart, déjà conformes à ce texte législatif, et ce, dès son entrée en vigueur. Mais si les plus grandes entreprises privées ont réussi à s’y conformer, grâce à leurs importantes ressources internes, il semblerait que ce soit quelque peu différent pour les PME, celles-ci bénéficiant de ressources financières et humaines plus limitées.
Rappel
À l’entrée en vigueur de la Loi en 2022, les entreprises ont été contraintes à se soumettre à de nouvelles obligations 1. Elles ont tout d’abord dû nommer une personne responsable de la protection des renseignements personnels et à publier son identité. Elles ont également dû se conformer à certaines exigences concernant la gestion des incidents liés à la confidentialité et à respecter un nouvel encadrement relatif à la communication des renseignements personnels à des fins d’étude, de recherche ou de production de statistiques. Au surplus, les entreprises ont aussi dû procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) et ont été tenues de divulguer préalablement à la Commission d’accès à l’information du Québec, toute vérification ou confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques.
Une série de nouvelles obligations a également vu le jour l’année suivante, notamment celle d’établir des politiques et des pratiques concernant la gouvernance des renseignements personnels. À partir de ce moment, les entreprises étaient également tenues de réaliser une évaluation des facteurs relatifs à la vie privée à chaque occasion spécifiée dans la Loi. De nouvelles règles concernant la collecte, la communication et l’utilisation des données ont été établies et les entreprises étaient désormais contraintes de détruire ou d’anonymiser les renseignements une fois que ces derniers avaient accompli les fins pour lesquels on les avait recueillis. Les entreprises ont également été tenues de faire preuve de plus de transparence envers les citoyens et de respecter plusieurs nouvelles règles entourant la communication des renseignements personnels, la collecte d’informations auprès des mineurs et la communication des renseignements personnels facilitant le processus de deuil.
Le saviez-vous?
Le 30 mai dernier, un nouveau règlement, complémentaire à la Loi 25, est entré en vigueur, soit : le Règlement sur l’anonymisation des renseignements personnels 2. Ce règlement, comme son nom l’indique, vient préciser de quelle façon les organismes publics, les entreprises et les ordres professionnels doivent gérer les renseignements personnels qu’ils désirent conserver une fois leur dessein accompli.
Ce règlement définit les critères relatifs à l’anonymisation, incluant la supervision par une personne compétente, le retrait des identifiants directs et l’analyse des risques de réidentification. Il précise également les techniques à utiliser pour s’assurer que les informations anonymisées demeurent non identifiables en tenant compte des avancées technologiques et des facteurs pouvant faciliter la réidentification.
Récemment, en septembre 2024, les toutes dernières dispositions de la Loi 25 concernant la portabilité des renseignements personnels sont finalement entrées en vigueur. Ces dernières obligent les entreprises à faire parvenir, à quiconque en fait la demande, une copie numérique de tous les renseignements le concernant dans un format écrit et compréhensible.
Et ce n’est pas tout : dès le 1er janvier , le Règlement sur l’anonymisation des renseignements personnels exigera la tenue d’un registre contenant tous les détails pertinents du processus d’anonymisation, y compris les techniques utilisées, les fins de l’utilisation des données et les dates des analyses de risques.
Conclusion
En tant que dirigeant d’entreprise, soyez vigilant et assurez-vous d’être au fait de toutes vos obligations découlant de cette nouvelle Loi. La protection des renseignements personnels est devenue un enjeu majeur et le gouvernement est déterminé à sévir : depuis septembre 2023, la Commission d’accès à l’information du Québec a le pouvoir d’engager des poursuites pénales contre toutes entreprises omettant de se conformer à certaines dispositions de la Loi. L’amende minimale est de 15 000 $ pour les entreprises et, en cas de récidive, l’amende est doublée.
N’hésitez pas à contacter Bernier Fournier Avocats : nous serons en mesure de vous accompagner dans la mise en œuvre de stratégies vous permettant de vous conformer à la Loi et vous assurer une protection contre les éventuelles conséquences négatives liées à son non-respect.
Rédigé avec la collaboration de Madame Annie Gauthier-Allard, étudiante en droit.
[1] Commission d’accès à l’information du Québec, Vers la conformité à la Loi sur le privé, en ligne : https://www.cai.gouv.qc.ca/uploads/Actualit%C3%A9s/2023-09-21_DOC-1.pdf
[2] Règlement sur l’anonymisation des renseignements personnels, (2024) D. 783-2024 (G.O. II).https://www.legisquebec.gouv.qc.ca/fr/document/rc/A-2.1,%20r.%200.1