La Loi 25… démystifiée
Le moment pour mettre en place les nouvelles dispositions de la loi 25 est arrivé ! Depuis le 22 septembre 2023, toute organisation qui recueille, traite ou communique des renseignements personnels doit s’y conformer faute de quoi elle devra payer une pénalité du 2 % de son chiffre d’affaires.
Pour vous aider à bien intégrer les changements apportés par cette loi[1], nous nous sommes entretenus avec une experte du sujet, Me Liliia Chebab, avocate de La Boîte Légale, un cabinet juridique montérégien, qui s’adresse, entre autres, aux petites et moyennes entreprises de notre région.
L’esprit de la loi 25
L’évolution rapide des technologies de l’information ; la présence grandissante des entreprises sur l’Internet ; l’augmentation accrue des piratages informatiques et des fuites subséquentes de données personnelles ; l’arrivée des GAFAM[2] qui collectent des renseignements personnels pour ensuite les revendre et, en général, la marchandisation des données personnelles ont créé de nouveaux défis pour le gouvernement en ce qui concerne la protection des renseignements personnels des citoyens.
« À un moment donné, les législateurs québécois se sont dit : là, on est face à un enjeu de taille ! Puisqu’on a d’un côté des entreprises qui utilisent des renseignements personnels à des buts lucratifs, et d’un autre côté des citoyens qui ont une vie privée ; un droit constitutionnel prévu dans la Charte canadienne des droits et libertés, il vaut mieux encadrer tous ces échanges, ces collectes, ces utilisations, ces communications des renseignements personnels », a ajouté Me Chebab en faisant référence à la loi préalable sur la protection des renseignements personnels.
Les mots clés de la loi 25
- Responsabilisation : la loi 25 apporte de nouvelles obligations pour les entreprises afin de les responsabiliser face aux citoyens qui ont droit à la protection de leur vie privée.
- Transparence : davantage de transparence pour les citoyens, voilà l’esprit de la loi 25, axée sur la politique de confidentialité et la gouvernance des renseignements personnels. Dans le cadre de cette loi, on ne peut collecter, utiliser et communiquer des renseignements personnels que pour les fins qui sont spécifiées dans notre politique de confidentialité, ce qui permettra aux citoyens de savoir pourquoi on a besoin de leurs données et ce qu’on fera avec elles.
- Gouvernance : de pair avec la responsabilisation des entreprises, il est nécessaire d’instaurer une politique qui encadrera le traitement des renseignements personnels. Il est, d’ailleurs, important d’établir si l’impact de la collecte de renseignements personnels faite par l’entreprise est significatif. S’agit-il, par exemple, des renseignements personnels sensibles (comme des données médicales) qui affectent la vie privée des citoyens (clients de l’entreprise) ? Dans ce sens, il est exigé que des évaluations des facteurs relatifs à la vie privée soient faites par les entreprises concernées.
- Sanctions : si les responsabilités prévues par la loi 25 ne sont pas respectées par les entreprises, cela pourrait donner lieu à des pénalités, notamment financières, appliquées par la Commission d’accès à l’information, l’organe régulateur de cette loi.
À qui s’applique la loi 25 ?
Toutes les entreprises, sans égard à leur taille, doivent respecter la loi 25 tant qu’elles soient établies au Québec. Elle s’applique également aux organismes à but non lucratif (OBNL) de la province. « Quel que soit la taille ou le modèle d’entreprise — société collective, société par actions… —, à partir du moment où l’organisation dispose ou utilise des renseignements personnels, elle a l’obligation de se conformer à la loi 25. N’oublions pas que la collecte de renseignements personnels peut même se faire en lisant un permis de conduire… cela concerne donc presque toutes les entreprises », a précisé l’avocate.
Qu’est-ce qu’un renseignement personnel ?
Au sens de la loi, un renseignement personnel est tout renseignement relatif à une personne physique, soit un citoyen et non une entreprise, et qui permet directement ou indirectement de l’identifier. Par exemple : directement, nom et prénom ; indirectement, numéro de téléphone. Cela concerne alors des données comme l’adresse postale, l’adresse courriel et, au bout du compte, tout ce qui rendrait possible d’établir l’identité d’un individu.
Cycle de vie d’un renseignement personnel
Voici les étapes du cycle de vie d’un renseignement personnel pour chacune desquelles la loi 25 prévoit des obligations :
- Collecte : étape où les renseignements personnels sont collectés, p. ex., via le remplissage d’un formulaire que celui-ci soit physique ou virtuel.
- Utilisation : une fois que les renseignements personnels ont été collectés, comme le nom, le prénom et le numéro de téléphone, ils seront utilisés pour remplir le mandat en question. Parfois, la prestation du service implique de communiquer ces données à un tiers, notamment à un sous-traitant.
- Destruction : lorsqu’ils ne seront plus nécessaires à la prestation du service et que la durée de conservation arrive à échéance, les renseignements personnels seraient éliminés de manière sécuritaire selon des procédés établis.
La loi 25 prévoit-elle des limites aux fins d’utilisation des renseignements personnels ?
La loi 25, qui atteint sa deuxième étape, prévoit que les citoyens soient informés sur la finalité spécifique de la cueillette, de l’utilisation et de la communication de leurs renseignements personnels. Ces fins d’utilisation sont déterminées par l’entreprise pour des besoins comme : l’exécution du contrat, la prestation du service, l’automatisation marketing, des statistiques, la comptabilité.
« Précisons que pour pouvoir recueillir un renseignement personnel, il faut aussi avoir un intérêt sérieux et légitime, ce qui est mentionné dans la loi québécoise et qui nous permet de comprendre que les entreprises ne peuvent pas collecter des renseignements personnels selon leur gré », a affirmé l’associée de La Boîte Légale.
Sur l’Évaluation des facteurs relatifs à la vie privée (ÉFVP)
L’évaluation des facteurs relatifs à la vie privée incluse dans la loi 25 ne s’applique pas nécessairement à toutes les entreprises, elle concerne surtout :
- Celles qui ont un projet de prestation de service électronique impliquant la collecte, l’utilisation, la divulgation, la conservation, ou la destruction des renseignements personnels, comme les entreprises qui font du commerce en ligne ;
- Celles qui ont besoin de communiquer des renseignements personnels à des fins d’études, des recherches ou de production de statistiques ;
Et particulièrement, celles qui communiquent des renseignements personnels à l’extérieur du Québec, une pratique assez fréquente.
« Dans le cas d’un projet de service électronique (p. ex. : installer un système de vidéo de surveillance, faire appel à un algorithme ou à de l’intelligence artificielle, utiliser des empreintes digitales ou de géolocalisation), l’entreprise est obligée de faire une ÉFVP dans le but de regarder tous les impacts de la collecte et de l’utilisation de ces services électroniques. Est-ce que cela entraîne des conséquences positives ou négatives sur le respect de la vie privée des personnes ?[3] »
Les étapes de la loi 25 en bref
Septembre 2022 : on devait avoir nommé le responsable de la protection des renseignements personnels à l’intérieur de l’entreprise et avoir rédigé une politique pour les incidents en confidentialité (savoir ce qu’il faut faire en cas d’incident, comment les prévenir, etc.) ;
Septembre 2023 : si une organisation collecte des données personnelles sur un site Web, il lui faut une politique de confidentialité. En cas contraire, elle doit au moins avoir une politique de gouvernance en matière de protection des renseignements personnels laquelle prévoit la finalité de la collecte, de l’utilisation, et de la communication de ces informations.
Cette politique comprend aussi les différents droits des citoyens, tels que le droit d’accès, le droit de rectification et le droit de suppression ; la description des rôles de chaque membre du personnel de l’entreprise relativement à la protection des renseignements personnels, ainsi que les procédés concernant leur traitement.
2024 : autres droits compris dans la loi 25 seront applicables à l’avenir. Le droit à la portabilité, par exemple, entrera en vigueur l’année prochaine. Ce droit permet à la personne de demander que ses renseignements personnels lui soient fournis sur un format technologique structuré et couramment utilisé (tels un PDF ou un document Word qui pourrait être téléchargé sur l’ordinateur de l’individu).
Formation sur la loi 25
Afin de faciliter la compréhension et l’adoption de la loi 25, les avocates Me Adèle Pilote-Babin et Me Liliia Chebab de La Boîte Légale à Boucherville présentent une formation spécialement conçue pour les petites et moyennes entreprises d’ici.
D’une durée de trois heures, dont une heure pour des questions, cette formation est adaptée en fonction des besoins des entreprises participantes. Elle vous permettra ainsi de bien saisir les nuances de cette législation : quoi faire vis-à-vis d’un incident de confidentialité ? Comment rédiger votre politique de confidentialité ? Quelles sont les implications pour votre entreprise ou votre OBNL concernant le droit à l’oubli ou la désindexation ? Toutes des questions qui pourraient être résolues avec précision par des expertes dans la matière.
Loi 25 : question d’équilibre
La loi 25 vise, en résumé, un équilibre entre les entreprises, qui ont besoin des renseignements personnels pour assurer le développement de leurs activités et bien fonctionner, et les citoyens dont la vie privée, qui se veut précieuse, doit être respectée.
Où trouver des modèles de documents
La Commission d’accès à l’information a prévu un aide-mémoire et des modèles de documents pour le consentement de la collecte et d’utilisation des données personnelles, la déclaration d’incidents de confidentialité et d’autres questions pertinentes en lien avec le sujet. Pour les consulter, rendez-vous sur les liens suivants :
https://www.cai.gouv.qc.ca/documents/CAI_Guide_obligations_entreprises_vf.pdf
https://www.cai.gouv.qc.ca/formulaires-et-lettres-types/pour-les-entreprises-privees/
Remerciements
Le Fonds d’Emprunt Montérégie tient à remercier La Boîte Légale d’avoir accepté de nous éclairer sur la loi 25 pour le plus grand bénéfice de nos membres.
[1] À noter que cet article ne remplace pas une consultation ou un avis juridique d’un avocat.
[2] Acronyme désignant Google, Apple, Facebook, Amazon et Microsoft, les firmes américaines qui dominent le marché du numérique, parfois nommées aussi les Big Five, ou encore « The Five ».
[3] Consultez le guide d’accompagnement publié par la Commission d’accès à l’information pour réaliser une évaluation des facteurs relatifs à la vie privée (document consulté en septembre 2023 et mis à jour le 10 mars 2021) : https://www.cai.gouv.qc.ca/documents/CAI_Guide_EFVP_FR.pdf