Entrée en vigueur de la phase 1 de la Loi 25
Publié le : 31 août 2022
C’est le 22 septembre prochain qu’entre en vigueur la première des trois phases de la nouvelle Loi 25, apportant des changements importants à la Loi sur la protection des renseignements personnels dans le secteur privé ainsi qu’à la Loi sur l’accès à l’information. Ainsi, toutes les entreprises des secteurs privé et public verront leurs obligations relatives à la vie privée modifiées.
En tant qu’administrateur agréé du secteur privé, comment cela vous touche-t-il?[1]
Il est à peu près certain que, dans votre pratique, vous avez à gérer des renseignements personnels, c’est-à-dire des renseignements permettant d’identifier directement ou indirectement des individus. Il peut s’agir de clients, d’employés, de fournisseurs, de membres, de clients potentiels, etc. Comme vous le savez certainement déjà, ces renseignements doivent être traités et conservés avec le plus grand soin, de leur collecte à leur destruction. En effet, le droit à la vie privée est un droit fondamental qui est prévu à la Charte des droits et libertés de la personne.
Des obligations renforcées
Chaque entreprise aura dorénavant l’obligation de nommer un responsable de la protection des renseignements personnels et de publier ses coordonnées sur son site Internet. Celui-ci doit veiller à l’application de la Loi sur la protection des renseignements personnels dans le secteur privé. Il doit donc non seulement s’assurer que l’entreprise respecte ses nouvelles obligations, mais il doit aussi s’assurer que l’entreprise est prête pour l’entrée en vigueur des phases 2 et 3 de la Loi 25 prévue respectivement les 22 septembre 2023 et 2024.
À défaut de nommer un responsable, cette tâche revient de facto au plus haut dirigeant.
Les entreprises auront de plus l’obligation de mettre en place et de tenir à jour un registre des incidents de confidentialité. Tous les incidents de confidentialité devront y être consignés, quelles que soient les circonstances de l’incident.
Un incident de confidentialité est défini comme l’accès, l’utilisation ou la communication non autorisées de renseignements personnels ou la perte de ceux-ci. Ainsi, une clé USB perdue contenant des renseignements personnels constitue un incident de confidentialité, au même titre que le vol de données par un pirate informatique. Ces deux événements doivent donc tous les deux être consignés à votre registre.
Cette obligation s’accompagne de l’obligation de signaler à la Commission d’accès à l’information tout incident de confidentialité présentant un risque sérieux de préjudice. Afin de déterminer si un incident représente un tel risque, vous devrez vous doter d’un plan de gestion des incidents de confidentialité. Ce plan vous permettra de diminuer les risques, à la fois pour vous, vos clients, vos fournisseurs ou pour toute autre personne dont vous détenez/gérez les renseignements personnels.
Par exemple, si vous avez le projet de commencer à vendre des conférences en ligne, vos clients vous transmettront des renseignements personnels comme leurs noms, coordonnées, et numéros de carte de crédit. Dans le cadre de votre évaluation, il vous faudra vérifier la conformité de votre projet à la Loi sur la protection des renseignements personnels dans le secteur privé, identifier les risques d’atteinte à la vie privée et mettre en place des mécanismes pour réduire ces risques.
Évaluation des facteurs relatifs à la vie privée
Vous devrez procéder à une évaluation des facteurs relatifs à la vie privée dans certaines circonstances, notamment lorsque vous communiquez des renseignements personnels sans le consentement des personnes visées, pour fins d’étude, de recherche ou de statistiques.[2] Il s’agit d’un examen des conséquences de vos actions et de vos projets sur la vie privée des individus sur lesquelles vous détenez des renseignements personnels. La Commission d’accès à l’information a produit un guide d’accompagnement afin de vous aider à faire cette évaluation.
Phases subséquentes en septembre 2023 et 2024
En ce qui concerne la 2e phase de l’entrée en vigueur de la Loi 25, il s’agira de la plus costaude. Prévoyez donc déjà travailler à la rédaction d’une politique complète encadrant la gouvernance à l’égard des renseignements personnels car celle-ci devra être publiée sur votre site Internet le 22 septembre 2023. Cette phase viendra également modifier en profondeur les façons de colliger des renseignements personnels et d’obtenir les consentements à cette collecte, en particulier en ce qui concerne les renseignements sensibles. Il ne sera notamment plus possible d’obtenir des consentements généraux à la collecte ou la transmission de renseignements. Le consentement devra toujours être donné à des fins spécifiques. Cela nécessitera donc que vous revisitez les clauses des différents contrats que vous signez, que ce soit avec des clients, des fournisseurs, des membres, des abonnés, etc.
Finalement, la troisième et dernière phase de l’entrée en vigueur de la loi 25 concernera principalement le droit à la portabilité. C’est-à-dire que tous les renseignements personnels informatisés devront pouvoir être transmis dans des formats technologiques, structurés et couramment utilisés.
Cet article ne contient pas une liste exhaustive des changements à venir, mais tente de brosser un tableau des modifications risquant d’avoir le plus grand impact sur la pratique des administrateurs agréés du secteur privé. Pour toute question sur la façon dont ces dispositions s’appliquent à vous, nous vous invitons à consulter la Commission d’accès à l’information.
[1] Puisque les organisations publiques et parapubliques sont généralement dotées d’équipes juridiques complètes qui veillent à l’intégration de ces mesures, ce texte concerne essentiellement les administrateurs agréés qui exercent à leur compte ou en entreprise.
[2] Dès le 22 septembre 2023, l’obligation de procéder à l’évaluation des facteurs relatifs à la vie privée sera étendue aux cas où :
- vous mettez en branle un projet d’acquisition, de développement ou de refonte de système d’information ou de prestation électronique de services;
- vous souhaitez recueillir des renseignements personnels nécessaires à la mise en œuvre d’un programme pour lequel vous collaborez avec une tierce partie pour la prestation de services ou la réalisation d’une mission commune;
- vous souhaitez communiquer des renseignements personnels à l’extérieur du Québec.