Comprendre la Loi 25 : Une obligation légale pour toutes les entreprises

La Loi 25 va bien au-delà des informations publiées en ligne. Adoptée au Québec, cette loi impose de nouvelles exigences en matière de protection des renseignements personnels. Son entrée en vigueur en septembre 2024, oblige les entreprises à revoir leurs pratiques et à mettre en place des mesures strictes de conformité afin d’éviter des sanctions financières et de protéger leur réputation.

La Loi 25 s’applique à toute personne qui collecte, détient, utilise ou communique à des tiers des renseignements personnels dans le cadre de ses activités commerciales, peu importe la taille de l’entreprise. Que vous soyez travailleur autonome, entreprise, entrepreneur de la construction, coopérative ou encore organisme à but non lucratif, si vous collectez ou utilisez des renseignements personnels via votre activité, vous devez vous conformer à la loi 25. Un aspect souvent méconnu.

Les principales obligations de la Loi 25

Désignation d’un responsable de la protection des renseignements personnels : Chaque entreprise doit désigner une personne en charge de la gestion et de la protection des données personnelles.

Politiques et pratiques encadrant la gouvernance des renseignements personnels : Les entreprises doivent élaborer des politiques de protection des données et les rendre accessibles au public.

Consentement et transparence accrus : La collecte et l’utilisation des renseignements personnels doivent être justifiées, et les individus doivent être clairement informés des fins pour lesquelles leurs données sont utilisées.

Droit à la portabilité et à l’effacement des données : Les citoyens disposent désormais du droit de demander l’accès, la correction ou la suppression de leurs informations personnelles.

Obligation de signaler les incidents de confidentialité : En cas de fuite de données, les entreprises doivent en informer la Commission d’accès à l’information ainsi que les personnes concernées si le préjudice est sérieux.

Régie et appliquée par la Commission d’accès à l’information du Québec, cette loi est renforcée par des pouvoirs étendus donnés à la Commission, qui peut :

Exiger d’une personne, qu’elle soit assujettie ou non à la Loi sur le secteur privé, la production de tout renseignement ou document permettant de vérifier l’application de la Loi ou de ses règlements (art. 81.3).

Ordonner à une personne l’application de toute mesure visant à protéger les droits des personnes concernées lorsqu’un incident de confidentialité est porté à son attention (art. 81.4).

Exiger d’une personne exploitant une entreprise qu’elle lui fournisse toute information relative à la mise en œuvre de la Loi sur le secteur privé (art. 83.1).

Sanctions administratives pécuniaires : Le montant maximal de la sanction administrative pécuniaire prévu par la Loi 25 est de 10 millions de dollars canadiens ou 2 % du chiffre d’affaires mondial de l’entreprise pour l’exercice financier précédent, si ce dernier montant est plus élevé.

Une sanction peut être imposée à quiconque :

• Ne fournit pas aux personnes concernées les informations demandées concernant :
  • La source des renseignements,
  • Les fins pour lesquelles ils sont recueillis,
  • Les moyens utilisés pour les recueillir,
  • Leurs droits d’accès et de rectification,
  • Leur droit de retirer leur consentement à l’utilisation ou la communication des renseignements.
• Recueille, utilise, communique, conserve ou détruit des renseignements personnels en violation de la Loi.
• Ne déclare pas un incident de confidentialité à la Commission ou aux personnes concernées, lorsqu’il y est tenu.
• Ne prend pas les mesures de sécurité appropriées pour garantir la protection des renseignements personnels en fonction de leur sensibilité, de leur utilisation, de leur quantité, de leur distribution et de leur support.
• Ne notifie pas la personne concernée par une décision fondée exclusivement sur un traitement automatisé ou ne lui permet pas de présenter ses observations.
• Si l’organisation est un agent de renseignements personnels (ex. : une organisation qui constitue des dossiers sur autrui et communique des rapports de crédit).
• Les lois applicables permettent l’anonymisation des renseignements personnels comme alternative à leur destruction.
• Avant de communiquer des renseignements personnels à l’extérieur du Québec, une organisation doit procéder à une évaluation des facteurs relatifs à la vie privée.

Outre les sanctions financières, la Loi 25 impose d’autres obligations importantes, telles que :

• Le droit à la désindexation : Les personnes peuvent demander la suppression ou la désindexation de leurs renseignements personnels si cela leur cause un préjudice ou viole la loi.
• La protection des mineurs : La collecte des renseignements personnels des enfants de moins de 14 ans est interdite sans le consentement préalable des parents ou tuteurs.

Ces exemples ne couvrent qu’une partie des nombreuses obligations de la Loi 25, qui touchent aussi des aspects comme la gestion des données personnelles, la sécurité des informations et la transparence envers les individus. La Commission d’accès à l’information du Québec joue un rôle central dans l’application de ces règlements et veille à leur respect, avec des conséquences graves en cas de non-conformité.

Pourquoi se préparer avec l’aide d’experts ?

L’application de la Loi 25 peut s’avérer complexe, et son non-respect peut entraîner des conséquences financières considérables. Faire appel à des experts du droit spécialisés vous permet de :

• Évaluer rapidement votre conformité et identifier les lacunes dans vos pratiques, ce qui vous fait économiser du temps précieux.
• Mettre en place des politiques efficaces pour gérer les renseignements personnels de manière sécuritaire et conforme, accélérant ainsi votre mise en conformité.
• Former vos employés de manière rapide et efficace aux nouvelles obligations, grâce à une équipe maîtrisant les enjeux et actions nécessaires.
• Gérer les incidents de confidentialité de façon proactive et efficace, minimisant les risques et résolvant rapidement toute situation problématique.
• Représenter votre entreprise avec expertise et efficacité devant les autorités compétentes en cas de litige ou d’enquête, en anticipant les démarches à prendre.

Un regard et une gestion proactive des risques liés à la Loi 25

La mise en conformité avec la Loi 25 nécessite une approche proactive afin de prévenir les risques juridiques et financiers. Ne laissez pas votre entreprise exposée à des sanctions sévères. En prenant des mesures maintenant, vous minimisez les risques liés à la protection des renseignements personnels, optimisez vos pratiques et assurez la pérennité de votre organisation.

Aide-mémoire loi 25 du Barreau du Québec :

https://www.barreau.qc.ca/media/deknztxe/aide-memoire-loi-25.pdf

Commission d’accès à l’information : https://www.cai.gouv.qc.ca/protection-renseignements-personnels/sujets-et-domaines-dinteret/principaux-changements-loi-25