Loi 25 : Ce qu’il faut savoir

Temps de lecture : 10 minutes

Les nouveaux dispositifs réglementaires peuvent paraître difficiles à cerner. Plus récemment, la Loi 25 est perçue par de nombreux acteurs culturels comme une montagne insurmontable. Culture Laval a tenté de démystifier les tenants et aboutissants de cette loi afin d’en faciliter sa compréhension et sa mise en application par le milieu culturel lavallois. Cette nouvelle Loi concerne toutes les entités qui collectent des données (probablement vous !) et vous avez jusqu’au 22 septembre pour vous y conformer.

À noter qu’il s’agit d’un article de vulgarisation qui n’a aucune valeur légale.

 

Sommaire

1. Mise en contexte de la Loi 25
2. La Commission d’accès à l’information (CAI), l’organe régulateur
3. Un résumé en 3 principaux points
4. Une entrée en 3 étapes
5. Il y a du bon et des défis…
6. Culture Laval vous supporte dans vos démarches

Boîte à outils

 

1. Mise en contexte de la Loi 25

La loi 25 au Québec, mais que se passe-t’il ailleurs dans le monde ?

Plus alertes aux dérives des géants du Web (GAFAM) sur la collecte et la gestion des données personnelles, plusieurs gouvernements se sont dotés d’un cadre légal pour protéger la vie privée des internautes, par exemple l’Union européenne avec son Règlement général sur la protection des données-RGPD, ou encore l’Australie avec le Privacy Amendement. Le Canada a enchaîné le pas avec la Loi sur la protection des renseignements personnels et les documents électroniques, tout comme les différentes provinces canadiennes dans le cadre de leur propre juridiction.

Dans cette même lignée, le Québec a adopté lors de l’Assemblée nationale du 21 septembre 2021 le Projet de loi 64 devenu Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Cette modernisation du cadre législatif encadre la protection des renseignements personnels, tous secteurs confondus. La Loi 25 modifie par le fait même près d’une vingtaine de lois, particulièrement la Loi sur la protection des renseignements personnels dans le secteur privé. Il est à souligner que la loi québécoise a préséance, à quelques exceptions près, sur la loi canadienne et est plus rigide.

 

L’historique de la Loi 25 (La brigade numérique)

 

2. La Commission d’accès à l’information (CAI), l’organe régulateur

La Commission d’accès à l’information est l’organe régulateur qui veille à l’application de la Loi 25 en recevant et traitant les plaintes et incidents de confidentialité. Elle voit à la conformité des organismes et entreprises, en plus d’assurer la promotion et le respect des droits des citoyens à l’accès aux documents des organismes publics ainsi qu’à la protection de leurs renseignements personnels. La CAI peut exiger des meilleures pratiques de gouvernance et imposer des sanctions de nature administrative pécuniaires qui peuvent atteindre 2 % du chiffre d’affaires. Ces sanctions ne doivent pas être prises à la légère!

3. Un résumé en 3 principaux points

Premier point: Favoriser l’agentivité et la transparence : Permettre aux personnes d’avoir mainmise sur leurs renseignements personnels.

Qu’est-ce qu’un renseignement personnel ?

Un renseignement personnel est défini comme un renseignement ou un ensemble d’informations qui concerne une personne physique et permet de l’identifier, comme l’âge, le revenu, le statut social, les habitudes et préférences de consommation, les commentaires émis sur des tribunes publiques et privées ainsi que les mesures disciplinaires imposées. Un renseignement personnel est considéré comme une donnée sensible lorsqu’elle comporte un fort potentiel préjudiciable.

 

Qu’est-ce qu’une donné sensible ?

En effet, les données personnelles dont la collecte peuvent avoir un effet discriminant et présentent un haut degré d’attente raisonnable en matière de vie privée sont considérées comme des données sensibles. Par exemple, l’appartenance syndicale, l’opinion politique, les croyances, les détails sur la santé physique ou mentale, les données biométriques, les informations financières, les pièces d’identité ainsi que l’appartenance à des communautés issues de la diversité sont des données sensibles. Ces données requièrent un haut degré de protection étant donné leur potentiel de préjudice à l’endroit de la ou les personnes concernées.

 

Connaître le cycle de vie de ses données

Le cycle de vie d’une donnée correspond à l’ensemble des étapes de traitement d’une donnée, du processus de collecte à sa destruction.

https://www.iqualit.com/article/quel-est-le-cycle-de-vie-de-vos-donnees-electroniques/

Lorsque les renseignements personnels atteignent la fin de leur cycle de vie, il est de votre ressort d’assurer leur destruction ou leur anonymisation. Le processus d’anonymisation des données doit se faire de manière sécurisée pour que ces dernières ne soient pas réidentifiables.

Avant de recueillir une donnée, posons-nous donc la question : À quoi servira-t-elle? Y a-t-il des risques de préjudice pour la ou les personnes concernées en cas de fuite? Peut-on collecter ces informations différemment? Afin d’atténuer la sensibilité de vos données, vous pourriez, par exemple, collecter l’information sur la tranche d’âge d’une personne au lieu de son âge exact.

 

Deuxième point: Donner l’accès à ses données personnelles à la demande.

Ensuite, si un utilisateur ou une utilisatrice demande l’accès aux renseignements personnels recueillis à son sujet, l’organisation ou la personne morale qui les collecte a l’obligation de les lui fournir dans un format accessible et ouvert. Dans de rares cas, vous pouvez refuser cet accès à la personne demanderesse en spécifiant le motif valable prévu par la Loi, en plus de lui justifier et expliquer ce refus en vous assurant qu’elle soit en mesure de le comprendre.

 

Le Droit à l’oubli et à la portabilité

Dès septembre 2023, vous devrez accorder le droit à l’oubli à toute personne qui en fait la demande, c’est-à-dire procéder à la désindexation et la suppression des données recueillies à son sujet, et ce, dans un délai raisonnable. Vous devrez aussi assurer la portabilité des données; vous devrez alors transmettre toutes les données que vous possédez sur la personne demanderesse à l’entité de son choix dans un format accessible. Bien que ce dernier requis ne soient pas obligatoires au moment de la publication de cet article, ils impliquent un processus complexe et nous vous recommandons de vous y pencher plus tôt que tard.

 

Troisième point: Développer de saines pratiques de gouvernance et un meilleur sens des responsabilités.

Désigner une personne responsable

Par ailleurs, chaque entité légale doit désigner une personne responsable en matière de protection des renseignements personnels. Par défaut, cette personne est celle qui y occupe le plus haut poste (p. ex. le président ou la présidente du conseil d’administration dans le cas d’un OBNL). Toutefois, ce mandat peut être délégué, avec preuve écrite (p. ex. résolution du conseil d’administration), à une autre personne au sein de l’organisation ou à un tiers externe.

Dans tous les cas, la personne responsable doit réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour « […] tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (art. 3.3) ». L’information de contact de la personne responsable des renseignements personnels doit également être ajoutée au site Web et autres plateformes numériques de promotion (le cas échéant).

 

Comment faire une évaluation des facteurs relatifs à la vie privée ?

L’évaluation des facteurs relatifs à la vie privée est un processus préventif permettant une meilleure gestion des risques liés à la collecte, la gestion et l’utilisation des renseignements tout au long de leur cycle de vie. Ce document devrait préciser :

  • Les types des données collectées;
  • Les personnes (à l’interne et l’externe) qui ont accès aux informations et les plateformes numériques (ou comptes) impliquées;
  • La durée du cycle de vie des données recueillies;
  • Une description du potentiel des impacts en cas de fuite qui énonce :
    • Les risques de préjudice sérieux;
    • La probabilité de chaque risque (1-Très peu probable, 2- Peu Probable, 3-Probable, 4-Grandement probable);
  • La méthode utilisée pour obtenir le consentement.

 

Quoi faire en cas d’ incident de sécurité?

La personne responsable doit aussi tenir à jour un registre des incidents. Dès qu’un incident de sécurité survient, il doit y être documenté. Si cet incident peut causer un préjudice pour la ou les personnes concernées, vous devez les en avertir aussitôt et signaler l’incident auprès de la Commission d’accès à l’information (CAI).

On entend par incident de sécurité toute forme de communication, d’utilisation ou d’accès non-autorisés à des renseignements personnels, leur vol ou leur perte (p. ex. perte d’une clé USB non-encryptée, envoi de courriels contenant des informations sensibles à d’autres destinataires que ceux prévus, vol d’un appareil électronique, etc.).

Nous vous conseillons de conserver votre registre des incidents pour une durée minimale de 5 ans. Celui-ci devrait consigner les informations suivantes :

  • Une description de l’incident;
  • La date ou la période visée par l’incident;
  • Une description des renseignements personnels visés;
  • Le nombre de personnes concernées et, parmi celles-ci, le nombre de personnes qui résident au Québec;
  • Les mesures prises pour corriger l’incident et celles visant à éviter que de nouveaux incidents de même nature ne se produisent, de même que la date ou la période où les mesures ont été prises ou le délai d’exécution envisagé;
  • Les mesures prises pour aviser les personnes concernées, de même que la date où les personnes ont été avisées ou le délai d’exécution envisagé;
  • La date lors ou période au cours de laquelle l’organisation a pris connaissance de l’incident;
  • Une description des éléments qui amènent à conclure qu’il y a bel et bien un risque de préjudice sérieux;
  • Si d’autres organismes de protection de la vie privée ont été avisés de l’incident.

 

Si vous signalez l’incident à la CAI, vous devrez également fournir :

  • Le nom de l’organisation et, le cas échéant, le numéro d’entreprise du Québec qui lui est attribué en vertu de la Loi sur la publicité légale des entreprises;
  • Les coordonnées de la personne-ressource de l’organisation.

 

Vous devriez également transmettre aux personnes concernées par l’incident les informations suivantes :

  • Une description de l’incident;
  • La date ou la période visée par l’incident;
  • Une description des renseignements personnels visés;
  • Une description des mesures prises pour corriger l’incident;
  • Une description des mesures à mettre en place pour diminuer ou atténuer les risques de préjudice;
  • Les coordonnées du responsable des renseignements personnels pour se renseigner davantage.

 

Comment favoriser un consentement juste et éclairé ?

Se conformer à la Loi 25 est une occasion privilégiée de développer une relation basée sur le respect et le consentement avec votre clientèle, vos membres, vos employés et vos partenaires. L’accès, la collecte et le partage des données devraient toujours impliquer le consentement des personnes concernées. Le développement d’une politique de gouvernance des données et l’établissement de conditions d’utilisation claires, faciles à comprendre et accessibles sur votre site Internet (le cas échéant) sont définitivement des solutions à préconiser.

Vous devez également gérer le consentement des utilisateurs de votre site Web en amont. Pour bénéficier de vos services et accéder à votre site Web, tous les utilisateurs doivent formellement consentir à votre politique de confidentialité, qui est un outil obligatoire au regard de la Loi 25. Cette politique doit spécifier l’ensemble des conditions d’utilisation du site Web, en plus des données et renseignements personnels qui seront collectés ainsi que leur utilisation prévue.

 

4. Une entrée en 3 étapes

5. Il y a du bon et des défis…

En effet, l’adaptation à ce nouveau cadre réglementaire nécessite du temps et des efforts considérables. Tout projet de conformisation est susceptible d’être ponctué de nombreux défis sur les plans de la main-d’œuvre, des connaissances et des ressources matérielles et financières. Selon une étude portant sur le niveau de préparation des PME à la Loi 25 (Congrès Afcas, 2023), très peu d’entreprises se sentent prêtes à faire face aux nouvelles exigences. Malgré tout, des outils peuvent vous aider à y parvenir plus aisément. (Boîte à outils)

En plus de vous éviter des sanctions, une adaptation active face à la Loi 25 comporte des bienfaits importants. D’un point de vue organisationnel, il s’agit d’une opportunité inégalée de développer vos compétences en archivage et en cybersécurité ainsi que de concevoir une stratégie étoffée pour la collecte des données. De plus, il s’agit d’un moment idéal pour réfléchir à vos pratiques internes. Est-il nécessaire que vous utilisiez autant de plateformes? Contrôlez-vous et restreignez-vous suffisamment les accès de vos employés aux renseignements personnels? Est-ce que toutes les informations que vous collectez vous sont réellement utiles et nécessaires?

D’un point de vue de relation client, votre conformité à la Loi 25 vous permettra de créer une dynamique d’ouverture et de bienveillance. Faire preuve de transparence avec ses membres, ses partenaires ou ses clients favorise une relation de confiance et vous permet d’améliorer votre rapport avec ceux et celles qui bénéficient de vos services ou soutiennent votre mission.

 

6. Culture Laval vous supporte dans vos démarches

Vous avez des questions particulières sur la Loi 25? N’hésitez pas à écrire à votre agente de développement numérique, Chanel Vincent-Dubé, à l’adresse adn@culturelaval.ca ou à prendre rendez-vous avec elle.

Vous avez manqué la formation du printemps Loi 25 : Par où commencer? Pas de panique, Culture Laval s’active à concocter une série de séances de travail pour vous aider dans vos démarches. Les dates seront dévoilées sous peu.

 

Boîte à outils

Politique de confidentialité de Culture Laval

Guide de bonnes pratiques concernant la création de politiques de confidentialité dans le secteur de la culture.

Gabarit pour l’Inventaire des renseignements personnels de Culture Laval

Comment faire une déclaration relative à la vie privée: Guide d’accompagnement Réaliser une évaluation des facteurs relatifs à la vie privée

Gabarit pour le Registre des incidents de Culture Laval

Quand faire une déclaration d’incident 

[maxbutton id= »38″ url= »https://culturelaval.ca/rubrique-numerique/ » ]

 

Sources

Brigade Numérique (n.d.). Cybersécurité et Loi 25. Consulté le 17 juillet 2023. https://www.brigade-numerique.ca/cybersecurite-et-loi-25

Commission d’accès à l’information du Québec (n.d.). Guide des obligations des entreprises en matière de protection des renseignements personnels. Consulté le 17 juillet 2023. https://www.cai.gouv.qc.ca/documents/CAI_Guide_obligations_entreprises_vf.pdf

Commission d’accès à l’information du Québec (n.d.). Entreprises. Consulté le 17 juillet 2023. https://www.cai.gouv.qc.ca/entreprises/

Denault Landreville, O., Chamberland-Tremblay, D., & Ghislaine-Guillemette, M. (n.d.). Niveau de préparation des PME à la Loi 25. Dans Congrès de l’ACFAS. Consulté le 17 juillet 2023. https://www.acfas.ca/evenements/congres/90/contribution/niveau-preparation-pme-loi-25

Dialog Insight (n.d) Présentation Loi 25 : Impacts, enjeux et solutions. Consulté le 17 juillet 2023. https://www.youtube.com/watch?v=_97ksMVZeDk

Droit-inc (n.d.). Modifications aux lois sur la protection des renseignements personnels. Consulté le 17 juillet 2023. https://www.droit-inc.com/article48131-Modifications-aux-lois-sur-la-protection-des-renseignements-personnels

Gouvernement du Québec (n.d.). Loi 25 : Nouvelles dispositions protégeant la vie privée des Québécois – Certaines dispositions entrent en vigueur aujourd’hui. Consulté le 17 juillet 2023. https://www.quebec.ca/nouvelles/actualites/details/loi-25-nouvelles-dispositions-protegeant-la-vie-privee-des-quebecois-certaines-dispositions-entrent-en-vigueur-aujourdhui-43212

Gouvernement du Québec (n.d.). Guide d’accompagnement – Réaliser une évaluation des facteurs relatifs à la vie privée. Consulté le 17 juillet 2023. https://www.gouv.qc.ca/protectiondonnees/guide-evaluation-facteurs-vie-privee/

Gouvernement du Québec (n.d.). Schéma d’intervention en cas d’incident de confidentialité des renseignements personnels. Consulté le 17 juillet 2023. https://cdn-contenu.quebec.ca/cdn-contenu/adm/min/conseil-executif/publications-adm/sairid/schema-incident-confidentialite-renseignement-personnel.pdf

Newswire (n.d.). Loi 25 : nouvelles dispositions protégeant la vie privée des Québécois – Certaines dispositions entrent en vigueur aujourd’hui. Consulté le 17 juillet 2023. https://www.newswire.ca/fr/news-releases/loi-25-nouvelles-dispositions-protegeant-la-vie-privee-des-quebecois-certaines-dispositions-entrent-en-vigueur-aujourd-hui-850231083.html

Office of the Privacy Commissioner of Canada (n.d.). La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) – Survol. Consulté le 17 juillet 2023. https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/la-loi-sur-la-protection-des-renseignements-personnels-et-les-documents-electroniques-lprpde/lprpde_survol/

Synapse C (2021). Guide de bonnes pratiques – Politique de confidentialité (Laboratoire de cyberjustice – IVADOA). Consulté le 17 juillet 2023. https://synapsec.ca/wp-content/uploads/2021/08/Guide-de-bonnes-pratiques_Politique-de-confidentialite_Laboratoire-de-cyberjustice_IVADOA_SYNAPSE-C.pdf