Loi 25 au Québec : Votre entreprise est-elle conforme?

Depuis le 22 septembre 2022, les organisations établies au Québec et celles qui font affaire avec des personnes vivant au Québec doivent se conformer à la Loi 25. Cette loi régit la protection des renseignements personnels dans la province.

Qu’est-ce que la Loi 25 sur la protection des renseignements personnels dans le secteur privé?

Aussi appelée la Loi 25, la Loi sur la protection des renseignements personnels dans le secteur privé renforce et encadre de manière plus stricte la façon dont sont gérés les renseignements personnels depuis leur collecte, en passant par leur utilisation, leur communication, leur conservation jusqu’à leur destruction. Différentes dispositions sont prévues à la loi, notamment l’obligation d’encadrer la gestion des renseignements personnels par le biais de politiques et de procédures, de publier des informations détaillées au sujet de celles-ci et de s’assurer d’obtenir un consentement éclairé lors de la collecte de renseignements personnels et pour l’usage qui sera fait de ces renseignements personnels.

Si votre entreprise conserve des renseignements personnels à l’extérieur du Québec ou si vous désirez modifier votre système d’information dans lequel ils sont conservés, il est de votre devoir d’évaluer les facteurs relatifs à la vie privée : identifier les risques et s’assurer d’avoir les bons contrôles en place pour le tout soit géré en conformité avec la loi.

Les entreprises doivent répondre aux exigences législatives qui sont en vigueur depuis 2022 et 2023 et dont les dernières mesures doivent être déployées pour septembre 2024. Voici certaines mesures que votre entreprise devrait déjà avoir en place :

• Désigner un responsable de la protection des renseignements personnels ou créer un poste équivalent.
• Définir des mesures précises liées à l’utilisation d’évaluations des facteurs relatifs à la vie privée.
• Formaliser des politiques sur la protection des renseignements personnels et des exigences pour les méthodes internes relatives à la protection des données.
• Offrir un encadrement en ce qui concerne le signalement d’incident de confidentialité impliquant des renseignements personnels.
• Assurer une plus grande transparence au sujet du consentement et de la collecte de renseignements personnels.
• Mettre en œuvre des principes de confidentialité programmée dans la technologie et les systèmes.

Les organisations qui ne respectent pas les dispositions de la Loi 25 et ses règlements d’application s’exposent à des pénalités qui peuvent aller jusqu’à 25M$ ou 4 % du chiffre d’affaires mondial.

Qu’est-ce qu’un renseignement personnel?

L’article 2 de la Loi définit un renseignement personnel comme : « Tout renseignement qui concerne une personne physique et permet de l’identifier directement ou indirectement. »

À qui s’adresse cette loi?

Toute entreprise qui gère des renseignements personnels. Il n’y a pas d’exception quant à la taille de l’entreprise ou à leur secteur d’activité. 

Quelles sont les bonnes pratiques à adopter dans le cadre de cette loi?

Dresser l’inventaire des renseignements personnels : Une fois que vous avez brossé un portrait exhaustif des renseignements personnels que vous détenez et que vous utilisez, vérifiez si ces renseignements sont effectivement utiles et pertinents à vos opérations. Si la réponse est non, évaluer la possibilité de cesser de les obtenir, et celle de les détruire. Plus vous avez de renseignements personnels, plus vous êtes à risque.

L’accès aux renseignements personnels : Les renseignements personnels que vous détenez sont-ils bien protégés? Après avoir dressé votre inventaire, posez-vous la question suivante : est-ce que la sécurité physique ou électronique entourant les renseignements personnels gérés est adéquate? Il peut s’agir de sécurité physique (filière, bureau, etc.) ou de contrôles de gestion des accès à un système TI.

Culture d’entreprise : La formation de vos employés est essentielle. Vous devez les sensibiliser à différents aspects de la loi afin qu’ils soient, notamment, en mesure d’identifier ce qu’est un renseignement personnel et un incident de confidentialité.

• Exemple d’incident nº 1 : Un CV est reçu à la réception de votre entreprise et accidentellement, il est jeté au recyclage plutôt que dans la poubelle pour documents confidentiels. Sur le CV, il y a des renseignements personnels, soient un numéro de téléphone, une adresse postale et une adresse courriel personnelle.
• Exemple d’incident nº 2 : Un de vos employés envoie, au mauvais destinataire, un courriel avec en pièce jointe un fichier comprenant les noms de quelques personnes et leurs numéros de téléphone personnels.
  • Astuce : ajouter un mot de passe sur la pièce jointe et envoyer le mot passe dans une communication différente.

De quelle façon MNP peut-il vous aider?

Notre équipe dévouée peut vous accompagner en vous offrant des conseils de façon ad hoc ou un accompagnement personnalisé. Ainsi, MNP peut :

• Analyser votre situation et vous fournir une feuille de route détaillée qui présente les étapes à suivre pour vous conformer à la Loi 25.
• Fournir des gabarits de documents que vous pourrez ensuite adapter à votre organisation afin de soutenir votre effort de conformité. Le tout vous fera gagner du temps de recherche et de rédaction.

Contactez-nous

L’équipe de Risques d’entreprise de MNP peut vous prêter main-forte pour déterminer si vous répondez aux exigences de la Loi 25.  

En savoir plus