Depuis le 21 septembre 2021, la Loi 25, qui concerne la protection des renseignements personnels au Québec, résonne particulièrement dans les sphères juridiques, économiques et technologiques de la province. Son influence s’étend bien au-delà des frontières administratives, touchant autant les travailleurs autonomes, les entreprises de toutes tailles, les organisations publiques que les organismes à but non lucratif comme les fondations, les syndicats, etc.
Si elle est apparue relativement récemment, cette réglementation n’est pas une anomalie isolée dans le paysage mondial de la protection des données. En Europe, par exemple, le Règlement général sur la protection des données (RGPD) a été mis en application en 2018, établissant de nouvelles normes pour la gestion et la sécurité des informations personnelles.
Ce n’est donc pas surprenant que de notre côté de l’Atlantique, au Québec, un mouvement similaire ait pris forme pour répondre aux préoccupations croissantes concernant la protection de la vie privée des utilisateurs. Dans cette ère numérique en constante évolution, il est impératif de comprendre ces développements législatifs majeurs qui influencent non seulement la manière dont nous traitons les données, mais aussi la manière dont nous les utilisons au quotidien. Notre équipe d’experts formés en cybersécurité applique les meilleures stratégies de sécurité tout au long du développement de nos solutions technologiques dans le Cloud, en Industrie 4.0, en développement d’appareils connectés, en intelligence artificielle (IA) ou d’affaires (BI).
⚠️ Veuillez noter que cet article a pour but d’informer sur la Loi 25 et ne doit en aucun cas être interprété comme un avis juridique formel. Vous êtes encouragés à consulter un avocat ou un conseiller juridique afin d’obtenir des conseils spécifiques à votre situation et d’assurer votre pleine conformité avec la loi.
C’est quoi la Loi 25?
La Loi 25 s’applique à toutes les entreprises qui collectent des données sur les résidents du Québec. Elle s’applique donc aussi à tous les utilisateurs de produits ou services au Québec dont l’organisation serait basée à l’extérieur de la province. Elle introduit un nouveau cadre législatif pour les organisations publiques et privées qui traitent les renseignements personnels.
L’entrée en vigueur de la Loi 25 se déroule progressivement. Des directives initiales ont été annoncées en septembre 2022, suivies d’importantes dispositions en septembre 2023, et d’autres sont encore en prévision pour septembre 2024. Cette approche graduelle permet aux entreprises de se préparer à l’avance. Elle incite à la mise en place de politiques et de pratiques de conformité, tout en reconnaissant la complexité des ajustements nécessaires.
Pour veiller à l’application adéquate de la Loi 25, la Commission d’accès à l’information (CAI) du Québec a été désignée comme l’organisme de surveillance. La CAI joue un rôle essentiel dans le contrôle de la conformité des entreprises en veillant à ce que les droits à la vie privée des individus soient respectés dans l’ensemble de la province. En tant qu’entreprise œuvrant dans le développement de solutions numériques, nous comprenons l’importance de se conformer à la Loi 25 et de respecter la vie privée et la protection des données de nos utilisateurs, et ce, dans toutes les phases du développement des solutions logicielles personnalisées pour votre entreprise.
Loi 25 et renseignements personnels
La question qui revêt une importance capitale dans le contexte de la protection des données est: qu’est-ce qu’un renseignement personnel exactement?
En général, on peut définir un renseignement personnel comme étant « tout renseignement qui concerne une personne physique et qui permet de l’identifier ». Toutefois, cette définition ne s’arrête pas là. À titre comparatif, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en vigueur dans les autres provinces canadiennes définit également les renseignements personnels de manière à inclure une vaste gamme de données, allant bien au-delà de du nom et de l’adresse!
Parmi les types de renseignements personnels considérés comme sensibles selon la LPRPDE, et d’autres règlementations, on retrouve par exemple:
- Les informations démographiques: l’origine ethnique, la religion, l’état matrimonial, l’orientation sexuelle et le niveau d’instruction. Ces données sont souvent utilisées pour décrire et catégoriser les individus.
- Les données de communication: les adresses électroniques, les messages de courriel et les adresses IP (protocole internet) entrent dans cette catégorie. Ces informations sont essentielles dans notre ère numérique où la communication électronique est omniprésente.
- Les données biométriques: cela peut englober des informations telles que l’âge, la taille, le poids, les dossiers médicaux, le groupe sanguin, l’ADN, les empreintes digitales et même la signature vocale. Ces données sont souvent utilisées pour l’identification et l’authentification des individus.
- Les données financières: les renseignements sur les revenus, les achats, les habitudes de consommation, les données bancaires, les informations sur les cartes de crédit ou de débit, les rapports de prêt ou de solvabilité, ainsi que les déclarations de revenus sont incluses dans cette catégorie. Ces informations sont cruciales pour les transactions financières et commerciales.
- Identificateurs personnels: ceci comprend par exemple le nom, le numéro d’assurance sociale (NAS) ou d’autres numéros d’identification utilisés pour identifier de manière unique chaque individu.
Cette liste met en lumière l’étendue des informations personnelles qui peuvent être concernées par la législation sur la protection des données. Il est essentiel de comprendre que la définition de renseignements personnels peut varier d’une juridiction à l’autre, mais elle englobe généralement toute information qui peut permettre d’identifier une personne. C’est pourquoi la protection de ces données est devenue une préoccupation majeure dans notre société numérique actuelle.
Impact de la Loi 25 sur les citoyens et les entreprises au Québec
Règles et exigences à respecter
Avec la Loi 25, le Québec établit les règles suivantes:
Gouvernance
Chaque entreprise devra mettre en place un cadre de gouvernance pour gérer les données confidentielles qui sont utilisées au sein de l’organisation.
Transparence
Une politique claire devra être affichée sur le site web de l’entreprise. Les procédures internes devront être établies. Les employés devront être formés sur le sujet.
Conformité
Cela va permettre de standardiser les bonnes pratiques en termes de traitement des données personnelles et de donner du sens à l’utilisation de la donnée.
Échéances
Comme vu précédemment, la Loi 25 s’étale de 2022 à 2024 avec plusieurs échéances:
Septembre 2022
- Désigner une personne responsable de la protection des renseignements personnels et publier son contact sur le site web de l’entreprise
- Avoir un plan de gestion et de documentation des incidents
- Divulguer les incidents aux autorités (CAI) et entités tierces directement concernées
Septembre 2023
- Anonymiser les données
- Élaborer un cadre de gouvernance en matière de protection des renseignements personnels
- Encadrer le droit à l’oubli (destruction des données)
- Évaluer les facteurs relatifs à la vie privée
- Obtenir, au préalable, le consentement de la personne pour utiliser ses renseignements personnels à des fins de prospection commerciale
Septembre 2024
- Portabilité des données (adaptation des systèmes): être capable de générer un rapport sur toutes les données personnelles possédées par l’entreprise
- Avoir formé l’intégralité du personnel de l’entreprise
Il est crucial pour toutes les entités concernées de respecter ces échéances, car le non-respect de ces dispositions peut entraîner des sanctions sévères que nous aborderons ultérieurement.
Analyse approfondie de l’évaluation des facteurs relatifs à la vie privée
À compter du 22 septembre 2023, les organisations devront mener une évaluation des facteurs relatifs à la vie privée (ÉFVP), un processus structuré pour évaluer l’impact sur la vie privée des projets impliquant des renseignements personnels:
- Pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels;
- Avant de communiquer un renseignement personnel à l’extérieur du Québec.
Cela impactera les politiques internes des entreprises sur la sécurité des renseignements personnels. S’ils ne l’étaient pas jusqu’ici, les clients devront dorénavant être impliqués dans le processus d’évaluation de ces données.
L’ÉFVP réalisée devra être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.
Application de la Loi 25 et pénalités
Le non-respect de la Loi 25 peut entraîner des sanctions financières significatives, avec des amendes pouvant atteindre 25 millions de dollars ou 4% du chiffre d’affaires total de l’entreprise, selon la gravité de la violation.
Par exemple, une entreprise avec un CA de 500 millions de dollars pourrait faire face à une amende de 20 millions de dollars si celle-ci ne respecte pas la loi.
Les dommages et intérêts s’élèvent à «au moins 1000$ pour les atteintes qui causent un préjudice et qui sont intentionnelles ou résultent d’une faute lourde.» Par conséquent, il est impératif pour toute entreprise, quelle que soit sa taille, de se conformer rigoureusement à la Loi 25, non seulement parce que c’est une obligation légale, mais aussi parce que cela démontre un engagement envers l’éthique professionnelle et le souci du bien-être de ses clients.
En cas de non-respect des dispositions de cette loi, les conséquences ne sont pas uniquement d’ordre financier pour les entreprises, mais ont également un impact sur la confiance et la relation entre les organisations et les individus dont les données sont traitées. Ainsi, la Loi 25 n’est pas uniquement un instrument de régulation, mais aussi un reflet des valeurs sociétales autour de la protection des données et du respect de la vie privée, promouvant un environnement numérique où la transparence et la responsabilité sont primordiales.
En fin de compte, se conformer à la Loi 25 va au-delà de la simple conformité légale. C’est un moyen de bâtir la confiance de vos clients, de protéger votre réputation et surtout de garantir que les données personnelles de vos utilisateurs sont traitées avec le respect et la sécurité qu’elles méritent.
La Loi 25 nous rappelle donc la responsabilité collective dans la protection des renseignements personnels et souligne l’importance de l’intégrité et de la responsabilité dans toutes nos interactions numériques.
Exemple concret – La société immobilière Uzispace
Considérons le cas de la société immobilière Uzispace pour les besoins de l’article.
Uzispace est une entreprise privée dans le secteur de l’immobilier qui s’est dotée d’une plateforme cloud de gestion immobilière lors de sa transformation numérique. Elle collecte donc régulièrement des informations personnelles sur ses utilisateurs, telles que les noms, les numéros de téléphone, les adresses et même des données financières pour les dossiers à soumettre ainsi que d’autres documents comme des documents d’identité par exemple.
L’entrée en vigueur de la Loi 25 a eu un impact significatif sur la manière dont la société gère ces données et interagit avec ses utilisateurs:
- Gouvernance: Uzispace a dû nommer un responsable de la protection des renseignements personnels au sein de l’organisation. Cette personne est chargée de veiller à ce que toutes les données personnelles des membres soient gérées conformément aux exigences de la Loi 25. Cette personne s’est aussi assurée d’être épaulée par un avocat compétent en la matière.
- Identification: Uzispace a mené une ÉFVP et a évalué les différents renseignements qui sont collectés autant sur les formulaires, sur les documents, sur le stockage intranet que sur leur plateforme immobilière. Lors de cet audit, Uzispace en a profité pour automatiser le nettoyage des renseignements et a fait un ménage des renseignements superflus.
- Transparence: La société a mis à jour sa politique de confidentialité et l’a rendue accessible à tous ses clients via son site web. Les clients peuvent désormais consulter facilement les informations sur la manière dont leurs données sont utilisées et protégées.
- Conformité: Uzispace a organisé des sessions de formation pour son personnel, notamment les responsables administratifs, afin de les sensibiliser aux nouvelles obligations en matière de protection des données. Des procédures ont également été mises en place pour signaler tout incident de sécurité des données et informer rapidement les membres concernés en cas de violation.
- Données: Uzispace a mis en place des rapports automatisés à même sa plateforme qui leur permettent de fournir à la demande des clients actuels et anciens les données qu’ils détiennent à leur sujet. La société s’est aussi assurée de fournir le droit à l’oubli à ses membres qui en feraient la demande.
Ce cas d’Uzispace vous montre comment une société privée doit prendre des mesures pour se conformer à la Loi 25 et protéger les données personnelles de ses membres. Il souligne l’importance de la transparence et de la gouvernance dans la gestion de ces informations sensibles.
Conclusion
La Loi 25, désormais en vigueur au Québec, englobe également une dimension éthique substantielle en plus de ses dispositions réglementaires. Elle incarne l’intention législative de respecter et protéger la vie privée et la dignité des individus, en plaçant les droits des personnes au centre de la gestion des données personnelles. C’est un cadre légal qui met en avant la nécessité d’une conduite responsable et intègre dans la manipulation des informations personnelles par les organisations.
Ses préconisations autour de la gouvernance, de la transparence, de la conformité, et de l’évaluation des facteurs relatifs à la vie privée pavent la voie vers un avenir où le respect des données personnelles est une priorité. Toutefois, la rigueur des échéances et des sanctions financières souligne l’urgence pour les entreprises, les organisations et chaque individu à respecter ces normes.
En respectant la Loi 25, nous tous, en tant que société, contribuons à bâtir un futur numérique où la confiance et le respect des droits individuels sont au cœur de nos interactions, garantissant un environnement sécurisé et respectueux de la vie privée pour tous!
Chez Uzinakod, nous intégrons les principes de cybersécurité conformément à la Loi 25 afin de respecter la vie privée et la protection des données des utilisateurs de notre site web et tout au long du développement de logiciels sur mesure pour nos divers clients. Notre engagement envers la conformité légale et la sécurité des données est au cœur de notre approche, pour ainsi garantir que vos besoins en matière de technologies de l’information sont satisfaits tout en préservant l’intégrité des informations de votre entreprise. Contactez-nous dès maintenant pour en parler avec nos experts!