Loi-25

Tout ce que vous devez savoir sur la Loi 25

L’exploitation, la collecte et l’utilisation de données qui constituent des renseignements personnels sont de plus en plus utilisées dans le monde, notamment grâce à l’intelligence artificielle qui facilite grandement ce processus, et sont souvent essentielles à l’exploitation d’une entreprise.

Les lois actuelles sur la protection des renseignements personnels applicables au Québec étaient à certains égards désuètes aux évolutions technologiques et en comparaison à certaines autres lois applicables dans d’autres juridictions du monde (comme le Règlement général sur la protection des données dans l’Union européenne), et dans cette optique, le Québec est la première province canadienne à moderniser son régime de protection des renseignements personnels afin de l’adapter aux réalités actuelles.

Dans cet article, nous vous expliquons tout ce que vous devez savoir sur la Loi 25 :

  1. Qu’est-ce que la Loi 25
  2. Entrée en vigueur de Loi
  3. À quoi sert la Loi 25
  4. Nouvelles obligations à partir du 22 septembre 2022
  5. Nouvelles obligations à partir du 22 septembre 2023
  6. Nouvelles obligations à partir du 22 septembre 2024
  7. Quels sont les droits des utilisateurs québécois
  8. Cyberimpact et la Loi 25
  9. Conseils pour se conformer
  10. Qu’en est-il de la loi LPRPDE

Qu’est-ce que la Loi 25

C’est ainsi que la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi 25 ») a été adoptée le 22 septembre 2021. Elle modifie plusieurs lois actuellement en vigueur au Québec, dont la Loi concernant le cadre juridique des technologies de l’information, la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé.

Entrée en vigueur de Loi 25

Loi-25-important

La Loi 25 est entrée en vigueur graduellement du 22 septembre 2022 au 22 septembre 2024. Ainsi, durant cette période, les entreprises privées et les organismes publics faisant affaire au Québec feront face à de nouvelles obligations et auront de nouveaux droits concernant la protection des renseignements personnels.

Ces entreprises et organismes devront s’assurer de mettre à jour leurs politiques, pratiques et processus afin d’éviter des contraventions qui pourraient être considérables (par exemple, en cas de contravention, une entreprise pourrait faire face à des amendes allant de 15 000 $ à 25 millions, ou à un montant de 4 % du chiffre d’affaires de cette entreprise).

À quoi sert la Loi 25 ?

Elle modernise de façon générale l’encadrement applicable à la protection des renseignements personnels recueillis par une personne qui exploite une entreprise au Québec, dans le but notamment d’augmenter la confiance des citoyennes et des citoyens envers les entreprises et de soutenir l’innovation responsable qui tient compte du droit à la vie privée des individus.

Pour ne donner que quelques exemples, la Loi 25 accomplit ces objectifs en introduisant des règles concernant le traitement d’incidents affectant la confidentialité de renseignements personnels, des obligations de transparence en lien avec la gouvernance à l’égard des renseignements personnels, ainsi que de nouvelles exigences relatives au consentement à la collecte, à l’utilisation et à la communication de renseignements personnels.

Obligations qui entrent en vigueur à partir du 22 septembre 2022

  1. Désigner un responsable de la protection des renseignements personnels qui veillera au respect de la Loi, dont le titre et les coordonnées devront être rendus disponibles au public (par exemple, sur le site Web de l’entreprise). À défaut de telle désignation, le responsable sera la personne ayant la plus haute autorité dans l’entreprise.
  2. Mettre en place un plan de gestion des incidents et des procédures à suivre en cas d’incidents de confidentialité. L’incident peut faire référence aux accès non autorisés par la loi, la perte, les communications non autorisées par la loi, et toute autre atteinte à la protection de renseignements personnels.
  3. Bâtir un registre des incidents de confidentialité où seront inscrits tous les incidents, même ceux ne présentant pas un risque de préjudice sérieux, ainsi qu’un processus de notification.
  4. Divulguer avec diligence tout incident de confidentialité qui présente un risque qu’un préjudice sérieux soit causé à la Commission d’accès à l’information et à toute personne dont un renseignement personnel est concerné par l’incident.

En somme, à partir du 22 septembre 2022, les nouvelles obligations viennent toucher la façon dont les entreprises devront gérer et protéger la collecte et l’utilisation de renseignements personnels.

Nouvelles obligations à partir du 22 septembre 2023

  1. Élaborer un cadre de gouvernance en matière de protection des renseignements personnels (pratiques encadrant la conservation, la destruction et l’anonymisation des renseignements personnels).
  2. Mettre en place un processus de traitement des plaintes concernant la protection des renseignements personnels et de désindexation.
  3. Bonifier les informations transmises aux citoyennes et aux citoyens lors de la collecte de leurs renseignements personnels sur le site web de votre entreprise. Par exemple: le nom des tiers pour lesquels les renseignements sont collectés et les catégories de tiers. 
  4. Détruire ou rendre anonymes les renseignements personnels dans certaines circonstances.
  5. La personne concernée a le droit de retirer son consentement à la communication ou à l’utilisation de ses informations personnelles.
  6. Évaluer les risques en matière de vie privée lors de certaines utilisations et communications de renseignements personnels.
  7. Obtenir, au préalable, le consentement de la personne pour utiliser ses renseignements personnels à des fins de prospection commerciale.
  8. Informer la personne de la possibilité que ses renseignements personnels soient transférés hors du territoire du Québec.

En résumé, les obligations qui entreront en vigueur à partir du 22 septembre 2023 touchent la transparence des données collectées par votre entreprise envers vos utilisateurs ainsi que l’obligation d’obtenir leurs consentements quant à l’utilisation de leurs données personnelles.

Nouvelles obligations à partir du 22 septembre 2024

Communiquer, à la demande de la personne concernée, ses renseignements personnels qu’elle a fournis à une entreprise.

Quels sont les droits des utilisateurs québécois avec la Loi 25 ?

La Loi 25 constitue une avancée favorable pour les utilisateurs québécois. En effet, cette nouvelle réglementation renforce la protection des données personnelles et octroie un plus grand pouvoir de contrôle à l’individu. À partir du 22 septembre 2023, les utilisateurs auront droit à :

  • Une plus grande transparence des entreprises quant à la façon dont leurs renseignements personnels seront recueillis, utilisés et collectés par les organisations privées.
  • Les demandes de consentement devront être formulées dans un langage clair et simple, ce qui facilite la compréhension et l’acceptation des termes proposés par les entreprises. Cela permet aux utilisateurs de mieux comprendre ce à quoi ils consentent ce qui laisse croire que les consentements exprès seront nécessaires.
  • Les entreprises seront dorénavant tenues de respecter le droit des utilisateurs de demander l’arrêt de la diffusion de leurs informations personnelles. Ainsi, pour les entreprises il sera plus difficile de suivre les conversions et la performance des données dans Google Analytic.
  • Les utilisateurs auront droit à une copie numérique de toutes les informations personnelles que les organisations ont recueillies à leur sujet. Cela leur permettra de mieux contrôler l’utilisation de leurs données personnelles.

Est-ce que Cyberimpact est conforme à la Loi 25 ?

Cyberimpact s’assure que ses activités se conforment en tout temps aux lois applicables à la protection des renseignements personnels dans toutes les juridictions où elle a des activités, ce qui inclut les nouvelles dispositions de la Loi 25 lorsqu’elles entreront graduellement en vigueur.

Nous prenons à cœur la protection des renseignements personnels et des autres données qui nous sont confiées par nos clients et partenaires. Pour toute question à cet égard, nous vous invitons à consulter notre Politique de respect de la vie privée ou à nous contacter.

Conseils pour se conformer à la Loi 25 ?

Nous vous conseillons de vous familiariser rapidement avec la nouvelle loi afin de vous assurer que votre entreprise sera en mesure d’apporter les changements nécessaires pour s’y conformer avant son entrée en vigueur. Plusieurs ressources pertinentes sont rendues disponibles au public en ligne au sujet de la Loi 25, dont cet aide-mémoire qui vulgarise les éléments à mettre en place sur les trois années à venir.

Qu’en est-il de la loi LPRPDE ?

La Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE », ou « PIPEDA » en anglais) est une loi fédérale canadienne qui régit la collecte, l’utilisation et la communication de renseignements personnels dans le cadre d’activités commerciales au Canada. 

La LPRPDE s’applique au travers du Canada, sauf au Québec, en Colombie-Britannique et en Alberta, étant donné que ces provinces ont adopté des lois qui sont jugées « essentiellement similaires à la LPRPDE » (la LPRPDE continue toutefois de s’appliquer aux entreprises de compétence fédérale établies dans ces provinces, comme les banques et les aéroports).

Le projet de loi C-27 (Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois) est présentement en étude par le gouvernement canadien, lequel remplacerait la LPRPDE par un cadre juridique mieux adapté au cadre technologique actuel.

Au moment de publier cet article, ce nouveau projet de loi est toujours en seconde lecture à la Chambre des communes, et donc n’a pas encore été sanctionné. Nous vous conseillons de rester à l’affût de la progression de ce projet de loi C-27 qui aura, lui aussi, des répercussions sur les droits et obligations de votre entreprise en lien avec l’exploitation, la collecte et l’utilisation de données qui constituent des renseignements personnels.

* Les informations fournies dans cet article ne constituent pas des avis juridiques. Nous vous invitons à consulter un conseiller légal pour toute question afférente aux lois sur les renseignements personnels. Cet article vous est fourni à titre informatif seulement, sans garantie quelconque de qualité, d’exactitude ou d’intégralité des informations qui y figurent.

Commentaires

    1. Bonjour Laure,

      Il ne s’agit pas d’une bonne pratique en matière de marketing par courriel. Voici quelques raisons :
      – Étant donné que le champ Cci masque les adresses électroniques, il peut être utilisé à des fins d’écoute clandestine, ce qui n’est pas professionnel et peut mener à des problèmes de conformité.
      – L’utilisation de la fonction Cci pour les courriels professionnels peut être perçue comme malhonnête, car les destinataires peuvent croire que le message leur est exclusivement destiné, ce qui limite la transparence.
      – Si des personnes se sont désinscrites de votre liste de diffusion, il n’est pas judicieux d’ajouter leur courriel dans le champ Cci et de leur envoyer des publicités.

      En résumé, il est conseillé d’utiliser un logiciel de marketing par courriel qui permet de gérer le consentement des contacts ainsi que listes de désabonnement.

    1. Bonjour Julie,
      La loi s’applique surtout entre vous et vos abonnés. Nous vous offrons les outils pour créer et envoyer vos infolettres, et pour être en règle avec la loi 25 et la LCAP, mais il n’y a pas besoin de signer une entente entre Cyberimpact et votre organisation. Notre politique d’utilisation inclut déjà des provisions concernant la protection des renseignements entre vous et Cyberimpact. 🙂

  1. Est-Ce que la loi 25 s’applique à l’église ou institut religieux? Je suis à réviser feuillet paroissial où il y a nom et numéro de téléphone ?

    1. Bonjour Raymonde,
      La Loi 25 au Québec s’applique à toute organisation qui collecte, utilise ou communique des renseignements personnels. Toutefois, les institutions religieuses, comme les églises, peuvent être soumises à des obligations spécifiques en fonction de leur statut juridique (nous ne connaissons pas spécifiquement les obligations pour cette industrie).

      Si une église ou un institut religieux collecte et publie des renseignements personnels (comme des noms et des numéros de téléphone dans un feuillet paroissial), ils doivent s’assurer de respecter les principes de la loi, notamment obtenir le consentement des personnes concernées avant de publier ces informations et assurer la protection des renseignements.

      Il serait prudent de vérifier si les personnes dont les noms et numéros de téléphone apparaissent ont donné leur consentement explicite et de s’assurer que les pratiques de gestion des informations personnelles respectent les exigences de la Loi 25. Pour obtenir une réponse exacte et adaptée à votre situation, nous vous conseillons de consulter un avocat.

      Merci!

Laissez-nous un commentaire

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Fermer