GUIDE DE SURVIE À LA LOI 25
Protection des données personnelles au Québec
21 septembre 2022 | &CO
Dans la lignée des normes de protection de la vie privée introduites par le Règlement général sur la protection des données (RGPD) en Europe, la Loi 25 (Loi sur la modernisation de la législation en matière de protection de la vie privée) a été adoptée à l’unanimité par l’Assemblée nationale du Québec le 21 septembre 2021.Avec ce nouveau cadre réglementaire, c’est une petite révolution qui est en cours. La protection de la vie privée et des données personnelles au Québec va radicalement changer et le compte à rebours est déjà enclenché pour les entreprises québécoises.
Dans ce guide élaboré par les équipes de l’agence &CO, nous allons vous expliquer tout ce que vous devez savoir sur la Loi 25.
I. La Loi 25, qu’est-ce que c’est ?
Cette loi modernise la législation québécoise sur la protection de la vie privée. Introduisant une série de changements dans le cadre juridique existant, elle accorde aux particuliers des droits substantiels en matière de protection des données, ainsi que des obligations accrues pour les organisations publiques et privées qui manipulent leurs renseignements personnels.
La Loi 25 constitue une mise à jour générale de ce régime, notamment en ce qui concerne l’accès aux documents détenus par les organismes publics et la loi régissant la protection des renseignements personnels dans le secteur privé.
Elle entrera en vigueur de façon échelonnée au cours des trois prochaines années. Même si cette période transitoire réduit un peu la pression, il est temps pour les entreprises de se mettre en règle.
Les changements à venir sont nombreux, et leur mise en œuvre nécessitera beaucoup de temps et des ressources considérables; de sérieuses pénalités sont prévues en cas de non-conformité.
II. Qui est concerné ?
À première vue, il est facile de supposer que les nouvelles dispositions législatives sont donc peu pertinentes pour les entreprises hors Québec. Toutefois, la réalité est que les répercussions de ce régime se feront sentir bien au-delà des frontières provinciales.
Conformément aux lois internationales sur la protection des données et à une jurisprudence bien établie sous l’égide de la Commission d’accès à l’information (CAI), la loi 25 aura une application générale, y compris pour toute organisation basée à l’extérieur de la province et ayant des clients utilisant ses produits ou services au Québec.
En pratique, cela signifie qu’un seul visiteur d’un site Web international depuis l’intérieur de la province fera entrer le fournisseur dans la juridiction.
III. Que couvre la loi ?
La Loi 25 met à jour le cadre juridique existant pour la protection des renseignements personnels au Québec. Elle englobe à la fois le secteur public et le secteur privé, mais elle concerne principalement les entreprises privées.
La législation s’applique à tous les renseignements personnels, quelle que soit la forme qu’ils prennent (y compris, mais sans s’y limiter, les renseignements écrits, graphiques, enregistrés, filmés ou informatisés)
IV. Comment les consommateurs sont-ils protégés ?
Sauf indication contraire, tous les droits des consommateurs ci-dessous entreront en vigueur le 22 septembre 2023.
- Droit à la vie privée par défaut
La Loi 25 inverse la position de facto précédente sur la vie privée en ligne, en accordant aux consommateurs le droit automatique à la confidentialité de leurs informations personnelles. En pratique, cela signifie que, par exemple, toute technologie de profilage ou de suivi doit être désactivée sur le site Web d’une entreprise, à moins qu’un consentement exprès ne soit donné.
- Transparence
Les consommateurs auront droit à un plus grand niveau de transparence lorsque leurs informations personnelles seront collectées par des entreprises privées. Le nouveau régime prévoit ce qui suit :
Un droit d’accès de base : Au moment de la collecte de toute information personnelle, les entreprises doivent désormais informer les personnes concernées :
- Du but dans lequel l’information est recueillie;
- De la manière dont ces informations sont collectées;
- Du droit du consommateur d’accéder à ces informations, et de les rectifier si nécessaire;
- Du droit du consommateur de retirer son consentement à la collecte de ces informations.
Les tiers : Les entreprises doivent désormais également informer les individus des éléments suivants concernant l’utilisation de leurs informations personnelles par des tiers :
- Le nom de tout tiers pour lequel les informations sont recueillies;
- Les noms de tous les tiers auxquels ces informations peuvent être transmises;
- Le fait que ces renseignements peuvent être communiqués à l’extérieur du Québec.
Le traitement automatisé : Si une entreprise utilise des procédés automatisés pour prendre une décision concernant une personne, elle doit informer cette personne de ce qui suit :
- Le moment où une décision a été prise;
- Son droit d’accéder ou de corriger les renseignements personnels utilisés pour prendre la décision;
- Son droit d’obtenir des informations sur la façon dont la décision a été prise;
- Son droit de faire réviser la décision;
- Son droit de soumettre des informations supplémentaires, si nécessaire, dans le cadre d’un appel.
Le droit de demander des informations supplémentaires : S’ils choisissent de les demander, les consommateurs ont désormais également le droit de recevoir les informations suivantes :
- Le détail des informations qui ont été recueillies auprès d’eux;
- Les catégories de personnes qui ont accès à ces informations au sein de l’organisation;
- La durée de conservation de ces informations;
- Les coordonnées de la personne responsable de la protection de ces informations.
- Consentement
Le nouveau cadre introduit une série de nouvelles règles régissant la manière dont les consommateurs consentent à l’utilisation de leurs informations personnelles. Les dispositions les plus importantes sont les suivantes
Demandes de consentement : Les entreprises sont déjà tenues de demander un consentement libre et éclairé pour la collecte et l’utilisation des informations personnelles. Cependant, la Loi 25 renforce cette obligation en stipulant que les demandes de consentement doivent être formulées dans un langage clair et simple. Elle ajoute également que ces demandes doivent être faites de manière isolée – en d’autres termes, elles ne peuvent pas être enfouies dans un texte en petits caractères !
Informations sensibles : Les consommateurs doivent désormais donner leur consentement exprès pour l’utilisation de renseignements personnels « sensibles » à des fins autres que celles pour lesquelles ils ont été initialement recueillis. Les informations considérées comme « sensibles » comprennent les détails médicaux, biométriques ou autrement intimes qui donnent lieu à une attente raisonnable en matière de vie privée.
Mineurs : Les entreprises ne peuvent collecter aucune information personnelle concernant un enfant de moins de 14 ans sans le consentement de ses parents. La seule exception est lorsque les informations collectées présentent un avantage évident pour l’enfant (par exemple, dans une situation d’urgence).
Biométrie : La biométrie ne sera plus autorisée pour vérifier l’identité d’une personne sans son consentement explicite.
Exceptions : La Loi 25 introduit quelques exceptions limitées dans lesquelles la présomption de consentement ne s’appliquera pas. Les organisations peuvent désormais utiliser les informations personnelles sans consentement si cela est nécessaire pour détecter ou prévenir la fraude, ou si cette utilisation est nécessaire pour fournir un produit ou un service expressément demandé par la personne concernée.
- Droit à l’effacement
À partir du 22 septembre 2023, dans l’esprit du « droit à l’oubli » créé par le RGPD, les consommateurs auront désormais le droit de demander aux entreprises de cesser de diffuser leurs informations personnelles. Dans les cas où cette diffusion leur cause un préjudice (ou lorsqu’elle contrevient à une décision de justice), ils auront également le droit de faire désindexer tous les liens Internet attachés à leur nom.
- Droit à la portabilité
Il s’agit de la dernière disposition à entrer en vigueur, et ce, le 22 septembre 2024. Les personnes se verront accorder le droit de recevoir une copie numérique (dans un format couramment utilisé) de toutes les informations personnelles qui ont été recueillies auprès d’elles par une organisation donnée.
V. Quelles sont les sanctions en cas de non-conformité ?
La Loi 25 s’accompagne d’un régime d’application ferme par rapport au régime précédent, créant à la fois un modèle de sanctions financières à deux niveaux et un droit d’action devant les tribunaux civils. Le pouvoir d’exécution des sanctions pécuniaires appartient à la CAI.
- Sanctions pécuniaires
Pour les particuliers, la sanction maximale pour les infractions pénales en vertu de la Loi 25 est de 100 000 $. Pour les entreprises du secteur privé, les amendes pour infraction pénale peuvent atteindre un montant plus élevé que celui indiqué ci-dessous :
- Une somme allant de 15 000 à 25 millions de dollars canadiens; ou
- Une somme correspondant à 4 % du chiffre d’affaires mondial de l’organisation pour l’année fiscale précédente.
- Droit d’action
La loi donne également naissance à un nouveau droit d’action privé, permettant aux individus d’intenter des actions contre des entreprises pour des dommages-intérêts légaux en ce qui concerne des violations spécifiques.
Les violations donnant lieu à une action comprennent (sans s’y limiter) l’utilisation illégale d’informations personnelles, le défaut de fournir des avis de confidentialité adéquats et le défaut d’informer les personnes concernées en cas de décisions automatisées et de violations de la confidentialité.
VI. Que faut-il faire pour se conformer à la Loi 25 ?
Même si la batterie de mesures de réforme est vaste, l’essence de certaines dispositions a déjà été prescrite, entièrement ou partiellement, par d’autres régimes applicables comme la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ou est simplement devenue une pratique courante au cours des dernières années.
Toutefois, pour la majeure partie des dispositions qui sont entièrement nouvelles, les systèmes existants sont susceptibles de ne pas être adéquats et de nécessiter une révision complète. Heureusement, le déploiement progressif décompose ce processus.
Au minimum, votre organisation doit s’attendre à devoir cocher les cases suivantes en respectant les échéances ci-dessous :
Avant le 22 septembre 2022
Désigner un responsable de la protection de la vie privée : Désigner une personne qui sera chargée de veiller au respect de la loi au sein de votre organisation. La responsabilité de ce rôle incombe par défaut au PDG – mais le poste peut être délégué à toute personne appropriée. Son titre et ses coordonnées doivent être publiés sur votre site Web, et la CAI doit en être informée.
Déclaration obligatoire des brèches : Votre organisation doit notifier à la CAI et à toute personne concernée toute violation de données impliquant des informations personnelles et présentant un risque de préjudice grave. Vous devez également tenir un registre des brèches. Pour la plupart des entreprises, ces mécanismes devraient en grande partie déjà être mis en place en raison des exigences existantes, néanmoins, c’est l’occasion de revoir vos systèmes pour en vérifier la conformité.
Biométrie : Si votre entreprise utilise ou a l’intention d’utiliser des banques biométriques, à partir de cette date, vous devez divulguer leur existence à la commission au plus tard 60 jours avant le déploiement de votre système.
D’ici le 22 septembre 2023
Politique de confidentialité : Vous devez vous assurer qu’à cette date, vous disposez d’une politique de confidentialité complète publiée sur votre site Web. Celle-ci doit énoncer vos politiques et pratiques en matière de protection des données dans un langage clair et simple, et fournir suffisamment d’informations aux consommateurs (par exemple, sur la gestion des données personnelles, la notification des violations, le consentement, les demandes d’accès et la prise de décision automatique) pour satisfaire aux obligations de transparence.
Évaluations obligatoires des incidences sur la vie privée (PIA) : Il est désormais obligatoire de réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) lors de la communication de tout renseignement personnel à l’extérieur du Québec, lors de la création ou de l’acquisition de tout système numérique impliquant des données privées, ou avant de divulguer tout renseignement personnel sans consentement à des fins de recherche. Vous devrez mettre en place des lignes directrices régissant la façon dont cette obligation est mise en œuvre, ainsi que des procédures de communication claires pour le personnel.
Établir des systèmes de transparence et de consentement : Bien avant cette date, votre organisation devrait avoir effectué un examen complet de ses mécanismes existants de collecte, de stockage et de diffusion des informations sur les consommateurs. Ceux-ci doivent désormais être mis à jour pour répondre au nouveau cadre des droits des consommateurs, en accordant une attention particulière aux points suivants :
- Désactivez par défaut toute technologie de collecte de données sur votre site Web, sans exiger d’action de confirmation de la part des utilisateurs. Vous pouvez prévoir à la place un mécanisme d’« opt-in » explicite. Cela exclut l’utilisation de témoins.
- Mettez à jour vos formulaires de consentement et d’accès aux systèmes d’information. Assurez-vous que vous êtes en mesure de fournir, sur demande, des détails sur les catégories de personnes au sein de votre entreprise qui ont accès aux informations personnelles d’un client donné, ainsi que les coordonnées de votre responsable de la protection de la vie privée.
- Identifiez toutes les juridictions transfrontalières vers lesquelles votre organisation peut transférer des renseignements personnels, et effectuez une ou des EFVP à propos de ces endroits.
- Assurez-vous que vous avez mis en place des procédures pour gérer l’exception de confidentialité pour le deuil. Vous pouvez transmettre des informations personnelles relatives à une personne décédée à son conjoint ou à ses proches – mais uniquement si cela est susceptible de les aider dans le processus de deuil, et si le défunt n’a pas retiré son consentement à cet égard de son vivant.
- Assurez-vous que votre organisation ne collecte plus d’informations personnelles concernant un enfant de moins de 14 ans sans le consentement de ses parents.
- Assurez-vous que votre politique de confidentialité fournit des détails sur les processus de prise de décision automatisée de votre organisation, y compris l’accès à l’information et les appels.
Anonymisation : Vous devez disposer d’un système permettant soit de détruire les données personnelles une fois que les objectifs pour lesquels elles ont été collectées ont été atteints, soit de les rendre anonymes, le cas échéant. Si vous mettez en œuvre ou mettez à jour un système d’anonymisation, celui-ci doit répondre au critère très strict de garantie que la personne concernée ne peut plus être identifiée directement ou indirectement.
Droit à l’effacement : L’évaluation des demandes de suppression d’informations personnelles risque d’être un exercice complexe. Assurez-vous d’avoir des principes directeurs en place pour examiner correctement ces demandes et y répondre adéquatement (les facteurs pertinents à prendre en compte sont fournis par la loi).
D’ici le 22 septembre 2024
Faciliter le droit à la portabilité : Assurez-vous que vous disposez de la technologie et de la formation nécessaires pour être en mesure de produire une copie numérique de tous les renseignements personnels que vous détenez à l’égard de toute personne qui en ferait la demande.
&CO vous aide à relever les défis de la confidentialité.
Une chose est claire, les marques qui font de la protection de la vie privée de leurs clients une priorité bénéficieront d’un véritable avantage concurrentiel, d’autant plus que nous nous dirigeons vers un avenir sans témoins. Nos experts peuvent vous aider à définir votre stratégie de gestion du consentement et établir un plan d’accompagnement afin d’éliminer les incertitudes liées à la conformité des données personnelles dont vous disposez.