Tout ce que vous devez savoir sur la Loi 25

Vous devez être conforme à la Loi 25, mais vous ne savez pas comment faire?

Afin de vous faciliter la vie, notre équipe a pris le temps de démystifier cette loi, qui peut sembler complexe, en raison de certaines zones grises.

D’entrée de jeu, sachez que les nouvelles responsabilités et obligations relatives à cette loi s’échelonnent graduellement, et ce, jusqu’en septembre 2024.

De plus, vous trouverez, à la fin de cet article, des définitions applicables à certains termes utilisés dans cette loi.

Veuillez consulter notre rubrique de questions fréquentes.

Résumé des principales obligations s’appliquant aux entreprises privées

En vigueur depuis le 22 Septembre 2022 :

Désigner une personne responsable de la protection des renseignements personnels.
En cas d’incident de confidentialité impliquant un renseignement personnel, veuillez :
1. Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées, et pour éviter que des incidents semblables ne se reproduisent;
2. Aviser la Commission d’accès à l’information du Québec (CAI) et la personne concernée, en remplissant ce formulaire;
3. Tenir un registre des incidents, dont une copie devra être transmise à la Commission à sa demande.
Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de production de statistiques et dans le cadre d’une transaction commerciale.
Procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche, ou de production de statistiques.
Aviser la Commission, avant de procéder à une vérification ou à une confirmation d'identité faite au moyen de caractéristiques ou de mesures biométriques, en remplissant ce formulaire.

En vigueur à compter du 22 Septembre 2023 :

Élaborer une Politique sur les pratiques encadrant la gouvernance de l’entreprise en matière de protection des renseignements personnels.
Cette politique devra notamment prévoir :
1. Des règles de conservation et de destruction des renseignements personnels;
2. Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
3. Un processus de traitement des plaintes relatives à la protection des renseignements personnels.
Respecter les nouvelles obligations de transparence.
Obtenir, au préalable, le consentement libre et éclairé de la personne visée pour recueillir, communiquer et utiliser ses renseignements personnels et respecter les nouvelles règles de consentement.
Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les rendre anonymes pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi.
Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de transmettre des renseignements personnels à l’extérieur du Québec^*.
^*La communication d’un renseignement personnel hors Québec peut s’effectuer seulement si on évalue que ce renseignement jouit d’une protection adéquate.
Respecter le Droit à la désindexation et à la cessation de la diffusion, c’est-à-dire que les personnes visées pourront demander aux entreprises d’interrompre la transmission de leurs renseignements personnels ou de désindexer tout hyperlien rattaché à leur nom donnant accès à de l’information personnelle, si cette diffusion leur cause préjudice ou contrevient à la Loi ou à une ordonnance judiciaire (droit à l’effacement ou à l’oubli).
Respecter les nouvelles règles de communication des renseignements personnels facilitant le processus de deuil, c’est-à-dire qu’une organisation pourra communiquer un renseignement personnel sur une personne décédée à son conjoint ou à l’un de ses proches parents, si ce renseignement est susceptible d’aider cette personne dans son processus de deuil, à moins que la personne décédée n’ait consigné par écrit son refus d’accorder ce droit d’accès.
Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur de moins de 14 ans, c’est-à-dire que ces renseignements ne pourront plus être collectés auprès de celui-ci, sans le consentement de l’autorité parentale ou du tuteur.
Obligation de prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité d’un produit ou d’un service technologique offert au public^*.
^*Cette disposition ne s’appliquera pas aux paramètres de confidentialité d’un témoin de connexion.

En vigueur à compter du 22 septembre 2024 :

Répondre aux demandes de portabilité des renseignements personnels, à savoir de transmettre, à la demande d’une personne concernée, ses renseignements personnels.

Glossaire

Renseignement personnel

« Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Ils sont confidentiels. Sauf exception, ils ne peuvent être communiqués sans le consentement de la personne concernée ».

Veuillez noter que la définition ne fait pas mention de renseignements portant sur une personne morale, c’est-à-dire de renseignements concernant une entreprise.

Incident de confidentialité

On entend par « incident de confidentialité » :

L’accès non autorisé par la Loi à un renseignement personnel;
L’utilisation non autorisée par la Loi d’un renseignement personnel;
La communication non autorisée par la Loi d’un renseignement personnel;
La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

Caractéristiques et mesures biométriques

Caractéristiques uniques, issues d’analyse de biométrie, qui permettent d’identifier ou d’authentifier une personne.

Il existe 3 grandes catégories de biométrie, soit les suivantes :

La biométrie morphologique basée sur l’identification de traits physiques particuliers. Elle regroupe, notamment, la reconnaissance des empreintes digitales, de la forme de la main, du visage, de la rétine et de l’iris de l’oeil;
La biométrie comportementale basée sur l’analyse de certains comportements d’une personne, comme le tracé de sa signature, sa voix, sa démarche, sa façon de taper sur un clavier, etc.;
La biométrie biologique basée sur l’analyse des traces biologiques d’une personne, comme l’ADN, le sang, la salive, l’urine, les odeurs.

Pour en savoir plus sur la biométrie, consultez ce guide d’accompagnement.

Sources

Faites partie de la plus grande organisation de petites entreprises au Canada

La FCEI, c’est plus de 97 000 propriétaires d’entreprise qui se donnent tous les outils pour assurer leur succès! Profitez de conseils d’experts personnalisés et gratuits, de rabais et d’avantages exclusifs et du pouvoir d’influencer les politiques en votre faveur!

DEVENEZ MEMBRE

Tout ce que vous devez savoir sur la Loi 25, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels

Résumé des principales obligations s’appliquant aux entreprises privées

En vigueur depuis le 22 Septembre 2022 :

En vigueur à compter du 22 Septembre 2023 :

En vigueur à compter du 22 septembre 2024 :

Ressources

Webinaire – FCEI & Commission d’accès à l’information (CAI) : Loi 25

Consultez les diapositives du webinaire.

Délais de conservation des renseignements personnels

Webinaire – FCEI & cabinet d’avocats, Fasken : Loi 25