Même si le paysage des affaires change, une considération qui reste toujours en tête de la liste des priorités de toute organisation est la conformité juridique. Le défi est que les lois changent constamment, comme l’illustre l’évolution récente des protections de la confidentialité des données au Québec.
La Loi 25, également connue sous le nom de Loi sur la modernisation de la législation sur la protection des renseignements personnels ou projet de Loi 64, (HYPERLINK)est le dernier effort important de la province canadienne pour protéger le droit à la vie privée des clients, employés, fournisseurs et partenaires d’affaires d’une organisation. L’Assemblée nationale du Québec a adopté à l’unanimité cette loi le 21 septembre 2021, et elle est entrée en vigueur tout récemment.
Le Québec n’est pas seul dans cette démarche. D’autres normes de protection de la vie privée très médiatisées dans le monde, comme le célèbre Règlement général sur la protection des données (RGPD) de l’Union européenne, montrent que la protection des données devient une tendance légale. Plus de 8 utilisateurs sur 10 pensent que la collecte de données nuit plus qu’elle n’aide, et les préoccupations relatives à la vie privée ont largement motivé ces législations.
Préparer votre entreprise à la Loi 25 vous aide à rester en conformité avec ses règlements, à éviter les pénalités de non-conformité et à vous préparer à d’éventuelles futures réformes de la confidentialité des données au Canada et dans le monde.
Qu’est-ce que la Loi 25?
Appliquée par la Commission d’accès à l’information (CAI) du Québec, la Loi 25 met à jour et modernise la réglementation provinciale sur la façon dont les entreprises peuvent traiter les informations personnelles qu’elles recueillent auprès de tiers.
Pour ce faire, elle fait évoluer le cadre juridique de la protection des données, étend les droits à la vie privée des utilisateurs d’une entreprise et ajoute de nouvelles obligations à respecter par les organisations en matière de données personnelles. La Loi 25 modifie deux éléments de la réglementation provinciale et fédérale du Québec en matière de protection de la vie privée : La Loi sur le secteur public et la Loi sur le secteur privé pour les organisations publiques et privées, respectivement.
La Loi 25 a reçu son nom d’origine, “Projet de loi 64”, du texte de sa proposition originale à l’Assemblée nationale du Québec le 12 juin 2020. Le document a passé l’assemblée et la consultation parlementaire en septembre de la même année. Le lieutenant-gouverneur a approuvé le projet de loi le 22 septembre 2021, date à laquelle il est devenu officiellement une loi.
Devrais-je m’en soucier?
Oui. Même si votre entreprise exerce ses activités à l’extérieur du Québec, vous en ressentirez les effets pour deux raisons.
La Loi 25 s’applique à toute organisation hors des frontières du Québec, tant qu’elle travaille avec des clients, des fournisseurs ou des partenaires au Québec. Le même schéma s’est produit avec le Règlement général sur la protection des données (RGPD), car son impact mondial a forcé les entreprises de partout à adopter de nouvelles politiques de confidentialité pour rester en conformité avec lui.
La Loi 25, qui reflète l’orientation générale des réglementations en matière de données dans le monde, n’est également qu’une partie des nouvelles réglementations légales en matière de protection de la vie privée au Canada. Elle provoquera un effet domino où les provinces voisines suivront le mouvement, et même une réforme fédérale n’est pas improbable.
Quelles sont les sanctions en cas de non-conformité?
La mise en œuvre des règlements de la Loi 25 s’échelonnera sur les trois prochaines années. Les entreprises doivent commencer à effectuer des changements dès maintenant pour rester à jour et éviter des pénalités importantes.
Selon la CAI, les pénalités de la Loi 25 sont importantes, allant de 15 000 $ à 25 000 000 $ pour le secteur privé ou l’équivalent de 4 % du chiffre d’affaires global de l’entreprise au cours de l’année fiscale précédente. Les clients peuvent même présenter des réclamations contre les entreprises pour obtenir des dommages et intérêts légaux en raison de violations de données ou d’utilisation illégale d’informations personnelles.
Jusqu’où s’étend le champ d’application de la Loi 25?
Les entreprises du monde entier ressentiront les effets d’entraînement de la Loi 25, mais la législation elle-même a un impact spécifique sur les entreprises canadiennes.
Que couvre la Loi 25?
Pour ce qui est de ce qu’elle couvre, la Loi sur la modernisation de la législation en matière de protection de la vie privée définit les renseignements personnels de la même manière que la Loi sur le secteur privé: “tout renseignement qui se rapporte à une personne physique et qui permet de l’identifier.” Ces renseignements peuvent prendre des formes écrites, graphiques ou numérisées. La portée couvre également les renseignements “relatifs à d’autres personnes qu’une personne recueille, détient, utilise ou communique à des tiers dans le cadre de l’exploitation d’une entreprise.”
Qui est protégé par la Loi 25?
Tout le monde au Québec est couvert, ainsi que toute personne hors des frontières provinciales qui interagit avec un fournisseur de services basé au Québec.
Et toutes les organisations – qu’elles soient privées, publiques, grandes ou petites – doivent se conformer à la Loi du moment qu’elles recueillent et traitent les renseignements personnels de leurs clients ou partenaires.
Comment la Loi 25 protège-t-elle la confidentialité des données?
Les droits à la confidentialité et au respect de la vie privée en ligne n’existaient auparavant que dans la pratique, mais la Loi 25 veille à ce qu’ils le soient par défaut. Ainsi, par exemple, si le site Web de votre entreprise contient des outils de suivi, vous devez d’abord obtenir le consentement explicite de vos utilisateurs plutôt que d’utiliser un modèle d’exclusion comme vous pouviez le faire auparavant. Parmi les autres changements, citons:
- La transparence de l’utilisation : Les entreprises doivent divulguer la manière dont elles collectent les informations personnelles et les objectifs visés. Si des tiers sont impliqués, l’entreprise doit décrire ceux à qui les informations vont et si les informations sortent du Québec.
- Le consentement de l’utilisateur : Un consentement clair et exprimé est obligatoire, en particulier pour les informations personnelles sensibles comme les données médicales ou biométriques.
- Le droit de demander des informations supplémentaires : Les utilisateurs ont le droit de savoir combien de temps l’entreprise conserve leurs informations personnelles et qui est responsable de la protection ou de l’accès aux données en interne. Si les informations font l’objet d’un traitement automatisé, ils peuvent demander à connaître les décisions que l’entreprise prend en conséquence.
- Droit à la suppression : Les utilisateurs peuvent demander à tout moment aux entreprises de cesser de diffuser leurs informations personnelles et même demander que les liens Internet soient désindexés dans certains cas.
- Droit de demander un dossier : Les utilisateurs peuvent demander une copie numérique de toutes les informations personnelles qu’une entreprise possède sur eux.
Les entreprises doivent réagir à ces changements en adoptant des pratiques et des politiques appropriées pour protéger les informations personnelles, en donnant à leurs utilisateurs un plus grand contrôle sur les données personnelles et en renforçant les règles relatives au consentement.
Comment je me conforme à la Loi 25?
La première priorité est de désigner un responsable de la protection de la vie privée chargé de veiller au respect du règlement sur les données. Informez la CAI de votre décision et ajoutez les coordonnées de cette personne sur votre site web à titre de référence.
Établissez un protocole de notification des violations en cas d’incident de sécurité des données. Les entreprises doivent immédiatement informer les clients, partenaires et autres organisations concernées, ainsi que la CAI. Voici d’autres mesures à prendre pour se préparer à la Loi 25:
- Élaboration d’une politique de confidentialité : Disposez d’une politique de confidentialité complète sur votre site Web pour plus de transparence. Utilisez un langage simple pour détailler vos politiques de protection des données.
- Réaliser une évaluation des incidences sur la vie privée (EIVP) : Les EIVP sont des examens méticuleux de la façon dont votre organisation protège les informations personnelles que vous recueillez dans le cadre de vos activités régulières. Il s’agit d’un processus obligatoire pour la conformité à la Loi 25, notamment lors de la création ou de la maintenance de systèmes numériques impliquant des données privées.
- Affiner votre approche de l’élimination des données : Les entreprises doivent également disposer d’un système de destruction ou d’anonymisation des données personnelles une fois qu’elles ont rempli les objectifs de leur collecte. N’oubliez pas que les utilisateurs ont le droit d’exiger la suppression des données personnelles et pourraient demander une copie numérique de toutes les informations personnelles collectées.
Élaborez votre stratégie en fonction du type d’informations personnelles que vous collectez. Par exemple, le secteur d’affaires inter-entreprises repose en grande partie sur le démarchage téléphonique. La façon dont vous obtenez les coordonnées d’une autre entreprise doit être conforme, surtout si vous les échangez par l’intermédiaire d’un tiers.
Comment la Loi 25 se compare-t-elle aux autres réglementations internationales en matière de protection de la vie privée?
La Loi 25 ressemble beaucoup à d’autres développements récents en matière de réglementation internationale de la vie privée, à savoir le Règlement général sur la protection des données (RGPD) de l’Union européenne et la California Consumer Privacy Act (CCPA). Les principales différences sont les suivantes:
- Le champ d’application : La CCPA est celle dont le champ d’application est le plus étroit, puisqu’elle ne s’applique qu’aux personnes se trouvant en Californie. La Loi 25 et le RGPD ont des protections plus larges qui n’ont pas d’exigences de résidence.
- La vie privée par défaut : La Loi 25 considère la confidentialité par défaut, de sorte que vos clients ou partenaires doivent accepter la collecte de données. Le RGPD opte plutôt pour une approche basée sur la « conception de la confidentialité », et le CCPA se concentre principalement sur la remédiation après une violation.
- Définir le consentement : Ce qui distingue la Loi 25 des autres est sa définition stricte du consentement, notamment par rapport au RGPD, qui permet aux entreprises de justifier l’utilisation des informations personnelles à des fins de conformité ou d’intérêt public.
- Évaluation des risques : Le texte du CCPA ne couvre pas les évaluations d’impact. Alors que le RGPD et la Loi 25 le font, le RGPD n’exige des évaluations que dans les situations à haut risque. La Loi 25 est plus large et exige une évaluation quel que soit le niveau de risque projeté.
Assurez la conformité avec la Loi 25 en vous associant à Indigo Consulting
Des réglementations très médiatisées en matière de protection de la vie privée dans le monde entier, comme la Loi 25, ont un impact considérable sur le paysage des entreprises dans tous les secteurs. Les clients et les entreprises exigent que les organisations sécurisent davantage les données sensibles de leurs clients, vendeurs et partenaires.
Se protéger des violations de données commence par une gouvernance, une transparence et des mesures de conformité appropriées. Affinez votre politique de confidentialité, votre approche du consentement des utilisateurs, votre système de divulgation de votre utilisation des données sensibles aux utilisateurs et votre approche du respect des obligations de conformité. En procédant ainsi, vous vous protégez non seulement contre les sanctions juridiques, mais vous améliorez également la conformité et contribuez à renforcer la confiance de vos clients et partenaires.
Les organisations qui cherchent à mettre à jour leur gouvernance en matière de cybersécurité et de protection de la vie privée pour les réglementations modernes et à venir doivent commencer dès que possible. Intégrez les meilleures pratiques, telles qu’un solide programme de GRC et la gestion des identités et des accès, dans vos processus de travail afin de minimiser les risques de violation.
Vous recherchez des conseils sur la manière de vous conformer à la Loi 25 ? Contactez dès aujourd’hui notre équipe d’experts en confidentialité des données pour en savoir plus sur les mesures à prendre pour demeurer conforme.