Le 22 septembre 2022 est la date d’entrée en vigueur de la nouvelle loi 25. Son objectif est de moderniser les dispositions législatives en matière de protection des renseignements personnels (RP). Ainsi, cette réforme permet aujourd’hui au Québec de se placer sur le devant de la scène en matière de protection des individus.
Dans un contexte social de cybercriminalité, de compromission de données et de numérisation de documents personnels, nous comprenons qu’il soit plus que nécessaire d’accorder toute notre attention sur l’utilisation et la gestion de nos données. En effet, c’est essentiellement le cas après que de nombreux scandales aient éclaté, comme celui de Facebook-Cambridge Analytica en 2018. L’entreprise avait utilisé des données de 87 millions d’utilisateurs à des fins de propagande pro-Trump et pro-Brexit, depuis 2014., remettant entièrement en question les principes de liberté, sécurité et confidentialité des individus.
Mais qu’est-ce que la loi 25 ?
“Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, qui a été adoptée par l’Assemblée Nationale le 22 septembre 2021.”
Les données personnelles en organisation : un risque qui pourrait coûter cher par Dubé Latreille Avocats Inc.
Ainsi, elle protège, respecte et défend les renseignements personnels (RP) des individus et lutte pour préserver leur consentement et leur vie privée. Également, la loi 25 vient modifier d’autres importantes réformes telles que :
- La Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (LAI)
- La Loi sur la protection des renseignements personnels dans le secteur privé (LP)
Pour ainsi pouvoir s’accorder un maximum avec les nouvelles attentes, besoins et menaces de nos sociétés.
Son objectif final étant de ne permettre à aucune structure de s’échanger ou vendre les renseignements et données des individus.
Alors, dès le 22 septembre 2022, toutes les organisations auront l’interdiction formelle d’utiliser les RP des individus à des fins de prospection sans leur consentement.
Donc, cela implique que les organisations vont devoir respecter de nouvelles responsabilités et les citoyens, de nouveaux droits.
À qui s’applique-t-elle ?
La loi s’applique à toute structure détenant des RP d’individus, tels que des organismes de bienfaisance, des organismes publics et des entreprises privées. Qu’ils soient de petite, moyenne ou grande taille et de n’importe quel secteur d’activité.
Dans chaque structure, une personne va devoir être nommée responsable de la protection des RP issus des employé.e.s, des client.e.s et/ou des bénéficiaires. Ce sont des données qui touchent à la vie privée d’individus et qui permettent de les identifier directement ou indirectement. De plus, elles peuvent être dites “sensibles”, comme les renseignements médicaux, biométriques ou intimes. Ainsi, elle nécessitent une attention et une régulation particulières.
La spécificité de cette loi implique d’une part que le titre de responsable soit indiqué sur le site internet de l’organisation. D’autre part, que cette fonction puisse être déléguée par écrit, à toute personne et en tout temps.
Ainsi, chaque organisme est concerné et se verra obligé de respecter cette loi à compter du 22 septembre 2022. Ainsi, ses modifications vont favoriser la transparence des organismes publics, des entreprises et des partis politiques provinciaux. Mais aussi, un meilleur contrôle des citoyen.ne.s concernant la gestion de leurs RP.
Par conséquent, ces mesures sont adaptées à notre ère puisqu’elles vont permettre une meilleure sécurité et respect de la vie privée.
À savoir : le respect de la Loi 25 n’est ni corrélé à la taille ni au chiffre d’affaires des organisations. Son applicabilité est la même, pour tous.
Quels changements la loi 25 apporte-t-elle ?
En vigueur au 22 septembre 2022
Pour les citoyen.ne.s :
- Droit à l’information
- Droit de retrait du consentement
- Droit à la portabilité
- Droit de rectification
- Droit à l’effacement
Chaque individu se voit accorder le droit formel de pouvoir utiliser, user, divulguer, partager et effacer ses propres informations en tout temps.
Pour les organisations :
- Obligation de désigner un.e responsable de la protection des RP. Dans la majorité des cas, la mission revient au ou à la PDG. Mais, elle peut tout aussi bien être déléguée à l’interne. La personne nommée devra faire respecter la Loi 25 à l’organisation. ùde plus, ielle devra répondre aux demandes d’information, mais aussi de questions, plaintes ou interrogations concernant le traitement de ces données.
- Nécessité de créer un comité sur l’accès à l’information et la protection des renseignements.
En vigueur le 22 septembre 2023
- Établir des politiques et des pratiques de gouvernance par rapport aux RP. (Art. 3.2 LAI)
- Être transparent dans la collecte et l’utilisation des RP : diffusion des règles encadrant la gouvernance sur les sites internet (Art. 63.3 LAI)
- Publier une politique de confidentialité facilement compréhensible de tous et toutes dans le cas où vous récoltiez par un moyen technologique les RP des individus. (Art. 63.4 LAI) (Art. 8.2 LP)
- Prévenir les individus lorsqu’ils font objets de décision fondée sur un traitement automatisé, i.e., sans l’intervention humaine. (Art 65.2 LAI) (Art. 12 LP)
- Informer les personnes lorsqu’elles font objet de technologie d’identification, de localisation ou de profilage. (Art. 65.0.1 LAI) (Art. 8.1 LP)
- Offrir l’anonymisation et la destruction des RP (Art. 73 LAI) (Art. 23 LP)
- Inclure les nouveaux assujettis à la Loi sur le Privé : Partis Politiques Provinciaux (Art. 1 LP)
- Réaliser une évaluation des facteurs relatifs à la vie privée, en particulier avant de transférer les RP hors du Québec. (LAI : Art. 63.5, 64, 68, 70) (Art. 3.3 et 17 LP)
- Obtenir un consentement manifeste, libre et éclairé dans l’utilisation et le traitement des RP. (Art. 53.1 et 65.1 LAI) (Art 12 et 14 LP)
- Offrir le droit à la désindexation : effacement et oubli (Art. 28.1 LP). Les individus seront en mesure de revenir sur leurs choix et de demander aux organisations de ne plus diffuser leurs RP.
- Appliquer la nouvelle communication des RP facilitant le deuil. (Art. 88.0.1 LAI) (Art. 40.1 LP).
- Les organisations pourront communiquer certaines informations et RP aux familles des défunts s’il est nécessaire. À moins que l’individu ait consigné par écrit son refus.
- Appliquer les conditions sur les RP d’un mineur de moins de 14 ans. (Art. 64 LAI) (Art. 4.1 LP)
Les RP ne pourront être recueillis sans le consentement du tuteur ou du parent du mineur. - Inclure l’obligation de créer des paramètres assurant le plus haut niveau de confidentialité d’un produit ou service offert. (Art. 63.6.1 LAI) (Art. 9.1 LP)
- Considérer la possibilité d’imposition de sanctions administratives par la Commission aux organisations. (Art. 90.1 et suivants LP)
En vigueur le 22 septembre 2024
Droit à la portabilité des RP (Art. 84 LAI) (Art. 27 LP)
Les individus pourront demander aux organisations leurs RP sous format technologique structuré. Ainsi, ce sera aux organisations entre 2022 et 2024, de se conformer aux réformes et de les respecter.
Les différentes sanctions
Sachant que nous parlons ici de respect de la vie privée des individus. Il est plus que nécessaire d’indiquer que le non-respect de cette loi engendre de lourdes conséquences.
D’une part, d’un point de vue administratif et pénal :
- Administratif : soit jusqu’à 10 M$ ou 2% du chiffre d’affaires
- Pénal : soit jusqu’à 25 M$ ou 4% du chiffre d’affaires
D’autre part, en matière de conformité, de responsabilité légale, de réputation, de notoriété et de développement des affaires.
Les exceptions
Comme nous nous en doutons, il existe toujours des exceptions qui confirment la règle.
En effet, dans ce cas de figure l’article 110 LMDLMPRP le démontre. Il indique que dans certains cas, il est possible d’acquérir des RP sans consentement.
- Si l’utilisation de ceux-ci est en lien avec les fins pour lesquelles ils ont été recueillis
- Si la personne concernée y trouve son utilité
- Si leur utilisation est à des fins d’études, de recherche ou de production de statistiques
Ensuite, l’article 115 LMDLMPRP qui concerne la même loi, signale que lors de transaction à des fins commerciales, l’information peut être communiquée à un tiers sans consentement.
D’après « l’article 18.4 alinéa 4 LP, une transaction commerciale s’entend de l’aliénation ou de la location de tout ou partie d’une organisation ou des actifs dont elle dispose, d’une modification de sa structure juridique par fusion ou autrement, de l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou d’une sûreté prise pour garantir l’une de ses obligations. »
Cependant, cette procédure nécessite qu’une entente soit préalablement conclue entre les parties. Elle doit stipuler que la structure :
- N’utilise les renseignements qu’aux seules fins de la conclusion de la transaction commerciale
- Qu’elle ne communique pas à son tour les renseignements sans y être autorisée par la présente loi
- Qu’elle prenne certaines mesures afin d’assurer la confidentialité des RP
- Détruise les renseignements en cas de non-transaction commerciale ou si l’information n’est plus nécessaire
Il est à noter que lorsque la transaction commerciale est réalisée, la partie détenant les nouveaux RP ne peut les utiliser que si l’organisation se conforme à la présente loi. Elle devra ainsi aviser la personne concernée de la détention de ses renseignements. Enfin, à part en cas de nouvelle transaction commerciale, chaque utilisation de RP devra être précédée du consentement de l’individu concerné.
Mais, il n’existe aucune exemption en Colombie-Britannique ou en Alberta.