Comprendre les grands principes de la nouvelle Loi 25 au Québec
Les origines de la Loi 25
|
Cet article tentera de vulgariser ce que vous devez comprendre de la nouvelle Loi, d'expliquer pourquoi elle s'applique à vos opérations et de définir les mesures à mettre en place afin d'éviter de devoir payer des pénalités qui peuvent s'avérer coûteuses pour votre entreprise.
|
Pourquoi mettre en place une telle loi?
La nouvelle Loi donne davantage de contrôle aux individus, en bonifiant les règles de consentement et en obligeant les entreprises à mettre en place des politiques et des pratiques précises visant à améliorer la protection des renseignements personnels.
Cette Loi modernise l'encadrement applicable à la protection des renseignements personnels dans diverses lois, dont la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé.
Cette Loi modernise l'encadrement applicable à la protection des renseignements personnels dans diverses lois, dont la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé.
Qu'est-ce qu'un renseignement personnel?
Voici la définition officielle de la Commission d'accès à l'information :
Un renseignement personnel représente toute forme de renseignement sur une personne physique et qui permet de l'identifier directement ou indirectement.
Dans le monde du numérique, cette dernière subtilité pourrait être associée à certains outils qui permettent de lier une donnée non personnelle (tel qu'un identifiant unique) à une série de renseignements personnels et, par le fait même, à un individu.
Qu'est-ce qui est inclus dans les renseignements personnels?La loi canadienne sur la vie privée fournit un peu plus d'information sur ce qui doit être considéré comme une information personnelle.
Cela inclut :
Un renseignement personnel représente toute forme de renseignement sur une personne physique et qui permet de l'identifier directement ou indirectement.
Dans le monde du numérique, cette dernière subtilité pourrait être associée à certains outils qui permettent de lier une donnée non personnelle (tel qu'un identifiant unique) à une série de renseignements personnels et, par le fait même, à un individu.
Qu'est-ce qui est inclus dans les renseignements personnels?La loi canadienne sur la vie privée fournit un peu plus d'information sur ce qui doit être considéré comme une information personnelle.
Cela inclut :
- Le nom, l'origine ethnique, la religion, l'état matrimonial et le niveau d'instruction;
- L'adresse électronique, les messages de courriel et l'adresse IP (protocole Internet);
- L'âge (ou la date de naissance), la taille, le poids, les dossiers médicaux, le groupe sanguin, l'ADN, les empreintes digitales et la signature vocale;
- Les revenus, les achats, les habitudes de consommation, les renseignements bancaires, les données sur les cartes de crédit ou de débit, les rapports de prêt ou de solvabilité et les déclarations de revenus;
- Le numéro d'assurance sociale (NAS) ou d'autres numéros d'identification.
Quel est l'impact de la Loi 25 pour les entreprises?
Plusieurs sites web recueillent des données personnelles à propos de leurs visiteurs. Par exemple, lorsqu'un client passe une commande, lorsqu'un candidat postule pour un poste sur votre site ou lors de la création d'un profil sécurisé.
Pour plusieurs entreprises, la collecte d'informations personnelles se fait dans un contexte de communication marketing. Plusieurs entreprises ont mis en place des mécanismes permettant de réunir des informations personnelles de diverses sources afin d'affiner et de personnaliser la communication.
Cependant, les informations réunies sont capturées dans des contextes différents (l'adresse courriel recueillie pour les infolettres est ensuite fusionnée avec l'information d'un profil d'utilisateur) et l'utilisation combinée de ces données n'a pas forcément fait l'objet d'une demande de consentement spécifique (on ne prévient pas l'utilisateur qu'on utilisera son adresse municipale pour créer un nouveau segment dans une liste d'infolettres, par exemple).
La réglementation du consentementLa Loi demande que ce consentement soit acquis, et donc les entreprises devront mettre en place des mécanismes pour aller chercher cette permission.
Obtention du consentement et obligation de transparenceLa Loi stipule que seule la collecte « d'informations sensibles » demande un consentement explicite. Il s'agit ici d'un renseignement personnel de type médical, biométrique ou autrement intime ou alors d'une information dont le contexte d'utilisation ou de communication nécessite un haut degré de protection vis-à-vis de la vie privée.
De manière générale, la Loi exige que le consentement soit donné pour l'utilisation de renseignements personnels. La demande de consentement doit se faire de façon simple et facile à comprendre et elle doit être faite pour toute nouvelle utilisation de l'information capturée.
Exceptions et subtilitésLa Loi 25 prévoit certaines exceptions à l'obligation de demande de consentement; à titre d'exemple, notons les cas suivants :
À noter que la Loi exige certaines formes de consentement explicite dans des contextes précis.
Lors d'une séance parlementaire, Éric Caire, ministre responsable de l'Accès à l'information et de la Protection des renseignements personnels, a indiqué que celle-ci (la Loi 25) avait pour conséquence d'introduire un consentement explicite (opt-in) pour la collecte de renseignements personnels au moyen de technologies ayant des fonctions d'identification, de localisation ou de profilage.
De plus, la Commission d'accès à l'information, sur son site web, mentionne que :
Ces technologies ne pourront être activées par défaut; ce sera à la personne concernée de les activer si elle le souhaite.
La Loi exige donc que le plus haut niveau de confidentialité soit offert par défaut.
Pour plusieurs entreprises, la collecte d'informations personnelles se fait dans un contexte de communication marketing. Plusieurs entreprises ont mis en place des mécanismes permettant de réunir des informations personnelles de diverses sources afin d'affiner et de personnaliser la communication.
Cependant, les informations réunies sont capturées dans des contextes différents (l'adresse courriel recueillie pour les infolettres est ensuite fusionnée avec l'information d'un profil d'utilisateur) et l'utilisation combinée de ces données n'a pas forcément fait l'objet d'une demande de consentement spécifique (on ne prévient pas l'utilisateur qu'on utilisera son adresse municipale pour créer un nouveau segment dans une liste d'infolettres, par exemple).
La réglementation du consentementLa Loi demande que ce consentement soit acquis, et donc les entreprises devront mettre en place des mécanismes pour aller chercher cette permission.
Obtention du consentement et obligation de transparenceLa Loi stipule que seule la collecte « d'informations sensibles » demande un consentement explicite. Il s'agit ici d'un renseignement personnel de type médical, biométrique ou autrement intime ou alors d'une information dont le contexte d'utilisation ou de communication nécessite un haut degré de protection vis-à-vis de la vie privée.
De manière générale, la Loi exige que le consentement soit donné pour l'utilisation de renseignements personnels. La demande de consentement doit se faire de façon simple et facile à comprendre et elle doit être faite pour toute nouvelle utilisation de l'information capturée.
Exceptions et subtilitésLa Loi 25 prévoit certaines exceptions à l'obligation de demande de consentement; à titre d'exemple, notons les cas suivants :
- Lorsque la donnée est utilisée à des fins de recherche et qu'elle est dépersonnalisée;
- Lorsque les renseignements personnels sont utilisés pour des raisons compatibles aux fins pour lesquelles ils ont été recueillis ou lorsque l'utilisation est manifestement au bénéfice de la personne concernée;
- Lorsque l'utilisation des renseignements est nécessaire à des fins de prévention et de détection de la fraude ou d'évaluation et d'amélioration des mesures de protection et de sécurité;
- Lorsque l'utilisation des renseignements est nécessaire à la fourniture ou à la livraison d'un produit ou à la prestation d'un service demandé par la personne concernée.
À noter que la Loi exige certaines formes de consentement explicite dans des contextes précis.
Lors d'une séance parlementaire, Éric Caire, ministre responsable de l'Accès à l'information et de la Protection des renseignements personnels, a indiqué que celle-ci (la Loi 25) avait pour conséquence d'introduire un consentement explicite (opt-in) pour la collecte de renseignements personnels au moyen de technologies ayant des fonctions d'identification, de localisation ou de profilage.
De plus, la Commission d'accès à l'information, sur son site web, mentionne que :
Ces technologies ne pourront être activées par défaut; ce sera à la personne concernée de les activer si elle le souhaite.
La Loi exige donc que le plus haut niveau de confidentialité soit offert par défaut.
Modifications aux politiques sur la vie privée
De manière générale, les entreprises devront faire certaines modifications sur leur site web, tout en s'assurant de mettre en place les activités qu'elles décrivent sur ces politiques.
1 - Obligation de divulguer les échanges avec des tiersDans beaucoup d'entreprises, la responsabilité de capturer, de traiter ou d’utiliser la donnée personnelle peut être confiée à un tiers. La Loi 25 oblige les entreprises à révéler le nom des tiers ou la catégorie de tiers avec qui les informations personnelles sont partagées. Ces informations devront se retrouver dans les politiques sur la vie privée.
2 - Obligation de divulguer l’exportation des données hors QuébecLes entreprises doivent informer les utilisateurs de la possibilité que les renseignements soient communiqués à l'extérieur du Québec, que ce soit dans une autre province ou un autre pays. De plus, elles devront s'assurer que les principes de protection des renseignements personnels du régime juridique applicable dans l'État où ces renseignements seraient communiqués seront équivalents à ceux applicables au Québec.
3 - Obligation de désigner un responsable des données personnellesDepuis le 22 septembre 2022, les entreprises ont le devoir de désigner une personne responsable de la protection des renseignements personnels au sein de l'entreprise. Le titre et les coordonnées de cette personne doivent être publiés sur le site web de l'entreprise.
4 - Obligation de mettre en place un processus de protection de donnéeLa Loi vise à éduquer les entreprises et à les responsabiliser en matière de collecte et de stockage de données personnelles. Elle demande donc aux entreprises de mettre sur pied un plan de gouvernance qui décrit leurs différents processus, leurs activités et leurs responsables, ainsi que la façon dont elles assurent la protection des données dans leur environnement.
Des responsables doivent être désignés et un plan de surveillance et de détection d'incident doit être mis en place, et tout incident concernant la confidentialité des informations doit être communiqué à la Commission d'accès à l'information.
L'évaluation des facteurs liés à la vie privée (EFVP)L'entreprise doit mettre en place un mécanisme de validation avec les partenaires qui utilisent, consomment et manipulent la donnée personnelle afin de se protéger et de démontrer qu'elle a mis en place les mécanismes de sécurité appropriés pour prévenir les incidents potentiels.
L'entreprise doit mener une EFVP avec tous ses partenaires; ils doivent démontrer qu'ils sont à même de protéger la donnée selon les normes gouvernementales.
1 - Obligation de divulguer les échanges avec des tiersDans beaucoup d'entreprises, la responsabilité de capturer, de traiter ou d’utiliser la donnée personnelle peut être confiée à un tiers. La Loi 25 oblige les entreprises à révéler le nom des tiers ou la catégorie de tiers avec qui les informations personnelles sont partagées. Ces informations devront se retrouver dans les politiques sur la vie privée.
2 - Obligation de divulguer l’exportation des données hors QuébecLes entreprises doivent informer les utilisateurs de la possibilité que les renseignements soient communiqués à l'extérieur du Québec, que ce soit dans une autre province ou un autre pays. De plus, elles devront s'assurer que les principes de protection des renseignements personnels du régime juridique applicable dans l'État où ces renseignements seraient communiqués seront équivalents à ceux applicables au Québec.
3 - Obligation de désigner un responsable des données personnellesDepuis le 22 septembre 2022, les entreprises ont le devoir de désigner une personne responsable de la protection des renseignements personnels au sein de l'entreprise. Le titre et les coordonnées de cette personne doivent être publiés sur le site web de l'entreprise.
4 - Obligation de mettre en place un processus de protection de donnéeLa Loi vise à éduquer les entreprises et à les responsabiliser en matière de collecte et de stockage de données personnelles. Elle demande donc aux entreprises de mettre sur pied un plan de gouvernance qui décrit leurs différents processus, leurs activités et leurs responsables, ainsi que la façon dont elles assurent la protection des données dans leur environnement.
Des responsables doivent être désignés et un plan de surveillance et de détection d'incident doit être mis en place, et tout incident concernant la confidentialité des informations doit être communiqué à la Commission d'accès à l'information.
L'évaluation des facteurs liés à la vie privée (EFVP)L'entreprise doit mettre en place un mécanisme de validation avec les partenaires qui utilisent, consomment et manipulent la donnée personnelle afin de se protéger et de démontrer qu'elle a mis en place les mécanismes de sécurité appropriés pour prévenir les incidents potentiels.
L'entreprise doit mener une EFVP avec tous ses partenaires; ils doivent démontrer qu'ils sont à même de protéger la donnée selon les normes gouvernementales.
Le manufacturierLe manufacturier est une plateforme d'échange pour les besoins reliés aux services d'impartition dans les PME. |
LES DEMANDES POPULAIRES
usine, industrie et manufacturier
Acton Vale
Alma Amos Amqui Anjou Asbestos Aylmer Baie-Comeau Baie-d'Urfé Baie-Saint-Paul Beaconsfield Beauceville Beauharnois Beaupré Bécancour Bedford Belœil Berthierville Blainville Boisbriand Bois-des-Filion Bonaventure Boucherville Bromont Brossard Brownsburg-Chatham Cabano Candiac Cap-Chat Cap-Santé Carignan Carleton-sur-Mer Causapscal Chambly Chandler Charlemagne Chateauguay Château-Richer Chibougamau Clermont Coaticook Contrecœur Cookshire-Eaton Coteau-du-Lac Cowansville Danville Dégelis Delson Deux-Montagnes Disraeli Dolbeau-Mistassini Dollard-des-Ormeaux Donnacona Dorval Drummondville Dunham East Angus Farnham Fermont Forestville Gaspé Gatineau Gracefield Granby Grande-Rivière Hampstead |
|