La Loi 25 — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est entrée en vigueur par étapes entre 2022 et 2024. Elle impose des obligations concrètes à toutes les organisations qui collectent, utilisent ou communiquent des renseignements personnels au Québec.
Comprendre la structure de ces obligations vous aide à organiser votre démarche. Voici les 7 catégories principales.
1. Gouvernance
Toute organisation doit nommer un responsable de la protection des renseignements personnels (RPP). Par défaut, c'est la personne ayant la plus haute autorité, mais ce rôle peut être délégué par écrit.
En pratique : vous devez afficher le nom ou le titre de cette personne ainsi qu'un moyen de la joindre sur votre site web ou dans vos communications. Ce n'est pas symbolique; le RPP doit avoir l'autorité réelle de mettre en place des mesures de protection.
2. Consentement
La collecte de renseignements personnels doit être fondée sur un consentement libre, éclairé, spécifique et manifeste. L'organisation doit être en mesure d'expliquer clairement à quoi servent les données collectées.
En pratique : une case pré-cochée dans un formulaire d'inscription ne suffit plus. Si vous collectez des données à des fins de marketing, le consentement doit être explicitement donné pour cette finalité.
3. Sécurité des renseignements personnels
Les organisations doivent mettre en place des mesures de sécurité adaptées à la sensibilité des renseignements détenus. Elles doivent aussi évaluer ces mesures périodiquement.
En pratique : cela inclut des contrôles d'accès aux bases de données, la journalisation des accès, et des protocoles clairs pour les prestataires tiers qui traitent des données en votre nom.
4. Droits des personnes concernées
Les individus ont plusieurs droits sur leurs renseignements personnels : accès, rectification, retrait du consentement, portabilité (dans certains cas), et le droit à la désindexation dans des circonstances précises.
En pratique : vous devez avoir un processus clair pour traiter ces demandes et y répondre dans un délai raisonnable (généralement 30 jours).
5. Gestion des incidents de confidentialité
En cas de violation de données présentant un risque sérieux de préjudice, vous avez l'obligation de notifier la Commission d'accès à l'information (CAI) et les personnes concernées.
En pratique : vous devez tenir un registre de tous les incidents, même ceux qui ne nécessitent pas de notification. Ce registre peut être demandé par la CAI lors d'une inspection.
6. Évaluations des facteurs relatifs à la vie privée (EFVP)
Avant de mettre en place un nouveau système ou projet impliquant des renseignements personnels, une EFVP est requise lorsque le projet présente des risques élevés pour la vie privée.
En pratique : si votre organisation déploie un nouveau logiciel RH, une plateforme d'analyse de données clients, ou un système de surveillance, vous devez évaluer les risques et documenter les mesures d'atténuation avant de lancer.
7. Formation et sensibilisation du personnel
Le personnel ayant accès à des renseignements personnels doit être formé sur les obligations de la loi et sur les pratiques internes en matière de protection de la vie privée.
En pratique : une politique de confidentialité interne ne suffit pas si personne n'en connaît l'existence. La formation doit être documentée et renouvelée régulièrement, surtout lors de l'arrivée de nouveaux employés.
Comprendre la structure pour mieux prioriser
Ces 7 catégories ne sont pas toutes égales en termes d'effort. La gouvernance et la formation sont des fondations : sans RPP désigné et sans personnel informé, les autres mesures peinent à s'ancrer dans les pratiques quotidiennes.
Une bonne démarche de conformité commence par un état des lieux honnête : où en êtes-vous pour chacune de ces catégories? Quelles lacunes présentent le plus grand risque? C'est cette logique de priorisation qui distingue une démarche structurée d'une liste de cases à cocher.
Observantia est conçu pour vous aider à évaluer votre niveau de conformité par rapport à ces 7 catégories et à construire un plan d'action adapté à la taille et à la réalité de votre organisation.
Ce contenu est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour des questions spécifiques à votre situation, consultez un conseiller juridique qualifié.