De quoi s’agit-il?
La loi 25 consiste en un ensemble de dispositions qui visent à protéger la vie privée des résidents du Québec. Ces nouvelles dispositions sont conçues pour mettre à jour les règles et les lois régissant la collecte, le traitement, la gestion, et l’utilisation des renseignements personnels au Québec. Elles suivent, ainsi, les développements des technologies et des pratiques dans le domaine numérique.
Qui est concerné par cette loi?
Ces dispositions concernent toutes les entreprises et tous les organismes privés et gouvernementaux, ceux-ci ont des obligations légales dans le cadre de ces dispositions. L’impact de cette loi touche aussi les individus, qui devront bénéficier d’une meilleure assurance de protection quant à leurs renseignements personnels.
Quand les dispositions entre-elles en vigueur?
Les nouvelles dispositions s’ajoutent aux obligations législatives en vigueur. Elles entrent en vigueur progressivement sur une période de trois ans :
Entrée en vigueur le 22 septembre 2022
- Responsabilité/point de contact :
- Désigner une personne avec la responsabilité de protéger les renseignements personnels. Le titre et les coordonnées de cette personne doivent être publier sur le site web de l’entreprise (ou autrement s’il n’y a pas de site web);
- Gestion des incidents :
- Tenir un registre des incidents touchant à la confidentialité des renseignements personnels;
- Communiquer une copie du registre à la Commission d’accès à l’information du Québec si elle la demande;
- En cas d’incident :
- Prendre des mesures raisonnables pour atténuer le risque de préjudices aux sujets concernés. Ces mesures doivent être prises le plus rapidement possible à la suite de chaque incident;
- Prendre des mesures raisonnables pour éviter que des incidents similaires ne se produisent dans le futur;
- Si le risque de préjudices est élevé :
- Aviser la Commission d’accès à l’information du Québec
- Aviser toute personne concernées ou touchée par l’incident;
- Tenir un registre des incidents touchant à la confidentialité des renseignements personnels;
- Communication des renseignements personnels :
- Respecter le nouvel encadrement applicable à la communication de renseignements personnels sans le consentement de la personne concernée que ce soit dans le cadre d’une transaction commerciale ou encore à des fins d’étude, de recherche ou de productions de statistiques;
- Procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques;
- Utilisation de la biométrie :
- Informer la Commission d’accès à l’information du Québec, au préalable :
- De tout processus de vérification d’identité qui fait recours à la biométrie;
- De tout processus de confirmation d’identité qui fait recours à la biométrie;
- Informer la Commission d’accès à l’information du Québec, au préalable :
Entrée en vigueur le 22 septembre 2023
-
Gouvernance des renseignements personnels :
- Établir des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié;
-
ÉFVP :
- Effectuer une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec;
-
Cycle de vie des renseignements personnels :
- Collecte :
- Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels;
- Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur;
- Communication :
- Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée (exercice d’un mandat ou exécution d’un contrat de service ou d’entreprise);
- Respecter les nouvelles règles de communication des renseignements personnels à l’extérieur du Québec;
- Respecter les nouvelles règles de communication des renseignements personnels facilitant le processus de deuil.
- Utilisation :
- Respecter les nouvelles règles d’utilisation des renseignements personnels;
- Protection :
- Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public;
- Conservation :
- Anonymiser les renseignements personnels pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi;
- Destruction :
- Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie;
- Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l’oubli);
- Transparence :
- Respecter vos nouvelles obligations d’information et de transparence envers les citoyens;
- Collecte :
Entrée en vigueur le 22 septembre 2024
- Répondre aux demandes de portabilité des renseignements personnels.
à lire aussi: Personal Identifiable Information