« Un petit cabinet d’avocats qui vous offre une grande ATTENTION ! »

APDQ

Inscrivez-vous dès maintenant aux chroniques juridiques

Remplissez le formulaire et nous serons en mesure vous répondre dans les plus brefs délais : 

Les moyens faciles de nous rejoindre :

Par téléphone

450-574-0767

Par courriel

info@dufresneavocats.com

Adresse

53-2 rue Dufferin, Granby, Québec, J2G 4W8

Rendez-vous

Réservez selon nos disponibilités respectives

Chroniques juridiques

Le 22 septembre 2023, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, mieux connue sous le nom de la Loi 25, entrera en vigueur. Cette loi modificatrice s’applique à toutes les entreprises privées qui recueillent, gèrent ou communiquent des renseignements personnels. Cette chronique exposera sommairement un résumé législatif de cette nouvelle disposition afin que vos entreprises puissent s’adapter aux modifications.

 

But et sanctions

 

La Loi 25 a pour but de protéger la population québécoise face aux récoltes de renseignements personnels effectuées par les entreprises privées. En fait, la Commission d’accès à l’information du Québec a la charge de surveiller l’application de la Loi 25 et elle peut imposer des sanctions pécuniaires pouvant s’élever à plus de 10 000 000 $ ou le montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent de l’entreprise dans la mesure où ce dernier montant est plus élevé.

 

Qu’est-ce qu’un renseignement personnel (RP)?

 

Plusieurs catégories d’informations sont édictées comme des renseignements personnels (ci-après appelés « RP »). Selon l’article 2 de la Loi sur la protection des renseignements personnels dans le secteur privé, un RP est défini comme suit : « tout renseignement qui concerne une personne physique et permet de l’identifier. »

Ces renseignements sont confidentiels, sauf dans les cas prévus par la loi, et doivent être protégés. Ils ne peuvent être communiqués sans le consentement de la personne concernée. Voici des exemples de RP, à savoir notamment, l’adresse, le numéro de téléphone, l’âge, le numéro d’assurance sociale, le dossier médical, le revenu d’une personne, le numéro de cartes de crédit ou le curriculum vitæ. Cependant, les renseignements professionnels qui concernent une personne dans l’exercice de ses fonctions ne sont pas des RP et par conséquent ils peuvent être divulgués sans le consentement du tiers.

Dès lors, une entreprise récoltant des RP doit implanter une politique de confidentialité proportionnelle à la nature de ses activités et un programme de gouvernance de l’information efficace respectant les dispositions législatives.

 

Programme de gouvernance de l’information

 

Le programme de l’entreprise devra mentionner le responsable de la protection des renseignements personnels (ci-après appelé « RPRP »), qui sera nommée ultérieurement. La personne choisie pourra créer un inventaire des RP que l’entreprise possède et celle-ci pourra déterminer qui obtiendra l’autorisation d’y accéder. L’entreprise a l’obligation de prévoir par défaut les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public. Le programme devra aussi prévoir les règles applicables à la conservation des RP. Également, il faudra prévoir les règles applicables à la destruction des RP lorsque leur utilité est accomplie, ou bien à leur anonymisation pour les utiliser à des fins sérieuses et légitimes. Le tiers peut aussi faire la demande de désindexation et/ou suppression de ses RP. C’est la raison pour laquelle une procédure permettant cette possibilité pour l’individu doit être ajoutée au programme de l’entreprise.  En plus, un processus de traitement des plaintes relatives à la protection des RP devra être instauré.

 

Évaluation des facteurs relatifs à la vie privée (ci-après appelée « EFVP »)

 

La mise en vigueur de la Loi 25 impose aussi l’élaboration d’une évaluation des facteurs relatifs à la vie privée avant un projet d’acquisition, de développement ou de refonte de systèmes d’information impliquant le traitement de RP. Cette disposition n’est pas rétroactive donc l’entreprise aura l’obligation d’évaluer l’impact du projet sur la vie privée des individus seulement lorsqu’il s’agit de nouveaux projets. Pour être conforme à cette exigence, il faut concevoir une procédure qui définit les critères déclenchant l’obligation d’effectuer l’évaluation et développer un modèle simple à utiliser par les employés pour la réalisation de l’EFVP. Lorsqu’il y a communication de RP à l’extérieur du Québec, une EFVP doit obligatoirement être faite.

 

Politique de confidentialité

 

L’entreprise devra aussi mettre à jour une politique de confidentialité accessible au public utilisant leurs services. Cette politique devra respecter les nouvelles obligations de transparence. Ainsi, à travers la politique établie, l’utilisateur pourra connaitre facilement les raisons pour lesquels ses RP sont collectés, à quelle fin ils sont utilisés, comment ils sont collectés, qui leur ont accès, combien de temps ils sont conservés et à qui ils sont communiqués. La politique de l’entreprise devra aussi partager les coordonnées de la RPRP. L’accès non autorisé à un RP, la communication non autorisée par la loi d’un RP ou bien la perte d’un RP sont tous des exemples d’incident de confidentialité. Ce genre de situation peut entrainer des préjudices sérieux, tels qu’une atteinte à la réputation d’un individu, une perte financière ou un vol d’identité. Lorsqu’un préjudice sérieux est vécu par un individu à la suite d’un incident de confidentialité, l’entreprise ou la victime doit le communiquer à la Commission d’accès à l’information du Québec.

 

Terme et Conditions

 

L’entreprise devra aussi mettre à jour une politique de confidentialité accessible par un site web ou en l’absence de site par tous autres moyens appropriés au public utilisant leurs services. Intégrer des conditions d’utilisation à son site web peut être une bonne option afin de respecter les exigences de la loi sur l’obtention du consentement du public. L’entreprise devra implanter un moyen d’obtenir le consentement de ses utilisateurs. Afin que le consentement soit valide, il doit être manifeste, libre, éclairé et donné à des fins spécifiques. Il doit être demandé en termes simples et clairs. De plus, le consentement du mineur de moins de 14 ans doit être donné par le titulaire de l’autorité parentale. Une entreprise utilisant un traitement automatisé de RP doit obligatoirement le notifier aux individus. Ce dernier pourra demander à l’entreprise des précisions sur les RP utilisés et les principaux paramètres de la prise de décision de l’algorithme.  Finalement, l’entreprise n’a pas besoin du consentement de la personne concernée lorsque les RP sont communiqués à la suite de l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise. Par conséquent, en donnant son consentement l’utilisateur accepte la politique de confidentialité et les conditions de la récolte de ses RP.

 

Conclusion

 

En résumé, la Loi 25 oblige les entreprises québécoises, comme les vôtres, à se conformer aux nouvelles exigences et obligations énumérées ci-dessus.  Des sanctions importantes y figurent en cas de défaut. Sachez que l’équipe, Dufresne société d’avocats est disposée à vous outillez davantage et à vous confectionner au besoin les documents juridiques adéquats pour votre entreprise afin que vous respectiez les modifications prévues par l’adoption de la Loi 25.