Toutes les collections
Trucs et astuces
Qu'est-ce que la loi 25 du Québec ?
Qu'est-ce que la loi 25 du Québec ?

Vous devez conformez à la législation sur la protection de la vie privée si vous faites affaire avec ceux qui vivent ou opèrent au Québec.

Samantha Postlethwaite avatar
Écrit par Samantha Postlethwaite
Mis à jour il y a plus d’une semaine

⚖️ Amilia ne fournit pas de conseils juridiques ; ce contenu a été préparé à des fins d'information uniquement. Nous vous encourageons à parler à un professionnel du droit lors de l'interprétation de la loi 25.

La loi 25 fait référence à la Loi québécoise modernisant les dispositions législatives relatives à la protection des renseignements personnels. L'objectif principal de cette loi est de réglementer la manière dont les informations personnelles sont traitées, que ce soit lors de la collecte, du stockage ou du consentement à leur collecte et à leur partage. La loi 25 s'applique à toutes les organisations québécoises ainsi qu'à celles établies à l'extérieur de la province qui ont des clients qui utilisent leurs services ou produits au Québec.

📚 Obtenez notre guide qui vous aidera à comprendre les enjeux liés à la nouvelle loi et à assurer la conformité de votre organisation.

Quand la loi 25 entre-t-elle en vigueur ?

La loi 25 (anciennement projet de loi 64) est entrée en vigueur le 22 septembre 2022, avec un déploiement progressif des dispositions sur trois ans. La majorité entre en vigueur le 22 septembre 2023. Ce qui suit est un aperçu général des exigences de la loi 25.

Exigences pour la première année (2022)

  • Nommer un responsable de la protection des renseignements personnels : cette personne doit documenter correctement tout incident dans un journal et prendre des mesures pour réduire rapidement le risque d'un autre incident de confidentialité (par exemple, vol de disque dur ou accès malveillant et non autorisé). Le responsable de la protection de la vie privée doit être clairement identifié sur le site Web public de votre organisation.

  • Notifications en cas d'incident de confidentialité : Votre organisation est tenue de faire des notifications en cas d'incident de confidentialité à la Commission d'accès à l'information du Québec (CAI), ainsi qu'à toute personne concernée en cas d'incident de confidentialité. Une notification de violation doit également être effectuée lorsque l'accès non autorisé à des informations personnelles est susceptible d'entraîner un « risque de blessure grave » pour l'individu.

  • Inscription à une base de données biométrique : Les organismes doivent aviser la Commission d'accès à l'information du Québec (CAI) au moins 60 jours avant la mise en œuvre de processus biométriques et la création d'une base de données biométrique. Tout processus impliquant l'utilisation de la biométrie pour vérifier ou confirmer l'identité d'une personne doit être divulgué à la CAI. De plus, le consentement exprès des individus est requis pour utiliser des données biométriques à des fins de vérification d’identité.

Exigences pour la deuxième année (2023)

  • Avoir une politique de confidentialité : votre organisation doit disposer d'une politique de confidentialité facilement accessible, rédigée dans un langage simple et disponible sur votre site Web ou via d'autres méthodes publiques.

  • Gouvernance de la confidentialité et développement de programmes : développez et mettez en œuvre des politiques de confidentialité internes pour gérer et protéger de manière appropriée les informations personnelles tout au long des activités de votre organisation. Votre organisation est tenue de fournir les paramètres permettant d'assurer le plus haut niveau de confidentialité d'un produit ou service technologique proposé au public (cette disposition ne s'applique pas aux paramètres de confidentialité des témoins du navigateur).

  • Évaluations des facteurs relatifs à la vie privée (EFVP) : Une EFVP est un processus de gestion des risques qui aide les organisations à s’assurer qu’elles respectent les exigences législatives et à identifier les impacts que leurs programmes et activités auront sur la vie privée des individus.

  • Objectif, collecte et consentement : les organisations doivent clairement définir aux individus les objectifs de la collecte de renseignements personnels, à la fois au moment de la collecte et lorsque les individus demandent des informations sur l'objectif et les pratiques de collecte de votre organisation. Les organisations doivent obtenir au préalable le consentement de la personne avant d'utiliser ses renseignements personnels à des fins de prospection commerciale. Il existe des exceptions au consentement, par exemple, lorsque les informations personnelles sont des coordonnées professionnelles.

  • Destruction des renseignements personnels et droit à l'oubli : Les renseignements personnels doivent être détruits une fois les finalités de leur collecte remplies. S'il existe une raison légitime de conserver les informations personnelles, celles-ci doivent être anonymisées. Les organisations doivent prendre des dispositions pour répondre aux demandes lorsqu'une personne souhaite empêcher la diffusion de ses informations personnelles.

  • Traitement automatisé des informations personnelles : vous devez informer les individus si leurs informations personnelles seront utilisées pour prendre une décision basée uniquement sur le traitement automatisé de ces informations. Ils doivent être informés au moment de la collecte ou avant le traitement automatisé de leurs informations personnelles.

  • Source des renseignements personnels : Si une personne en fait la demande, les organisations doivent divulguer la source utilisée pour obtenir leurs renseignements personnels et si ceux-ci ont été recueillis auprès d'une autre personne ou organisation.

Exigences en année 3 (2024)

  • Portabilité des données : vous devrez fournir à cette personne, sur demande, des informations personnelles sur une personne dans un format technologique structuré et couramment utilisé. Vous devrez également divulguer les informations à une autre organisation autorisée à collecter des informations personnelles à la demande de la personne (par exemple, si une personne cherche à changer de fournisseur de services).

    Le droit à la portabilité des données est limité par la loi 25 de deux manières :

    • Il ne couvre pas les informations créées ou dérivées sur l'individu

    • Elle ne s'étend pas aux cas qui soulèvent de sérieuses difficultés pratiques.

Amilia est-elle conforme à la loi 25 ?

En tant que partenaire numérique et administratif de milliers d'organisations, nous avons appliqué les procédures nécessaires à la conformité de la loi 25.

Amilia est un fournisseur de services certifié PCI-DSS de niveau 1, le plus haut niveau de conformité en matière de sécurité pouvant être atteint dans le secteur des paiements. Pour répondre aux besoins du marché canadien et américain, nous avons déjà suivi un processus relativement similaire à celui de la loi 25. Nous avons obtenu deux certifications de sécurité importantes : Soc 2 et HIPAA, assurant la gestion sécurisée de vos données clients. Avec plus de 350 contrôles de sécurité certifiés par des cabinets externes, nous connaissons bien la sécurité informatique !

Il est important de noter que même si l'accord d'utilisation, la politique de confidentialité et la gestion des données personnelles d'Amilia au sein de SmartRec sont conformes à la loi 25, votre organisation doit s'assurer que ses politiques de confidentialité et la gestion externe de ces données sont également conformes.

Que doit faire mon organisation ?

La mise en œuvre progressive de la loi 25 vise à donner aux organisations suffisamment de temps pour se préparer aux nouvelles exigences en matière de confidentialité et apporter les changements nécessaires à leurs pratiques en matière de protection des données.

  • Cela comprend la réalisation d'un audit de confidentialité, la mise à jour des politiques et procédures de confidentialité, la mise en œuvre de mesures de sécurité, la formation du personnel, la nomination d'un responsable de la confidentialité et l'examen des contrats avec les fournisseurs de services.

  • Nous vous recommandons de parler avec un professionnel du droit pour vous assurer de ce que la loi 25 implique spécifiquement pour votre organisation.

🔴 Les organisations qui ne respectent pas la loi 25 et ses réglementations associées s'exposeront à des sanctions en fonction de la taille de leur entreprise. La loi 25 est appliquée par la Commission d’accès à l’information (CAI) du Québec, l’organisme provincial responsable de l’accès à l’information au Québec.

Glossaire et sources

1. Quelle est la définition des informations personnelles ?

Les informations personnelles concernent une personne physique et permettent de l'identifier. C'est confidentiel. Sauf exception, elle ne peut être communiquée sans le consentement de la personne concernée.

Les informations personnelles concernent l'identité d'une personne, telles que son nom (dans certains cas), son âge, son origine ethnique, son adresse, son numéro de téléphone, son adresse courriel, ses courriels, son adresse IP, son niveau d'éducation, des détails sur sa vie personnelle, le contenu des recherches sur le Web, les préférences des utilisateurs en ligne, les données biométriques, le dossier médical, les renseignements sur la santé, le numéro d'assurance sociale (NAS) et autres numéros d'identification qui peuvent être considérés comme des renseignements personnels dans le contexte de la loi.

Veuillez noter que la définition ne fait pas référence aux informations relatives à une personne morale (c'est-à-dire aux informations concernant une entreprise).

2. Qu'est-ce qu'un incident de confidentialité ?

Un incident de confidentialité signifie :

  • Accès non autorisé ou utilisation par la loi des informations personnelles

  • Communication de renseignements personnels non autorisée par la loi

  • Perte d'informations personnelles ou toute autre violation de la protection de ces informations

3. Quelles données biométriques peuvent être utilisées pour identifier ou authentifier une personne ?

Ce sont des caractéristiques uniques, issues de l’analyse biométrique, qui permettent d’identifier ou d’authentifier une personne. Il existe 3 grandes catégories de données biométriques :

  1. Biométrie morphologique - basée sur l'identification de traits physiques spécifiques. Elle comprend la reconnaissance des empreintes digitales, de la forme de la main, du visage, de la rétine et de l'iris de l'œil ;

  2. Biométrie comportementale - basée sur l'analyse de certains comportements d'une personne, comme le traçage de sa signature, de sa voix, de sa manière de taper sur un clavier, etc. ;

  3. Biométrie biologique - basée sur l'analyse des traces biologiques d'une personne, telles que l'ADN, le sang, la salive, l'urine et les odeurs.

Sources

Avez-vous trouvé la réponse à votre question ?