Selon un sondage réalisé par l’Académie de la transformation numérique, près de trois Québécois sur quatre (72%) sont préoccupés quant à la protection de leurs données personnelles collectées, stockées et utilisées sur Internet. C’est en répondant à ces inquiétudes que le gouvernement du Québec a adopté en septembre 2021 la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé), qui met en place diverses exigences concernant la protection et l’utilisation des informations personnelles recueillies. Au Québec, toutes les entreprises privées qui collectent, traitent ou communiquent des informations personnelles sont visées par cette loi.

Responsabilités des entreprises selon la loi 25

Adoptée en 2021, la loi 25 se déploie sur trois phases de septembre 2022 à septembre 2024.

La première phase, mise en place en septembre 2022, impose les exigences suivantes aux entreprises :

  • Désigner une personne responsable de la protection des renseignements personnels et rendre les coordonnées de cette personne accessible aux usagers web;
  • Prendre des mesures pour réduire le risque de vols de données et tenir un registre des incidents;
  • En cas d’incident, aviser les personnes concernées ainsi que la Commission d’accès à l’information du Québec (CAI).

En vigueur depuis septembre 2023, la deuxième phase se révèle un peu plus complexe. Les principales exigences émises par la loi 25 sont les suivantes :

  • Établir et publier une politique de gouvernance encadrant la gestion des informations personnelles;
  • Réaliser une évaluation des risques avant de communiquer des informations personnelles hors du Québec;
  • Détruire toutes informations personnelles détenues une fois que leur finalité de collecte est accomplie ou les anonymiser;
  • Respecter les nouvelles règles concernant le consentement à la collecte et au stockage des renseignements personnels.

Finalement, la troisième phase sera en vigueur à partir de septembre 2024 et exigera aux entreprises de répondre aux demandes de portabilité des renseignements personnels. Le droit à la portabilité permet aux usagers d’obtenir la communication des renseignements informatisés qu’ils ont fournis et d’obtenir l’accès à ces renseignements pour leur usage personnel.

Pénalités en cas de non-conformité

La non-conformité à la loi 25 pourrait entraîner des pénalités financières majeures pour les entreprises. En cas d’infractions administratives, les sanctions financières pour les entreprises seront minimalement de 1 000$ et s’élèveront jusqu’à 2% du chiffre d’affaires ou 10 M$.

Dans l’éventualité que la CAI intente une poursuite pénale pour une infraction, les sanctions financières iront de 15 000$ jusqu’à 25 M$ ou 4% du chiffre d’affaires.

À noter que les administrateurs d’une personne morale pourraient être tenus personnellement responsables en cas de non-conformité avec la loi.

Comment bien se conformer à vos responsabilités

Voici quelques pistes d’actions et de bonnes pratiques à mettre en place pour se conformer aux deux premières phases :

  • Désigner une personne responsable de la gestion des données personnelles;
  • Dresser un inventaire des renseignements personnels détenus;
  • Mettre en place un plan d’action qui vous permettra d’agir rapidement en cas d’incident de confidentialité;
  • Évaluer la sensibilité de chaque information personnelle détenue;
  • Si vous prévoyez utiliser des données biométriques, informez-vous au préalable de vos obligations en la matière.

Il va de soi qu’une entreprise possédant une bonne structure numérique aura plus de faciliter à se conformer aux nouvelles exigences de la LOI 25. À cet effet, nous vous invitons à lire notre article sur le Programme canadien d’adoption du numérique (PCAN) qui permet d’obtenir une subvention pour l’élaboration d’un Plan d’adoption du numérique pour un conseiller reconnu par le gouvernement.

Un article de Gustave Legault-Brousseau, CPA Directeur – Services conseils

Pour approfondir votre lecture :