Souvent associée à la cybersécurité, la Loi 25 touche aussi profondément les ressources humaines. Les professionnels en gestion des ressources humaines et les dirigeants d’entreprise qui manipulent quotidiennement des renseignements personnels d’employés, sont au cœur de la conformité.
Comprendre la Loi 25
Cette réforme modernise les lois québécoises sur la protection des renseignements personnels et renforce le droit à la vie privée. Elle s’applique à toute organisation qui collecte, utilise ou conserve des données personnelles, peu importe son secteur. Il n’y a pas de minimum d’employés ou de minimum de chiffre d’affaires : toutes les entreprises sont concernées par ces obligations.
Un renseignement personnel est une information permettant d’identifier un individu (son nom, son adresse de courriel, son adresse, son téléphone, etc.). Plus il est sensible, plus les exigences sont élevées. Les ressources humaines doivent continuellement adapter leurs pratiques ; elles qui voient passer coordonnées bancaires, numéros d’assurance sociale, dates de naissance, informations médicales…
La non-conformité à la Loi 25 peut entraîner des amendes allant jusqu’à 25 M$ ou 4 % du chiffre d’affaires mondial, ainsi que des poursuites civiles et des dommages-intérêts punitifs. Au-delà des sanctions financières, elle expose surtout l’entreprise à des atteintes majeures à sa réputation et à la perte de confiance des employés et des partenaires.
Cela passe notamment par le fait de faire l’inventaire des renseignements personnels, la rédaction d’une politique de gouvernance, un processus de consentement clair et la formation des équipes (mise « sous clé » des informations, quelle que soit leur forme : électronique ou papier).
Le rôle stratégique des ressources humaines
Les ressources humaines gèrent des renseignements personnels dans des contextes variés : recrutement, paie (salaires), absences (billets médicaux), déclarations d’accident (diagnostics), adhésions aux assurances collectives, processus disciplinaires ou confidentiels, etc. Depuis septembre 2023, le consentement préalable est obligatoire pour toute collecte ou communication de données, et cela s’applique aux employés.
Les politiques doivent aussi encadrer la conservation, la destruction et le traitement des plaintes : Combien de temps conserverez-vous les dossiers de vos anciens employés ? À quel moment procédez-vous à la destruction des CV non retenus ? À qui l’employé ou le candidat doit s’adresser s’il pense que ses informations ont été communiquées à un tiers sans son accord ?
Exemples concrets en recrutement
Un processus de recrutement (avec la collecte de curriculum vitae et vos notes d’entrevues) exige un consentement préalable clair des candidats et une conservation sécurisée de ces documents. Les CV ne peuvent pas « traîner » sur votre bureau ou être transférés à d’autres entreprises sans l’autorisation expresse du candidat (même si vous pensez rendre service).
Aussi, avant de vérifier les références d’un candidat, il vous faut obtenir son autorisation écrite préalable. Vous ne pouvez pas appeler son ancien employeur, sans qu’il ne vous y autorise. De même, lorsqu’un autre employeur (même si c’est un ami) vous appelle pour prendre des références sur l’un de vos anciens employés, vous devez exiger de voir le consentement écrit avant même de confirmer qu’il a bien travaillé chez vous.
L’importance d’outils RH à jour
Pour minimiser les risques de fuite de données et démontrer votre conformité, certains outils sont essentiels à de saines pratiques en matière de ressources humaines :
- Centraliser les politiques et procédures dans un Manuel des employés structuré et documenté (Confidentialité des données, Santé et sécurité, harcèlement et violence à caractère sexuel).
- Documenter les autorisations et les conserver (ex. : demandes de références).
- Automatiser certaines obligations lors des départs, comme la destruction sécurisée des données, en respectant des délais légaux.
Exemple inspirant : Certaines entreprises intègrent des formations sur la Loi 25 dans leur programme d’accueil, démontrant leur engagement envers la protection des données dès le jour 1 et permettant de sensibiliser leurs employés aux données personnelles qu’ils côtoient eux aussi dans le cadre de leurs fonctions.
Une opportunité à saisir
Au-delà de la conformité, la Loi 25 est une occasion de renforcer la culture de protection des données et la crédibilité de l’entreprise. En plaçant la confidentialité au cœur des pratiques RH, vous protégez à la fois l’organisation et ses talents, tout en bâtissant un climat de confiance durable.
Un article de notre équipe de Capital humain
en collaboration avec Valérie Tétreault, CPA auditrice
paru dans le Magazine LE REFLET – Chambre de commerce de Sainte Adèle
Pour approfondir votre lecture
- Protection des renseignements personnels | Gouvernement du Québec
- Loi 25- Protection des données personnelles : Quelles sont vos responsabilités ? – Amyot Gélinas
- La loi 25, c’est l’affaire des ressources humaines – CRHA
- Procédures RH : des bases solides pour des relations de travail harmonieuses – Amyot Gélinas
