mains qui tapent sur un clavier d'ordinateur en arrière-plan. Au-dessus, des icônes représentant la cybersécurité.

Loi 25 – Protection des renseignements personnels

 
 
Des nouvelles obligations en matière de protection des renseignements personnels

La Loi 25, qui régit la gestion des renseignements personnels, vient avec de nouvelles obligations légales pour les organismes publics, parapublics et entreprises privées (OBNL, PME, etc.). En effet, certaines obligations sont déjà en vigueur depuis le 22 septembre 2022. La loi 25 vient encadrer les organismes et entreprises dans leur manière de protéger les données, ayant par défaut le standard le plus élevé de protection. Cette modernisation a été jugée nécessaire par le gouvernement afin d’encadrer la gouvernance des renseignements personnels de manière plus adaptée à la réalité technologique d’aujourd’hui. Il est important de noter que cette Loi n’avait pas eu de modifications majeures depuis l’année de sa création, en 1996. 

Les conséquences de la non-conformité aux nouvelles obligations sont assez lourdes. On parle en effet de sanctions sévères, soit des sanctions pénales pouvant aller jusqu’à 4% de son chiffre d’affaires ou jusqu’à 25 millions. On peut également voir des sanctions administratives pécuniaires de 2% du chiffre d’affaires, ou allant jusqu’à 10 millions, en plus des dommages et intérêts versés aux individus ayant souffert d’un manquement quant à la gestion des renseignements personnels. 

 

Les nouvelles dispositions législatives en matière de protection des renseignements personnels

Essentiellement, la Loi 25 donne plus de droits aux utilisateur(-trice)s. Tout individu doit facilement avoir accès à la manière dont les renseignements sont collectés, à quels renseignements sont collectés et à quelles fins ils sont collectés. La transparence devient alors une obligation et le consentement explicite, libre et éclairé est absolument nécessaire ! 

Dorénavant, la cueillette de renseignements personnels doit être limitée aux renseignements qui sont nécessaires à l’exercice de ses attributions et fonctions. À la suite de fuites de données dans plusieurs organismes et entreprises, le gouvernement a mis en place des dispositions législatives pour que le niveau de confidentialité concernant les renseignements des citoyens et citoyennes soit, par défaut, le plus élevé. 

Il est important de noter qu’il y a des responsabilités et des obligations légales différentes pour les organismes publics et les entreprises privées. Les textes de Loi sont à la fin du texte à titre de références. 

 

Voici la liste des mesures qui seront en vigueur à chaque année

L’incorporation des nouvelles mesures et obligations s’échelonne sur 3 ans pour que les organismes et entreprises soient conformes. 

 

En vigueur depuis le 22 septembre 2022 :

  • Nomination d’un responsable de la protection des renseignements personnels et rendre ses coordonnées visibles sur le site Web (autrement, c’est automatiquement la personne détenant le plus haut niveau d’autorité); 
  • Mise en place d’un comité sur l’accès à l’information et la protection des renseignements personnels (organismes publics); 
  • Création d’un registre d’incident de confidentialité;  
  • Établissement d’une procédure concernant la communication des renseignements personnels à des fins d’études, de recherche et de statistique;
  • Instauration d’une politique de confidentialité ou de gouvernance des données (détenir le consentement clair, explicite et éclairé des individus dont on recueille des renseignements personnels).

Mesures obligatoires en septembre 2023 :

  • Avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et les publier en termes simples et clairs sur le site Internet ou par tout autre moyen approprié;
  • Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec;
  • Respecter les nouvelles règles entourant le consentement de la collecte, de la communication ou relatif à l’utilisation des renseignements personnels;
  • Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi;
  • Respecter les nouvelles règles de communication des renseignements personnels à l’extérieur du Québec;
  • Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur;
  • Respecter le droit à la cessation de la diffusion, ou droit à l’oubli.

La mesure obligatoire en septembre 2024 :

  • Le droit à la portabilité, octroyant aux utilisateur(-trice)s le droit de demander et d’obtenir une copie, dans un format numérique, de tous leurs renseignements personnels recueillis par l’organisme ou l’entreprise.

 

Outils et ressources

Culture Gaspésie détient une trousse de cybersécurité en vente au coût de 50 $. Cette dernière est exclusivement disponible pour ses membres . Pour vous la procurer, veuillez écrire à info@culturegaspesie.org avec l’objet suivant : Achat trousse Loi 25. 

Pour toute question ou accompagnement concernant la Loi 25, n’hésitez pas à contacter et prendre rendez-vous avec l’agente de développement numérique aux coordonnées suivantes : adn@culturegaspesie.org  –  418 534-4139, poste 5 

Si vous vous questionnez sur les renseignements personnels collectés par Culture Gaspésie, veuillez lire notre politique de confidentialité.

Références: