May 1, 2023
Loi 25
Données personnelles : changements
Si vous ignorez que la seconde phase d’application d’un amendement à la Loi 25 entre en vigueur en septembre, vous n’êtes pas seul. Pourtant, ce changement -et celui de la phase suivante- risquent grandement de vous affecter!
Au Québec, la Loi 25 vise essentiellement la protection des renseignements personnels. Elle ne date pas d’hier: sa première mouture remonte à 1993. La Loi a subi quelques amendements, notamment en 2001 et 2006, mais ces modifications et leur application sont passées sous le radar de la plupart des entrepreneurs, principalement par manque d’information. Or, trois nouveaux amendements viennent changer la donne.
«La première phase, entrée en vigueur en septembre 2022, oblige tout entrepreneur à nommer un responsable de la protection des renseignements personnels», indique l’avocate Dani Ann Robichaud. «Ce responsable doit rapporter au gouvernement tout incident lié aux données personnelles des citoyens.»
Contrôle serré
En fait, l’entreprise doit établir une politique énumérant les pratiques qu’elle adopte pour encadrer la gouvernance des renseignements personnels et assurer la protection de ceux-ci. « Ce processus restera en vigueur tout au long du cycle de vie des renseignements recueillis et l’entreprise doit pouvoir donner suite aux plaintes ou demandes de renseignements relatifs aux informations personnelles dont elle dispose », ajoute Me Robichaud. Dans un deuxième temps, l’entrepreneur devra évaluer les facteurs relatifs à la vie privée de ses employés, clientèles et fournisseurs en fonction de ses méthodes de collecte et d’utilisation des renseignements (abonnements, site Internet, partage et destruction des renseignements.) « Troisièmement, en collaboration avec la personne responsable de la protection des renseignements personnels, l’entreprise devra assurer une mise à jour régulière de sa banque de données. « La Loi 25 prévoit un droit à l’oubli, qui stipule qu’après un certain temps, les données doivent être détruites », conclut-elle
Des questions
La mise en place de ces changements et l’application de la Loi 25 ne sont pas sans soulever leur lot de questions. Ainsi:
• La Loi vise à rendre un respon- sable de l’entreprise, imputable en cas de défaut d’application des mécanismes de protection des renseignements personnels. Or, cet employé peut-il être tenu personnellement responsable et ainsi, être mis à l’amende en cas d’infraction?
• La collecte d’information pour établir un profil de clientèle (ex.: âge, sexe) est-il soumis à ce contrôle?
• La collecte d’image vidéo par un système de caméra de sécurité est-il exempté de la Loi 25?
• Victime d’un vol, un propriétaire de dépanneur commet-il une infraction s’il transmet aux policiers des images du crime sans mandat? Commet-il une obstruction au travail des policiers s’il refuse de le faire en vertu de la Loi 25?
• Le gouvernement a-t-il les moyens de ses ambitions? Fonctionnera-t-il par plainte ou par audit? (Fin de l’encadré)
Incertitude
Étonnamment, la Loi 25 n’a pas été brandie par les politiciens lors des déboires des Caisses Desjardins ou du scandale Facebook-Cambridge Analytica. Par ailleurs, comment gère-t-on l’envoi de données personnelles sur des serveurs hors Québec? L’information en ligne relative aux trois phases des amendements de 2022 à 2024 est pratiquement inexistante.
Pourtant, le gouvernement gagnerait à publiciser l’application de ces amendements, afin de permettre aux entrepreneurs de s’y conformer. Mentionnons qu’une entreprise fautive pourrait s’exposer à une amende de 10 millions de dollars, ou jusqu’à 2% de son chiffre d’affaires international…
AvertIssement: L’information contenue dans cet article, bien qu’elle soit de nature légale, ne constitue pas un avis juridique. il est suggéré de consulter un professionnel pour des conseils qui sauront répondre à votre situation particulière