1 février 2023 Loi 25 : par où commencer ?

Temps de lecture - 14 minutes

Êtes-vous concernés par la loi 25 ? Et si c’était le temps de revoir vos stratégies de données ? Voici des pistes pour vous guider dans votre démarche de gestion des renseignements personnels.

Mis à jour le 10 août 2023

Partager

Facebook LinkedIn Twitter Courriel

* Avis : Cet article vous propose une marche à suivre afin de débuter votre propre chantier en lien avec la loi 25. Il ne peut en aucun cas se substituer à des conseils légaux. Nous vous recommandons de valider votre démarche de conformité avec votre équipe légale.

« Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. »

La loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, aussi appelée loi 25 est sur toutes les lèvres depuis quelques mois, et avec raison puisqu’elle nous concerne tous. Certaines des dispositions sont déjà en vigueur depuis septembre 2022, mais la majorité le sera à partir de septembre 2023. Si vous n’avez pas encore de stratégie pour vous y conformer, pas de panique : il est encore temps d’entreprendre votre démarche, une étape à la fois.

1. Nommer un responsable de la protection des renseignements personnels

Depuis septembre 2022, chaque organisme doit nommer au sein de son équipe un responsable de la protection des renseignements personnels. De facto, la personne avec la plus haute autorité est désignée, mais elle peut toutefois déléguer cette responsabilité. Il est important que la personne responsable comprenne bien les implications de son rôle, mais aussi qu’elle soit bien entourée et appuyée dans l’application des processus de gestion des données que vous mettrez en place. La réussite sera le fruit du travail de plusieurs membres de votre équipe.

2. Gérer et organiser ses données

Nécessairement, il est important de bien connaître les données qui vivent ou transitent chez vous. Un inventaire décrivant leur degré de sensibilité, leur provenance (interne ou externe à votre organisme) ainsi que le lieu (physique ou virtuel) où elles sont conservées vous permettra d’avoir l’information nécessaire pour réaliser les prochaines étapes, en plus de faciliter la reddition de compte et la gestion du cycle de vie de vos données, de leur génération à leur destruction. Cet inventaire peut prendre la forme d’un classeur Excel ou d’un schéma de circulation des données.

3. Organiser ses processus

Une fois vos données répertoriées, vous devez examiner vos processus. Leur formalisation de vos activités de marketing, de la facturation ou encore de la gestion de données clients. En effet, au regard de la loi, vous ne pouvez pas collecter ou traiter ces données sans avoir identifié un objectif légitime au sens de votre activité professionnelle. En plus de vous donner des indications sur quelles données collecter (en s’assurant qu’elles servent bien l’objectif prévu), cette démarche identifiera les membres de votre équipe qui devraient être impliqués.

En pratique, la loi exige depuis septembre 2022 la tenue d’un registre des incidents de confidentialité et la réalisation d’une évaluation des facteurs relatifs à la vie privée (ÉFVP) préalablement à la communication de renseignements personnels sans consentement à des fins d’étude, de recherche ou de production de statistiques. Dès 2023, vous devrez réaliser ces évaluations pour tout projet ou service impliquant des renseignements personnels. Il vous faudra également assurer la destruction ou l’anonymisation[1] des données une fois que la finalité pour laquelle elles ont été collectées est accomplie. Finalement, penchez-vous sur vos façons de traiter les plaintes, les retraits de consentement ainsi que les demandes de rectification et de désindexation[2] afin d’assurer le droit à l’oubli et à la portabilité[3].

Une fois que ces processus seront formalisés, vous aurez toutes les informations en main pour rédiger les documents démontrant votre conformité et votre transparence.

Virage numérique : accompagnement

4. Mettre à jour ses politiques

La loi prévoit que toutes les entreprises doivent se doter de politiques et pratiques de gouvernance d’ici septembre 2023. Une bonne politique de gouvernance des données devra notamment détailler :

  • Les rôles et responsabilités des membres de votre équipe en lien avec les données;
  • Le processus de traitement des plaintes liées à la protection des renseignements personnels;
  • Les règles de conservation et de destruction des renseignements personnels appliquées.

Profitez-en également pour mettre à jour vos politiques déjà existantes. Par exemple, la politique de confidentialité de votre site web ou celle disponible à l’achat de billets pour vos événements.

5. Être transparent

Les obligations de transparence se manifestent à plusieurs niveaux :

Vous permettra de vous questionner sur vos activités impliquant un traitement de ces données : il peut s’agir Directement auprès des personnes concernées par les renseignements personnels que vous détenez par l’obtention de leur consentement éclairé et séparé des autres informations communiquées avec eux pour chacune des fins de collecte de leurs données ;

  • Auprès du public général, par la publication de vos politiques et des coordonnées pour rejoindre votre responsable de la protection des renseignements personnels;
  • Auprès de la CAI, qui doit être avisée de tout incident de sécurité sérieux.

Entretenir vos processus

Si des changements de cap dans vos projets modifient l’utilisation que vous faites des renseignements personnels, il importe de revisiter certaines des étapes mentionnées ci-haut. Par exemple, il pourrait être nécessaire de réaliser une nouvelle ÉFVP et de redemander le consentement des personnes concernées par la collecte. L’échange de données hors Québec ou le traitement de données biométriques peuvent également soulever d’autres enjeux.

Finalement, ne gâchez pas vos efforts en laissant vos inventaires, processus et politiques tomber aux oubliettes : prévoyez des mécaniques afin qu'ils soient mis à jour périodiquement et le tour est joué !

Ressources pertinentes

 

Consulter l'infographie

 

Cet article est rendu possible grâce au Programme de soutien au virage numérique des activités, attractions et événements touristiques québécois, financé par le ministère de l’Économie et de l’Innovation (MEI) et le ministère du Tourisme (MTO) dans le cadre de l’Offensive de transformation numérique. La gestion de ce programme a été confiée à Événements Attractions Québec.

Pour en savoir plus, veuillez consulter le site Web Virage Numérique ou envoyer vos questions par courriel à numerique@eaq.quebec.

Virage numérique : accompagnement

[1] L’anonymisation consiste à traiter les données de sorte que l’identification de personnes n’est plus possible d’aucune façon. L’anonymisation est à différencier de la pseudonymisation et de la dépersonnalisation, qui ne vont pas aussi loin en termes de protection des renseignements personnels.

[2] La désindexation implique que « les personnes pourront demander aux entreprises de cesser de diffuser leurs renseignements personnels ou de désindexer tout hyperlien rattaché à leur nom donnant accès à des renseignements si cette diffusion leur cause préjudice ou contrevient à la loi ou à une ordonnance judiciaire » Commission d’accès à l’information du Québec. Droit à la désindexation. Consulté 19 janvier 2023, à l’adresse https://www.cai.gouv.qc.ca/espace-evolutif-modernisation-lois/thematiques/droit-desindexation/

[3] Le droit à la portabilité implique que toute personne peut « obtenir, dans un format technologique structuré et couramment utilisé, un renseignement personnel informatisé qu’elle a fourni ou de demander que celui-ci soit transmis à une autre personne ou à un organisme dans ce même format. » Gouvernement du Québec. (2022). Droit à la portabilité. Consulté 19 janvier 2023, à l’adresse https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/acces-aux-renseignements-personnels/titre-par-defaut

Écrit par Viêt Cao

Viêt Cao est directeur, innovation & analytique de données. Il est activement impliqué dans des projets de développement de connaissances des publics par la valorisation individuelle et/ou collective des données de partenaires culturels, ainsi que des projets de recherche partenariale. Il supervise également le développement d’outils de gestion et d’analyse de données à l’attention des acteurs du secteur des arts et de la culture.

Des questions?

Contactez-nous!