Loi 25 sur la protection des renseignements personnels: de quoi s’agit-il?

Trouver mon avocat

Dans un monde de plus en plus connecté et numérisé, la protection des renseignements personnels est devenue une préoccupation plus qu’importante.

De plus en plus, la loi tente de limiter les potentielles atteintes à la vie privée dans la sphère numérique.

Au Québec, le législateur a répondu à cet impératif en modernisant sa législation sur la protection des renseignements personnels avec la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, mieux connue sous le nom de «Loi 25».

Inspirée des normes européennes en matière de protection des renseignements, cette loi adoptée en 2021 représente un changement fondamental dans la manière dont les organisations québécoises doivent gérer les données personnelles.

Elle impose de nouvelles obligations ainsi que des changements de la manière dont les organisations privées et publiques doivent protéger les renseignements personnels qu’elles détiennent.

Alors, qu’est-ce que tout cela veut dire pour votre entreprise? Est-ce que votre entreprise est suffisamment préparée aux modifications apportées par la Loi 25?

JuriGo est là pour vous expliquer en détail les implications de la Loi 25 ainsi que son impact sur les entreprises et les particuliers.

Quel est l’objectif de la Loi 25?

L'avènement rapide des technologies de l'information a créé un environnement où les renseignements personnels sont constamment collectés, stockés et partagés. Cela a conduit à des enjeux croissants quant à la sécurité et à la confidentialité de ces données.

Ainsi, la Loi 25 a été adoptée en réponse à cette évolution technologique pour mettre à jour les lois existantes sur la protection des renseignements personnels au Québec. Elle s'inspire des réglementations européennes telles que le Règlement général sur la protection des données (RGPD).

La loi entre en vigueur en différentes étapes, c’est-à-dire que les obligations qui y sont prévues seront applicables sur une période de trois ans. Certaines dispositions sont entrées en vigueur en septembre 2022, tandis que la plupart des obligations entrent en vigueur en septembre 2023. De la même façon, certains articles de la loi entreront en vigueur en septembre 2024.

Entreprises québécoises: que devez-vous savoir sur la Loi 25?

Si vous exploitez une entreprise au Québec, voici un aperçu des principaux changements apportés par la Loi 25 qui pourraient avoir un impact sur votre organisation:

• Désignation d’un responsable de la protection des renseignements personnels : Toutes les organisations ont désormais l’obligation de désigner un responsable de la protection des renseignements personnels ou créer un poste équivalent.

• Évaluations des facteurs relatifs à la vie privée : Certaines mesures précises devront être adoptées et les entreprises devront utiliser des évaluations des facteurs relatifs à la vie privée.
• Politiques de protection des renseignements personnels : Désormais, il existe une obligation pour les organisations de rendre leurs politiques sur la protection des renseignements personnels accessibles au public, tout en mettant en place des exigences pour les pratiques internes de protection des données.
• Avis obligatoires en cas d'atteintes à la protection des renseignements : Les organisations qui collectent des données personnelles ont également l’obligation de notifier les atteintes à la protection des renseignements, en conformité avec les exigences fédérales actuelles. Il est obligatoire de faire parvenir des avis pour signaler ces atteintes.
• Transparence en matière de consentement : La Loi 25 vient également renforcer l’obligation transparence des entreprises en matière de consentement et de collecte de renseignements personnels.
• Intégration des principes de confidentialité dans la technologie: La nouvelle loi introduit également l’obligation de mettre en œuvre les principes de confidentialité directement dans les systèmes et technologies utilisés.
• Nouveaux droits des personnes concernées: Enfin, de nouveaux droits sont introduits pour les personnes dont les renseignements personnels sont collectés, notamment :
  • Le droit à la portabilité des données;
  • Le droit à la prise de décision automatisée;
  • Les droits liés au profilage des données;
  • Le droit à l’oubli (sauf pour les renseignements d’intérêt public).
• Obligations relatives aux données biométriques: La Loi 25 impose certaines obligations quant aux données biométriques (empreinte vocale, empreinte digitale, ADN, etc.). Désormais, les entreprises doivent aviser la Commission d’accès à l’information (CAI) un minimum de 60 jours avant de créer une base de données biométriques.

Qui est responsable de faire appliquer la Loi 25?

La Loi 25 place la Commission d'accès à l'information du Québec (CAI) au cœur de son application. La CAI est donc l'organe de surveillance chargé de veiller à ce que les organisations se conforment à la loi. Elle a également pour mission de sanctionner les organisations qui ne respectent pas les obligations de la loi.

En outre, la CAI joue un rôle éducatif en publiant des lignes directrices pour aider les organisations à comprendre et à appliquer les nouvelles exigences de la Loi 25.

L’intervention de la CAI permet une application uniforme de la loi et aide les entreprises à éviter les erreurs coûteuses en matière de protection des données.

Quelles sont les pénalités et sanctions relatives au non-respect de la Loi 25?

Les entreprises qui manquent à leurs obligations en vertu de la Loi 25 ainsi qu’aux règlements d'application s'exposeront à des sanctions plus sévères par rapport au cadre législatif actuel.

Les sanctions varient en fonction de plusieurs critères, tels que la taille de l'entreprise et son caractère public ou privé.

Voici un aperçu des sanctions prévues pour les entreprises privées:

• Les entreprises privées qui négligent d'appliquer la réglementation encourent une sanction pouvant aller jusqu'à 10 millions de dollars, ou un montant équivalant à 2 % du chiffre d'affaires mondial de l'exercice financier précédent;
• Les entreprises privées qui font face à des sanctions pénales peuvent se voir infliger une amende correspondant à 4 % de leurs ventes, allant de 15 000 $ à 25 millions de dollars.

Pour ce qui est des institutions publiques, celles qui ne se conforment pas à la réglementation sont passibles de deux catégories de sanctions :

• Des amendes variant de 3 000 $ à 30 000 $;
• Des amendes allant de 15 000 $ à 150 000 $;

Enfin, les personnes physiques qui enfreignent la réglementation peuvent être soumises à des amendes d’un montant de 5 000 $, allant jusqu’à 100 000 $.

Il faut tout de même noter que si une organisation est passible d’une des sanctions administratives pécuniaires décrites plus haut, cette entreprise a toujours la possibilité de négocier avec la CAI, afin de convenir des mesures qu'elle compte prendre pour remédier à l'infraction ou en vue de réduire ses conséquences.

En vertu de la Loi 25, les particuliers ont le droit d'intenter des poursuites civiles, y compris des recours collectifs, lorsqu'ils estiment que leur droit à la confidentialité a été violé, que ce soit de manière intentionnelle ou par la faute grave d’une entreprise.

Dans ce contexte, les dommages-intérêts commencent à partir de 1 000 $ par personne. De plus, les organisations coupables d’atteinte au droit à la confidentialité d’autrui encourent également des amendes en vertu du Code civil du Québec.

Quand est-ce que les dispositions de la Loi 25 entrent en vigueur?

La Loi 25 est mise en œuvre progressivement sur une période de trois ans pour permettre aux organisations de s'adapter aux nouvelles obligations:

1. En septembre 2022, certaines obligations sont entrées en vigueur, notamment:

• La désignation d'une personne responsable de la protection des renseignements personnels;
• L’obligation de signaler les incidents de confidentialité à la CAI.

1. En septembre 2023, des obligations majeures deviennent effectives, telles que:

• La mise en place d'un cadre de gouvernance en matière de protection des données;
• L'évaluation des risques liés à la vie privée.

1. En septembre 2024, les entreprises devront respecter l'obligation de portabilité des données, ce qui signifie qu'elles devront fournir à toute personne concernée ses renseignements personnels sur demande. La Loi 25 limite d’ailleurs le droit à la portabilité des renseignements de deux façons:

• Elle n’inclut pas les renseignements créés ou dérivés d’une personne;
• Elle ne s’applique pas aux situations posant des difficultés pratiques majeures.

JuriGo vous aide à trouver un avocat en droit des affaires!

Ainsi, il n’y a pas de doute que la Loi 25 apporte des changements majeurs dans la manière dont les entreprises québécoises doivent gérer et protéger les renseignements personnels, en réponse à l'évolution rapide des technologies et des préoccupations croissantes en matière de confidentialité. Comme vous aurez pu le constater, les sanctions plus sévères pour les violations de cette loi soulignent l'importance de la conformité.

C’est pourquoi, dans un tel contexte, faire appel à un avocat en droit des affaires devient essentiel. Un avocat spécialisé en droit des affaires peut aider une entreprise en lui fournissant des conseils juridiques précieux pour garantir la conformité à la Loi 25, élaborer des politiques de protection des renseignements personnels, et négocier avec les autorités compétentes, comme le CAI, en cas d'infraction. L’expertise d’un juriste spécialisé est un atout essentiel pour protéger votre entreprise et éviter de faire face à sanctions financières importantes.

Pour trouver un avocat en droit des affaires, JuriGo est là pour vous accompagner. Avec le formulaire de demande ci-bas, vous pouvez trouver rapidement un avocat spécialisé rapidement et facilement.

Nous nous occupons de vous mettre en contact avec l’avocat qu’il vous faut, le tout gratuitement et sans engagement. Qu’attendez-vous pour protéger votre entreprise?

Trouver mon avocat