Votre navigateur n'est plus à jour et il se peut que notre site ne s'affiche pas correctement sur celui-ci.

Pour une meilleure expérience web, nous vous invitons à mettre à jour votre navigateur.

Me connecter M'abonner

Loi 25 sur la protection des données : serez-vous mieux protégé ?

Par Jean-François Gazaille
29 août 2023
Thapana_Studio/Shutterstock.com

Dès le 22 septembre, les entreprises qui colligent et manipulent vos informations personnelles devront se conformer à quasiment tous les articles de la Loi 25 sur la protection des données.

Adoptée en septembre 2021, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels modifie une vingtaine de lois, en réaction directe à la fuite de renseignements personnels survenue chez Desjardins en juin 2019.

Cette loi s’inspire largement du Règlement général sur la protection des données (RGPD) adopté par le Parlement européen en 2016 et appliqué par tous les États membres depuis 2018.

Les dispositions de la Loi 25 qui entreront en vigueur le 22 septembre prochain élargissent essentiellement la portée de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et celle de la Loi sur la protection des renseignements personnels dans le secteur privé. Elles accordent plus de droits au citoyen et au consommateur, et prévoient des pénalités importantes aux entreprises contrevenantes.

À lire aussi : Grand dossier : comment protéger vos données personnelles

Responsabiliser les entreprises

Depuis un an, plusieurs dispositions importantes sont déjà en application.

D’une part, toute entreprise doit désigner un responsable de la protection des renseignements personnels et signaler à la Commission d’accès à l’information du Québec (CAI) tout risque d’atteinte à la confidentialité de données personnelles.

D’autre part, l’entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée (EFVP), une démarche consistant à considérer en amont tous les aspects d’un projet susceptibles de brimer ou de mieux protéger les données personnelles de ses clients.

Enfin, la CAI doit être avisée avant la mise en place de toute technique biométrique permettant de vérifier ou de confirmer l’identité d’une ou de plusieurs personnes. La biométrie ne peut d’ailleurs être utilisée sans le consentement exprès des personnes concernées.

Évaluation des facteurs relatifs à la vie privée

À compter du 22 septembre prochain, les organisations publiques ou privées devront procéder à une évaluation des facteurs relatifs à la vie privée avant tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels. Elles devront le faire aussi avant de communiquer tout renseignement personnel à l’extérieur du Québec.

« La Commission n’a pas à approuver une EFVP, indique un porte-parole de la CAI par voie de courriel. Elle pourra cependant exiger la transmission d’une EFVP lorsqu’elle exerce ses fonctions de surveillance. »

Transparence

À l’instar des organismes publics, les entreprises privées devront établir des règles relatives à leur gestion des renseignements personnels et les publier sur leur site Internet ou par tout autre moyen approprié si elles n’en ont pas.

Ces règles devront notamment porter sur la conservation et la destruction des renseignements personnels, les rôles et responsabilités des membres du personnel à l’égard des renseignements personnels, ainsi que le processus de traitement des plaintes.

Une entreprise ne pourra pas collecter d’informations personnelles concernant un enfant de moins de 14 ans sans le consentement de ses parents ou de son tuteur, sauf si elle agit au bénéfice de l’enfant.

Enfin, les politiques de confidentialité, tout comme l’ensemble des explications fournies aux consommateurs, devront être rédigées en des termes simples et clairs.

Les fonctionnalités d’identification, de localisation et de profilage des sites commerciaux ne pourront plus être activées par défaut : il incombera au consommateur de décider de les activer ou non.

Au moment de vous demander l’autorisation de recueillir des renseignements personnels, chaque entreprise devra vous expliquer les moyens et les objectifs de cette collecte. Dans tous les cas, vous ne perdrez jamais votre droit de retirer votre consentement ou d’exiger une rectification.

Vous pourrez aussi demander le nom des tiers à qui sont destinés vos renseignements personnels, qu’ils aient pignon sur rue au Québec ou ailleurs dans le monde.

Enfin, vous pourrez exiger d’avoir la liste des renseignements personnels vous concernant et la durée de leur conservation, ainsi que les coordonnées de la personne responsable de la protection des renseignements personnels au sein de l’entreprise.

Destruction des renseignements personnels

La Loi sur la protection des renseignements personnels dans le secteur privé prévoit également que les entreprises doivent mettre en place un dispositif assurant la destruction des renseignements personnels, une fois atteint l’objectif pour lequel ils ont été recueillis.

Cependant, les entreprises pourront anonymiser les renseignements personnels au lieu de les détruire, pour les utiliser uniquement à des fins « sérieuses et légitimes ».

Droit à l’oubli

Comme c’est maintenant le cas en Europe depuis l’adoption du RGPD, vous pourrez dès septembre demander aux entreprises de cesser de diffuser toute information personnelle vous concernant — à moins qu’il ne s’agisse d’une information d’intérêt public, par exemple une condamnation.

Si cette diffusion vous cause du tort ou qu’elle enfreint une décision judiciaire, vous aurez le droit de faire désindexer tous les hyperliens associés à votre nom.

« Mais ce n’est pas un bar ouvert, prévient Alexandre Plourde, avocat et analyste chez Option consommateurs. Il y a des critères stricts à respecter. Il faut vraiment que le préjudice subi soit plus important que l’intérêt du public à connaître l’information dont il est question. »

Pénalités

Les entreprises contrevenantes s’exposent par ailleurs à des amendes salées. La CAI peut imposer des « sanctions administratives pécuniaires » ou intenter des poursuites pénales.

Le montant des sanctions administratives peut atteindre 50 000 $ par personne et 10 millions $ ou 2 % du chiffre d’affaires mondial de l’entreprise fautive. Dans le cas de poursuites pénales, l’amende maximale sera de 25 millions $ ou l’équivalent de 4 % du chiffre d’affaires mondial si ce montant est plus élevé.

La loi prévoit aussi des dommages-intérêts de 1000 $ minimum par personne lors d’une poursuite au civil.

« Le choix du tribunal et le type d’action dépendront des faits spécifiques du dossier et de la stratégie choisie par le demandeur, précise la CAI. Il est possible de poursuivre une société étrangère, car la Loi sur la protection des renseignements personnels dans le secteur privé s’applique à toute personne qui exploite une entreprise au Québec, et ce, peu importe où se situe son siège social. »

Poursuivre des multinationales ?

N’est-il pas illusoire d’espérer faire plier une société étrangère, a fortiori une grande multinationale comme Amazon ou Google ?

« Je ne crois pas qu’il soit impossible d’imposer cette loi aux entreprises étrangères ayant des activités au Québec, dit Alexandre Plourde. Ce n’est pas parce qu’une entreprise a son siège social ailleurs qu’elle peut échapper aux lois québécoises lorsqu’elle fait affaire ici et qu’elle recueille des renseignements personnels auprès de consommateurs québécois. »

« En outre, observe-t-il, les pénalités sont ‟substantielles”», ce qui devrait inciter les entreprises à se conformer à leurs nouvelles obligations.

Le véritable enjeu, selon lui, est de donner à la Commission les ressources nécessaires pour faire appliquer la loi. « Lors de l’adoption du projet de loi il y a deux ans, ajoute Me Plourde, nous avons recommandé qu’elle soit accompagnée d’un financement accru de la CAI pour que celle-ci soit en mesure de mener les enquêtes et d’intervenir auprès des entreprises. »

La CAI estime qu’il lui faudrait doubler ses effectifs actuels pour s’acquitter de l’élargissement de son mandat. L’organisme, qui compte 79 employés à temps plein, voudrait recruter 80 personnes de plus.

Portabilité

La portée de la Loi 25 sera complète le 22 septembre 2024, avec l’entrée en vigueur du « droit à la portabilité ».

À partir de ce jour, toutes les organisations publiques et privées devront, à votre demande, vous communiquer les renseignements personnels qu’elles auront recueillis auprès de vous.

À lire aussi : Comment effacer les données sur vos appareils électroniques

 

Lire l'article
Québec interdit les scooters et les motocyclettes non conformes

Vous possédez un scooter, une motocyclette ou un vélomoteur non conformes aux normes de sécurité ? Il vous est désormais interdit de rouler sur la route, les pistes cyclables ou les trottoirs sous peine d’une amende salée.
Lire l'article
Brevets d’invention: des nouveautés à venir chez votre concessionnaire?

Une camionnette à trois rangées ? Un système modulaire qui transforme votre VUS en camping-car ? Un dispositif qui prévient la rage au volant ? Voici des inventions automobiles pour lesquelles des brevets américains viennent d’être délivrés.
Lire l'article
10 idées pour occuper ses ados durant l’été

Vos ados sont trop vieux pour apprécier les camps de jour, mais trop jeunes pour avoir une job d’été ? Voici quelques suggestions d’activités peu coûteuses qui les tiendront occupés et qui leur plairont autant qu’à vous, parents !
Lire l'article
Comment bien dormir en avion?

Il n’est pas toujours facile de trouver le sommeil en avion. Les voyageurs qui y arrivent doivent toutefois adopter une bonne posture et utiliser un support adéquat. Petit guide pour bien dormir à 10 000 mètres d’altitude.
  Ajouter un commentaire

L'envoi de commentaires est un privilège réservé à nos abonnés.

Il n'y a pas de commentaires, soyez le premier à commenter.