En tant qu’OBNL, où vous situez-vous par rapport à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, aussi appelée Loi 25?
- Elle me fait peur, ça me semble monstrueusement gros et compliqué…
- Je crois bien qu’on a pris les mesures nécessaires pour s’y conformer.
- La Loi 25… mais qu’est-ce que c’est?
Si vous avez répondu a, n’ayez crainte, votre sentiment est compréhensible. Il est vrai que la Loi 25 ratisse large et que ses dispositions impliquent des modifications plus ou moins importantes dans la manière qu’ont les organisations de gérer les renseignements personnels.
Si vous avez répondu b, disons que votre confiance est belle à voir, mais qu’il serait des plus étonnant que vous ayez pensé à tout, surtout si vous n’avez pu compter sur les services d’un expert ou juriste spécialisé en la matière, par exemple. Les implications de la Loi 25 sont plus nombreuses et dures à cerner qu’il n’y paraît!
Si vous avez répondu c, il est temps de remédier à la situation. Il faut vous y mettre maintenant, pour le bien des pratiques de votre OBNL. Pour sa pérennité.
Ne reculant devant rien pour aider les OBNL, Engagés s’est entretenue avec deux ressources spécialisées pour démystifier la Loi 25 et vous aider à vous y conformer sans vous prendre la tête!
Définitions
Avant d’entrer dans les grandes lignes de la Loi 25, prenons le temps de comprendre certaines définitions utiles.
- Renseignement personnel : il s’agit d’une donnée qui permet d’identifier une personne physique, directement ou indirectement. Nom et prénom, photo du visage, numéro de téléphone et extrait sonore de la voix d’une personne sont tous des exemples de renseignements personnels.
- Donnée sensible : la grande catégorie des renseignements personnels comprend la section des données sensibles. Une donnée est considérée comme sensible lorsque, « par sa nature ou en raison du contexte de son utilisation ou de sa communication, [elle] suscite un haut degré d’atteinte raisonnable en matière de vie privée* ». On peut penser, par exemple, au numéro d’assistance sociale, aux données biométriques, aux informations bancaires, aux données médicales et aux orientations (sexuelle, politique, etc.) d’une personne.
La Loi 25 : un aperçu
En résumé, il s’agit d’une réglementation provinciale en trois phases qui stipule quelques obligations de base des organisations pour encadrer la protection des renseignements personnels et données sensibles de tout individu.
Phase 1, entrée en vigueur le 22 septembre 2022
Toute organisation se doit :
- de nommer une personne responsable de la protection des renseignements personnels*;
- de commencer l’évaluation des facteurs relatifs à la protection de la vie privée (dans certaines conditions);
- de mettre en place un registre en cas d’incidents relatifs à la confidentialité des données personnelles;
- de signaler à la Commission d’accès à l’information (CAI) du Québec tout incident qui pourrait entraîner un préjudice substantiel pour les personnes concernées.
* À moins d’une désignation autre, ce sera par défaut la personne détenant la plus haute autorité au sein de l’organisation.
Phase 2, entrée en vigueur le 22 septembre 2023
Toute organisation doit s’assurer d’obtenir le consentement de chaque individu dont elle veut détenir et utiliser les renseignements personnels.
Ce consentement peut être implicite. Par exemple, un OBNL doit préciser, dans sa politique de confidentialité, le genre de renseignements qu’il recueille et ce qu’il en fait, puis inviter les gens à lire cette politique. À partir de là, toute personne qui continue de permettre à l’OBNL en question de recueillir ses renseignements personnels est réputée consentir à la politique de confidentialité et à l’utilisation de ses données.
Attention! Ce consentement implicite ne suffit pas dans le cas d’informations sensibles. Il faut alors :
- s’assurer que ledit consentement est explicite et sans équivoque;
- mentionner à quelles fins l’information sensible pourrait être utilisée (ex. : pour le programme d’assurance du personnel, pour la gestion de la paie, pour la facturation de services, pour l’envoi de publipostage, etc.);
- indiquer clairement la durée de conservation de l’information sensible obtenue.
Phase 3, entrée en vigueur le 22 septembre 2024
De nouvelles obligations en rapport avec le droit à la portabilité des renseignements personnels s’ajoutent, comme l’explique la CAI : « si la personne concernée le demande, [l’organisation doit] lui communiquer, dans un format technologique structuré et couramment utilisé, un renseignement personnel informatisé recueilli auprès d’elle*».
La CAI invite à se préparer à cette troisième phase dès que possible, puisqu’elle peut impliquer des changements plus structurants pour les organisations.
Vérités…
1 – « La Loi 25 concerne-t-elle les renseignements confidentiels du personnel des organisations? »
Pas uniquement. La Loi 25 vise la protection des renseignements personnels de toute personne s’ils ne sont pas d’ordre professionnel (ex. : adresse courriel de l’entreprise), quel que soit son lien avec l’organisation qui collecte et utilise l’information : client.e, bénévole, donateur.trice…
2- « Les renseignements personnels obtenus avant le 22 septembre 2023 sont-ils touchés par la Loi 25? »
Oui. Il faut un consentement explicite pour toute information sensible qu’on détient, actuelle ou passée. Eh oui, même s’il peut être ardu pour un OBNL d’obtenir le consentement explicite de toute sa liste de donateur.trice.s, par exemple. Cela dit, la Loi 25 comporte certains passages sujets à interprétation et les lignes directrices des instances légales n’ont pas encore été publiées en ce qui concerne les consentements.
Chose sûre, il faut montrer qu’on essaie sérieusement de se conformer à la Loi 25 et que la protection des renseignements personnels est une priorité.
3 – « Mon organisation a mis en place une politique de confidentialité pour voir justement à la protection des renseignements personnels. Je ne crois pas qu’on puisse faire mieux. »
Non seulement on peut faire mieux, mais on doit faire mieux. Pour débuter, il faut vous assurer que tout le personnel de votre organisation connaît votre politique et l’applique – une politique qui traîne au fond d’un tiroir n’est bonne à rien concrètement. Il vous faut donc sensibiliser le personnel et garder la trace des mesures de sensibilisation employées.
En outre, en tant qu’organisation, vous devez présenter cette politique bien visiblement sur votre site web (généralement dans le pied de page) et à tous vos points de collecte d’information. Oh, et la Loi précise qu’elle doit être écrite de manière claire, donc exit le jargon juridique!
La désignation d’une personne responsable de la protection des renseignements personnels au sein de votre équipe et la mise en place d’une politique bien nette et bien visible sont un strict minimum. La suite dépend grandement du type de renseignements que vous récoltez et de ce que vous en faites.
Jacques Lussier, expert en protection des renseignements personnels chez Atypic, conseille aux organisations de commencer par cartographier les renseignements personnels qu’elles détiennent afin de définir :
- le type de renseignements personnels qu’elles utilisent;
- le contexte de récolte;
- l’utilisation qui en est faite;
- leur durée de conservation;
- les personnes de l’organisation qui peuvent y accéder.
Le spécialiste de la Loi 25 et fondateur d’Exact RH Marc-André Nadeau abonde dans le même sens : il faut analyser les besoins de chaque organisation en matière de protection des renseignements personnels pour ensuite savoir quelles solutions appliquer conformément à la Loi 25.
4 – « S’il est question de “durée d’utilisation des renseignements personnels”, c’est donc que vient le moment où l’on doit les éliminer? »
Exactement. L’idée générale, c’est de ne conserver que les renseignements personnels que vous utilisez, et ce, dans les limites permises par les lois en vigueur, dont la Loi 25. Ainsi, vous devez effectivement anonymiser ou détruire les renseignements personnels après un certain temps et tenir un registre de ces procédures.
- Parlant de registre, il vous en faut un aussi pour garder la trace des incidents relatifs à la sécurité des renseignements personnels et noter les mesures réparatrices mises en place pour chaque situation.
5 – « Notre organisation fait affaire avec des tiers pour certains services. J’imagine que ce sont eux qui sont responsables de voir à la protection des renseignements personnels échangés dans le cadre de ces services? »
La responsabilité est partagée. Oui, les fournisseurs de services doivent se conformer à la Loi 25, mais vous devez vérifier leur conformité avant de décider de faire appel à eux, sans quoi votre organisation est également imputable de tout manquement. Pour éviter une telle situation, vérifiez en amont que leur politique de protection des renseignements personnels est adéquate et transmettez-leur par écrit des consignes claires pour baliser l’utilisation des renseignements personnels que vous échangerez.
… et conséquences
6 – « Qu’arrive-t-il si mon organisation n’est pas conforme en vertu de la Loi 25? »
Ah, c’est LA grande question.
Il faut comprendre que les obligations légales relevant de la protection des renseignements personnels ne datent pas d’hier, et les conséquences d’une non-conformité non plus. Bien sûr, il s’en ajoute pour une non-conformité à la Loi 25 en particulier. On parle de dommages-intérêts punitifs d’au moins 1 000 $ imposés par le tribunal en cas de faute lourde ou intentionnelle. La CAI peut aussi ajouter une sanction administrative pécuniaire pouvant correspondre à 10 millions de dollars ou à 2 % du chiffre d’affaires mondiales dans le cas d’une organisation. Et ce n’est pas fini : des poursuites pénales peuvent être intentées par la CAI, et l’éventuelle sanction se situerait alors entre 15 000 $ et 25 millions de dollars, ou correspondrait au maximum à 4 % du chiffre d’affaires mondiales de l’organisation.
Cela dit, il n’y a pas de jurisprudence par rapport à la Loi 25 spécifiquement, donc les prochaines années seront déterminantes.
Comment vous conformer?
En règle générale, les OBNL, qui poursuivent pourtant d’importantes missions, disposent de moyens limités. Dans ce contexte frugal, leurs finances dictent le choix de délaisser certains dossiers… et le travail à accomplir pour se conformer à la Loi 25 peut être escamoté.
Certains OBNL prennent des risques sans même le savoir, en ce sens qu’ils ont bien examiné la Loi 25, mais n’en ont pas décodé tous les tenants et aboutissants. « Les gens ont de bonnes intentions et travaillent fort, mais c’est compliqué et tellement exigeant en temps… Selon mon expérience, la plupart des organisations convaincues d’avoir fait leurs devoirs quant à la protection des renseignements personnels n’atteignent au plus que 25 % de conformité − c’est peut-être pour ça qu’on appelle ça la Loi 25 » blague M. Nadeau.
En somme, à la lumière de ces renseignements, Engagés se permet un rappel et un conseil : les renseignements personnels que votre organisation utilise ne lui appartiennent pas, donc faites preuve de prudence dans votre manière de les traiter. Pour déterminer le niveau de conformité légale qui convient à votre situation et l’atteindre, n’hésitez pas à faire appel à des ressources externes expertes pour analyser votre dossier et vous aider à mettre en place les mécanismes ou correctifs requis.
Merci à nos collaborateurs experts :
Jacques Lussier
Directeur conseil – données, intelligence d’affaires et CRM chez Atypic
jacques@atypic.ca
Marc-André Nadeau
Fondateur d’Exact RH
mnadeau@exactrh.ca
___________________________________________________________________________________
*Source : https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/definitions-concepts/lexique#:~:text=Un%20renseignement%20personnel%20est%20considéré,respect%20de%20la%20vie%20privée.
*Source : https://www.cai.gouv.qc.ca/espace-evolutif-modernisation-lois/thematiques/droit-portabilite/#:~:text=À%20compter%20du%2022%20septembre,informatisé%20recueilli%20auprès%20d%27elle.