Qu'est-ce que la Loi 25 du Québec?

Mohamed Jihed Khikhia

ParMohamed Jihed Khikhia

17 Oct 2023
Qu'est-ce que la Loi 25 du Québec?

Afin de vous aider à comprendre rapidement, nous vous avons préparé un résumé de quelques lignes ce qu’est la Loi 25. Lisez la suite pour découvrir ce qui rend cette loi unique et comment vous devez vous y conformer.

Les juridictions à travers le monde mettent en place leur propre approche unique en matière de législation sur la protection des données. Au Québec, nous ne faisons pas exception. 

La Loi 25 du Québec, ou Loi sur la modernisation de la législation en matière de protection de la vie privée, est une réglementation rigoureuse en matière de protection des données au Québec. Elle s'applique non seulement aux entreprises basées au Québec mais aussi à celles qui traitent les données personnelles de résidents québécois. La loi est mise en œuvre en trois phases avec des exigences telles que: 

  • La désignation d'un responsable de la protection des données
  • L’établissement de politiques de confidentialité, 
  • La gestion des plaintes liées aux données personnelles, 
  • Le consentement explicite pour la collecte de données, 
  • La notification des transferts internationaux de données

Voyou peut soutenir la conformité de votre organisation avec la Loi 25.
Remplissez le formulaire et un conseiller vous contactera rapidement.



Quelle est la différence entre la Loi 25 et le Projet de loi 64?

Vous avez peut-être entendu parler d'une autre loi canadienne sur la protection de la vie privée appelée le Projet de loi 64. En fait, la Loi 25 et le Projet de loi 64 ne font qu'un. Dans le système juridique canadien, les lois en cours de préparation sont désignées sous le nom de projets de loi jusqu'à ce qu'elles soient sanctionnées par le lieutenant-gouverneur. La Loi 25 est également connue sous le nom de Loi sur la modernisation de la législation en matière de protection de la vie privée.


À qui s'applique la Loi 25?

Tout comme le RGPD, la Loi 25 du Québec s'applique non seulement aux entreprises basées au Québec, mais également aux entreprises extérieures traitant les informations personnelles d'un quelconque résident du Québec. Contrairement à la plupart des lois sur la protection de la vie privée des États américains, cela signifie qu'il n'y a pas de seuil minimum à atteindre avant que les exigences de la loi ne s'appliquent. Ainsi, si votre organisation traite les données d'un quelconque des près de 9 millions de résidents du Québec, vous devrez vous conformer à cette loi.


L'approche en phases de la Loi 25

Les exigences de la Loi 25 entrent en vigueur en trois phases : certaines exigences sont en vigueur depuis le 22 septembre 2022 ; la plupart sont entrées en vigueur le 22 septembre 2023 ; et le reste entrera en vigueur le 22 septembre 2024. Voici les différentes exigences et leurs dates correspondantes. Nous discuterons des caractéristiques et des exigences notables plus tard dans cet article.


Le 22 septembre 2023

Les entreprises doivent:  

  • Désigner un responsable de la protection des données. 
  • Établir un plan de gestion des incidents. 
  • Créer un registre des incidents liés à la protection de la vie privée. 
  • Signaler tous les incidents liés à la protection de la vie privée à la Commission d'accès à l'information (CAI). 
  • Signaler l'utilisation de processus biométriques pour développer une base de données au moins 60 jours à l'avance à la CAI.

Le 22 septembre 2023

Les entreprises doivent:

  • Établir un cadre de gouvernance pour la manière dont elles géreront et protégeront les informations personnelles.
  • Publier une politique de confidentialité.
  • Développer un processus pour gérer les plaintes liées aux informations personnelles.
  • Fournir un mécanisme de consentement explicite pour la collecte d'informations personnelles.
  • Fournir un avis suffisant lors de la collecte d'informations personnelles.
  • Établir des accords contractuels appropriés avec des tiers qui recevront des informations personnelles.
  • Détruire ou anonymiser les informations personnelles sur demande du consommateur (c'est-à-dire exercer le droit à l'oubli).
  • Corriger les informations personnelles inexactes sur demande du consommateur.
  • Ne pas soumettre les consommateurs à une prise de décision automatisée sur demande.
  • Permettre aux consommateurs de retirer leur consentement.
  • Effectuer des évaluations de l'impact sur la vie privée dans certaines circonstances.
  • Informer les personnes concernées lorsque leurs informations personnelles peuvent être transférées en dehors du Québec.

Le 22 septembre 2024

Les entreprises doivent:

  • Fournir aux sujets de données les informations personnelles collectées dans un format portable sur demande.

Exigences de la Loi 25 

Bien que le Canada dispose de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la Loi 25 est plus complète et plus stricte dans l'établissement et l'application des droits en matière de protection des données. 

Elle présente de nombreuses similitudes avec d'autres réglementations importantes en matière de protection des données, telles que le RGPD et la CCPA/CPRA. 


Ce qui est unique dans cette loi

Surtout en comparaison avec les lois sur la protection de la vie privée des États américains, la Loi 25 présente plusieurs caractéristiques réglementaires remarquables. 


La seule loi sur la protection de la vie privée explicite en Amérique du Nord


Tout comme le RGPD et d'autres lois sur la protection de la vie privée, la loi québécoise sur la protection de la vie privée exige que les entreprises donnent aux consommateurs le choix d'activer toutes les technologies susceptibles de suivre leurs informations personnelles. Cela inclut notamment l'utilisation de cookies sur votre site Web. Naturellement, avant de pouvoir offrir aux individus le choix d'accepter ce suivi des données, vous devez les informer des types d'informations généralement fournies lors de la collecte :

  • Le but de la collecte 
  • Les moyens de collecte
  • Les droits des consommateurs
  • Et ainsi de suite

Les entreprises déjà conformes au RGPD seront familières avec cette approche de gestion du consentement, mais les entreprises qui sont plus familières avec la CCPA/CPRA pourraient ne pas réaliser qu'elles ne peuvent pas automatiquement charger des cookies ou déployer d'autres technologies de suivi à moins qu'un consommateur n'indique qu'elles peuvent le faire.  


La nécessité de nommer un responsable de la protection de la vie privée


Les exigences en matière de responsabilité de la protection de la vie privée de la Loi 25 sont similaires, bien que distinctes, des exigences du RGPD concernant un délégué à la protection des données. A la base, le responsable de la protection de la vie privée est chargé de superviser certaines activités de conformité au sein d'une organisation, telles que: 

  • La satisfaction des demandes d'accès des personnes concernées (DSAR). 
  • La déclaration de violations de données. 
  • La réalisation d'évaluations de l'impact sur la vie privée (PIA). 
  • Et bien plus encore. 

Par défaut, la personne la mieux placée au sein de l'organisation est considérée comme responsable de la protection de la vie privée, sauf si vous désignez une autre personne pour occuper ce poste. Donc, si vous choisissez de ne rien faire et de ne pas nommer de responsable de la protection de la vie privée, la CAI considérera toujours votre PDG comme votre responsable de la protection de la vie privée.


Droit d'action privé


Contrairement à la plupart des lois sur la protection des données dans le monde, y compris PIPEDA et le RGPD, la Loi 25 prévoit un droit d'action privé. Cela signifie que les citoyens peuvent engager des poursuites judiciaires (y compris des actions collectives) contre les entreprises qui enfreignent leurs droits en vertu de la Loi 25, que ce soit intentionnellement ou par négligence grave. Les dommages potentiels commencent à 1 000 $ par individu. 


Confidentialité par Défaut


Inspirée par le concept de la confidentialité dès la conception, la Loi 25 exige des organisations qu'elles respectent la confidentialité par défaut. Tous les systèmes publics collectant des informations personnelles doivent avoir des paramètres de confidentialité configurés au plus haut niveau de confidentialité par défaut, sans aucune action nécessaire de la part du consommateur. Cela se traduit par le concept de consentement explicite ; par défaut, vous ne pouvez pas collecter d'informations personnelles à moins que le consommateur ne donne son consentement affirmatif au préalable. 


Autres Exigences de la Loi 25
 

La loi québécoise sur la protection des données comprend également de nombreux concepts et mécanismes similaires à ceux présents dans la plupart des autres réglementations en matière de protection des données, notamment les suivants


Évaluations de l'Impact sur la Vie Privée


Tout comme de nombreuses lois sur la protection de la vie privée, la Loi 25 exige que les entreprises réalisent une évaluation de l'impact sur la vie privée (PIA) dans certaines circonstances, telles que : 

  • Lorsque des données sont transférées en dehors du Québec. 
  • Lors du développement, de l'acquisition, de la refonte ou de toute autre manipulation d'un système traitant des informations personnelles de quelque manière que ce soit. 
  • Lors de l'évaluation de la possibilité d'utiliser des informations personnelles à des fins de recherche sans le consentement de la personne concernée. 
  • Et plus encore.

Droits des Personnes Concernées


Comme c'est le cas pour toute loi sur la protection des données qui se respecte, la Loi 25 accorde aux consommateurs certains droits en tant que personnes concernées. Pour la plupart, ces droits ne diffèrent pas des principales lois sur la protection des données, et comprennent notamment : 

  • Le droit à la confidentialité par défaut. 
  • Le droit d'accéder aux informations personnelles collectées. 
  • Le droit de connaître les tiers susceptibles de recevoir des informations personnelles. 
  • Le droit de savoir quand un processus automatisé a été utilisé pour prendre une décision avec leurs informations personnelles et de refuser les processus de prise de décision automatisés. 
  • Le droit de corriger des informations personnelles. 
  • Le droit de connaître certaines informations sur les activités de traitement des données de l'organisation, telles que les informations collectées et la raison. 
  • Le droit à l'effacement (notamment, la plupart des lois des États américains n'incluent pas ce droit ; c'est plutôt une caractéristique du RGPD). 
  • Le droit de recevoir des informations personnelles dans un format portable. 

Exigences de Protection des Données de Tiers 


Lorsqu'ils transfèrent des données à des tiers, les entreprises doivent non seulement informer les consommateurs de ces transferts, mais elles doivent également conclure des accords pour garantir que ces tiers traitent les informations personnelles avec le degré approprié de protection. Cela comprend notamment : 

  • La mise en place de certaines mesures techniques, physiques et organisationnelles lors du traitement des informations personnelles. 
  • L'interdiction d'utiliser les informations personnelles à d'autres fins. 
  • La non-conservation des informations personnelles après l'expiration du contrat. 
  • Et plus encore. 

De plus, les tiers doivent rédiger formellement leurs garanties prévues et autoriser l'audit de leurs garanties.


Exigences de Transfert International de Données


La transmission de données personnelles depuis le Québec vers l'extérieur de la province nécessite désormais que les entreprises évaluent si ces données bénéficieront du même niveau de protection, voire d'une protection renforcée. Cela inclut la réalisation d'une Évaluation de l'Impact sur la Vie Privée (PIA), l'adoption d'un contrat avec le tiers récepteur et l'information du sujet de données concerné.


Sécurité


Comme c'est le cas avec toutes les principales réglementations sur la protection des données, les entreprises doivent prendre des mesures raisonnables pour protéger les informations personnelles. Pour le faire efficacement, vous voudrez cartographier vos données, mettre en place des mesures de cybersécurité et élaborer un plan de réponse aux incidents.


Pénalités et Application de la Loi 25

La Loi 25 prévoit plusieurs mécanismes pour sanctionner les contrevenants à la loi.

Tout d'abord, la CAI peut imposer des sanctions pécuniaires administratives pour les violations moins graves. Celles-ci peuvent atteindre deux pour cent du chiffre d'affaires mondial ou 10 millions de dollars canadiens.

Si les infractions sont suffisamment graves pour être portées devant un tribunal, la Cour du Québec peut infliger une amende correspondant à quatre pour cent du chiffre d'affaires mondial ou 25 millions de dollars.

Enfin, comme mentionné précédemment, les individus peuvent exercer leur droit d'action privé contre les contrevenants. Ces dommages s'élèvent au minimum à 1 000 dollars par personne. Les citoyens peuvent également agir collectivement de cette manière.


En quoi la Loi 25 diffère-t-elle de la LPRPDE ?

À bien des égards, la Loi 25 du Québec est une réglementation plus stricte en matière de protection des données par rapport à la LPRPDE du Canada dans son ensemble.

Tout d'abord, la LPRPDE n'accorde pas aux résidents les mêmes droits que la loi québécoise sur la protection des données, tels que le droit de demander la suppression de données ou de recevoir des données personnelles dans un format portable.

La Loi 25 impose également des exigences de consentement plus strictes. En raison de son principe de confidentialité par défaut, aucune technologie de suivi ne peut être activée à moins que le consommateur n'exprime expressément son consentement à leur utilisation en premier. En vertu de la LPRPDE, les entreprises peuvent utiliser des technologies de suivi pour collecter des informations personnelles tant que le consommateur est informé, que les informations ne sont pas sensibles, que leur utilisation prévue serait raisonnablement attendue et qu'il y a peu de probabilité de préjudice. Il s'avère que de nombreuses collectes de données personnelles répondent à ces normes, de sorte que les entreprises au Canada pourraient se conformer aux normes de consentement implicite. Ce n'est pas le cas avec la Loi 25.

Enfin, la LPRPDE a été critiquée pour son manque d'application suffisante et suffisamment sévère. Avec son approche en trois volets pour l'application, la Loi 25 est plus contraignante.

Il existe d'autres différences entre les deux lois, bien sûr, mais celles-ci sont susceptibles d'être les plus pertinentes pour les entreprises soucieuses de se conformer.


Comment Voyou peut vous aider

Avec l'entrée en vigueur des dernières dispositions de la Loi 25, il est plus important que jamais de reconnaître les choix de consentement des consommateurs. Malheureusement, de nombreuses solutions de gestion du consentement échouent à gérer de manière adéquate les cookies, les scripts et les iFrames en fonction des préférences des utilisateurs. Parfois, cela est dû à une mauvaise conception, parfois à des mises en œuvre inutilement complexes, et parfois c'est un mélange des deux. 

Non seulement Voyou s’occupe de baliser votre site selon les nouvelles normes, une manipulation qui nécessite peu ou pas de configuration de la part de l'utilisateur final, ce qui signifie que vous n'aurez pas à vous inquiéter de mettre en place accidentellement une solution de gestion du consentement qui vous met hors conformité. 

De plus, Voyou vise la conformité avec toutes les lois sur la vie privée dans le monde, garantissant que votre entreprise peut s'étendre dans de nouvelles juridictions au besoin. 

Voyou peut soutenir la conformité de votre organisation avec la Loi 25 et les réglementations mondiales sur la protection des données.

Remplissez le formulaire et un conseiller vous contactera rapidement.

© 2024

Voyou - Performance créative. Agence de publicité

Haut