La Commission d'accès à l'information du Québec (CAIQ) a modernisé la Loi 25, visant à protéger la vie privée des Québécois et Québécoises, en fonction des nouveaux défis posés par l’environnement numérique et technologique actuel.

Cette loi exige que toutes les organisations, privées et publiques, soient transparentes et responsables dans le traitement des renseignements personnels et qu’elles s’assurent que les renseignements soient recueillis, utilisés, divulgués, conservés, protégés et détruits de manière appropriée et respectueuse de la vie privée.

En tant que professionnel œuvrant dans le domaine des ressources humaines et de la paie, il est important d’être sensible aux nouvelles réalités relatives à la protection des renseignements personnels.

La Loi 25 vise trois objectifs :

1. Gouvernance : établir des règles et des façons de faire pour protéger les données
2. Transparence : se poser les bonnes questions et faire les bons gestes dans le traitement des données personnelles
3. Conformité : avoir une meilleure connaissance des obligations et du respect en matière de données personnelles

Avant d’aller plus loin dans ce que prévoit la loi, regardons de plus près ce qu’est un renseignement personnel. La définition est assez large et concerne tous renseignements susceptibles d’identifier une personne : nom, adresse, nationalité, date de naissance, numéro d’assurance sociale, adresse courriel personnelle, état civil, antécédents médicaux, etc.

Il est à noter que la forme que peut prendre un renseignement personnel est variée. Celle-ci peut inclure un message vocal, une vidéo, une captation qui divulguerait, par exemple, la date d’anniversaire d’un employé. Certaines informations, trop vagues, ne permettent pas d’identifier une personne, exemple : le code postal. En revanche, le cumul d’informations vagues pourrait mener à son identification.

Nouvelles obligations des entreprises depuis 2022 :

• Identifier une personne responsable du dossier de la protection des données personnelles. Celle-ci doit idéalement avoir un haut niveau d'autorité et ses coordonnées devront être communiquées à l’interne et à l’externe, comme par exemple, sur le site web de votre organisation.
• Effectuer un travail de réflexion en amont de la collecte des données personnelles afin de réduire le risque. Il est important pour les entreprises qui collectent des informations sensibles de se poser la question suivante : est-ce que cela contrevient à l'atteinte à la vie privée ?
• En cas d’incident de confidentialité (fuite, perte ou vol de renseignements personnels), les organisations ont l’obligation de tenir un registre. Si l’analyse de l’incident détermine qu’il y a eu préjudice subit, il faudra le déclarer à la CAIQ.

Voici les exigences de la Loi 25 à implanter pour septembre 2023 :

Politique en matière de gouvernance

• Toutes les organisations devront se doter d’une politique qui doit traiter de la collecte, de l'utilisation, de la communication, de la conservation, du rôle et responsabilité des employés dans le traitement complet des renseignements personnels ainsi que du processus pour le traitement des plaintes.
• Cette politique devra être communiquée à tous les employés et facilement accessible.
• Revoir les pratiques en matière de gouvernance. À travers toutes les sphères de l’entreprise, les personnes responsables du traitement des renseignements personnels devront se poser la question suivante : est-ce que mon organisation adopte les meilleures pratiques en matière de protection des données ?

Document de consentement de communication des renseignements personnels.

• Toutes les organisations devront se doter d’un formulaire de consentement à faire signer par les individus.
• Il sera important, aux yeux de la loi, que le consentement fourni par les individus soit manifeste, libre, éclairé, donné à des fins spécifiques et que ceux-ci comprennent l'étendue de ce consentement.

Tous les employés des organisations qui ont facilement accès à des données personnelles devront rapidement comprendre les enjeux de l’utilisation de tels renseignements et développer des gestes sécuritaires pour les protéger.

Notre équipe a été formée au sujet de la modernisation de la Loi 25. Si votre organisation souhaite un accompagnement, n’hésitez pas à nous contacter.

 

Carole Mari MBA CRHA, Analyste sénior SIRH