Mis à jour le 31 mai 2024
Votre entreprise doit se conformer à la loi 25 et mettre en place un programme de gouvernance de l’information. Quelles sont, au juste, vos obligations?
Au Québec, toute entreprise privée qui recueille, traite ou communique des renseignements personnels est visée par cette loi. Il y a donc fort à parier qu’elle vous concerne!
Faisons un survol ensemble des principales dispositions de la loi 25 et de ce qu’elles signifient pour votre entreprise.
Qu’est-ce que la loi 25?
Quelles sont les obligations des entreprises privées en vertu de la loi 25?
Pourquoi adopter un programme de gouvernance de l’information?
Comment créer un programme de gouvernance de l’information efficace?
Qu’est-ce que la loi 25?
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, aussi appelée loi 25, vise à protéger la population québécoise en responsabilisant les entreprises quant aux informations personnelles qu’elles détiennent.
Une partie des nouvelles dispositions législatives de la loi 25 sont entrées en vigueur le 22 septembre 2022. D’autres dispositions ont pris effet en septembre 2023 ou sont prévues pour septembre 2024, dont l’obligation de mettre en œuvre une politique encadrant la gouvernance des renseignements personnels.
La Commission d’accès à l’information du Québec est l’organisme responsable de surveiller l’application de la loi 25. En cas de non-respect de la loi, la Commission peut imposer des sanctions importantes, s’élevant jusqu’à 25 millions de dollars ou à 4 % du chiffre d’affaires mondial de l’entreprise.
Quelles sont les obligations des entreprises privées en vertu de la loi 25?
Depuis le 22 septembre 2022, la loi 25 impose certaines responsabilités aux entreprises privées québécoises, peu importe leur taille.
Désigner un responsable de la protection des renseignements personnels
Ainsi, il est obligatoire de désigner un responsable de la protection des renseignements personnels au sein de votre entreprise. La loi prévoit que ce rôle revient à la personne ayant la plus haute autorité dans l’organisation. Toutefois, cette fonction peut être déléguée, en tout ou en partie, à une autre personne. Peu importe de qui il s’agit, le titre du responsable et ses coordonnées doivent être publiés sur le site web de votre entreprise.
Tenir un registre des incidents de confidentialité
Il est également nécessaire de tenir un registre des incidents de confidentialité. Vous devez être en mesure de fournir une copie de ce registre à la Commission d’accès à l’information si elle vous le demande. De plus, s’il survient un incident présentant un risque sérieux de préjudice, vous êtes tenu d’en aviser la Commission ainsi que les personnes concernées.
Transmettre des renseignements à certaines conditions
Finalement, de nouvelles règles vous permettent, à certaines conditions, de communiquer des renseignements personnels sans le consentement de la personne concernée lors de la conclusion d’une transaction commerciale. Assurez-vous que le fournisseur à qui vous communiquez ces renseignements respecte les obligations prévues par la loi.
Pour obtenir une description détaillée de vos obligations actuelles et de celles à venir, consultez cet aide-mémoire de la Commission d’accès à l’information.
Pourquoi adopter un programme de gouvernance de l’information?
À partir du 22 septembre 2023, de nouvelles dispositions de la loi 25 sont entrées en vigueur. Parmi celles-ci : l’obligation d’avoir établi des politiques et des pratiques en matière de gouvernance des renseignements personnels.
Au-delà du respect des obligations légales, la création d’un programme de gouvernance de l’information comporte plusieurs avantages pour une entreprise. En voici quelques-uns.
Définir clairement les responsabilités et obligations de chacun
Ce programme de gouvernance de l’information vise à s’assurer que les responsabilités et les obligations de chacun en matière de protection des renseignements personnels sont clairement définies et comprises par tous.
Mieux protéger les informations qui circulent
Il contribue à protéger les informations qui circulent dans l’entreprise en les rendant accessibles uniquement aux personnes qui en ont besoin.
Réagir avec efficacité
Il est un outil pour réagir rapidement si un incident de confidentialité a lieu malgré les moyens de prévention en place.
Démontrer la diligence de votre entreprise
Ce programme sert aussi à attester que l’entreprise a agi avec diligence si un incident de confidentialité présentant un risque sérieux de préjudice survient.
Un incident de confidentialité peut non seulement entraîner des frais élevés pour votre entreprise, mais il peut aussi entacher votre réputation ou compromettre votre rentabilité. C’est pourquoi il est important de vous doter d’un plan de gouvernance de l’information qui protège adéquatement votre organisation.
Comment créer un programme de gouvernance de l’information efficace?
Pour bâtir un programme de gouvernance de l’information efficace, il est important de faire l’inventaire des renseignements personnels que votre entreprise détient. Il est aussi recommandé de schématiser la façon dont ces renseignements circulent dans votre organisation. Cela vous permettra, entre autres, d’identifier le type d’informations que vous collectez, de définir les activités pour lesquelles elles sont utilisées et de déterminer les personnes qui doivent y avoir accès.
Au cours de ce processus, vous pourriez aussi découvrir des informations en trop. Par exemple, si votre entreprise compte seulement une trentaine de travailleurs, il est anormal que votre système comporte plus de 500 fiches d’employés. Ainsi, si vous constatez que vous avez conservé des renseignements personnels qui ne sont plus utiles, il est important de les détruire.
Prévoir un calendrier de conservation des données
C’est l’une des raisons pour lesquelles il est conseillé de préparer un calendrier de conservation des données. Celui-ci prévoit qu’à partir d’une certaine date, les renseignements que vous avez collectés seront détruits. Par exemple, à la fin d’un processus d’embauche, vous devrez supprimer ou anonymiser les informations personnelles contenues dans les curriculum vitæ que vous avez reçus.
Il ne s’agit là que de quelques-unes des considérations à prendre en compte pour élaborer un plan de gouvernance de l’information efficace. D’autres aspects sur lesquels vous devez vous pencher incluent notamment de :
- prévoir un plan de gestion en cas d’incident;
- mettre en place des mesures de surveillance;
- documenter les rôles et les responsabilités du personnel.
Pour obtenir des conseils quant à la mise en place d’un programme de gouvernance de l’information adapté à votre entreprise ou concernant les prochaines étapes visées par la loi, communiquez avec notre équipe d’experts en la matière.
Expertises
Services
-
Avis d'experts
Loi 25 : comment mettre en place la prochaine étape?
La Loi 25 sur la protection des renseignements personnels se renforce avec le droit à la portabilité. Votre organisation est-elle conforme? À(…)
Conseils en gestion des risquesLoi 25 : comment mettre en place la prochaine étape?… En savoir plus