Depuis son adoption en septembre 2021, la Loi 25 a redessiné le paysage de la protection des données au Québec. Inspirée du RGPD européen, elle impose aux entreprises et aux organismes publics des règles plus strictes en matière de collecte, d'utilisation et de conservation des renseignements personnels. Son objectif ? Renforcer la transparence et la responsabilité des organisations et asseoir le contrôle des citoyens sur leurs données.
Supervisée par la Commission d’accès à l’information du Québec (CAI), cette loi a été instaurée en plusieurs phases, dont la dernière est en vigueur depuis septembre 2024 avec les dispositions prises sur la portabilité des renseignements personnels. Pour les entreprises et organismes concernés, il est donc désormais impératif de se mettre à la page sous peine de sanctions financières ou pénales, et c’est la raison pour laquelle nous vous proposons un petit tour d’horizon de la réglementation québécoise en 5 étapes dans ce nouveau numéro de “Check-up Conformité”.
1 - Consentement et transparence : les nouvelles règles du jeu
Les renseignements personnels sont une ressource précieuse pour les entreprises, qu’il s’agisse des renseignements fournis directement par les utilisateurs ou de ceux collectés via des fichiers témoins (cookies).
La Loi 25 encadre la collecte et la gestion de ces informations et repose sur trois piliers fondamentaux : une transparence accrue, une responsabilité renforcée des organisations, et surtout un consentement qui, lorsqu’il est nécessaire, se doit d’être manifeste (prouvant la volonté réelle de la personne), libre, éclairé, spécifique (i.e. donné dans un objectif précis), temporaire (i.e. valide pour la durée nécessaire à la réalisation des fins spécifiées), granulaire, compréhensible et distinct (demandé indépendamment de toute autre information).
En matière de transparence, les entreprises doivent ainsi adopter et communiquer une politique de confidentialité claire et accessible, détaillant la manière dont les renseignements personnels sont collectés, utilisés, partagés et sécurisés. Cela signifie que les visiteurs doivent être informés notamment des objectifs précis de la collecte, de la durée de conservation des renseignements personnels et des droits dont ils disposent ainsi que, le cas échéant, de la possibilité que les renseignements personnels soient communiqués à l’extérieur du Québec. Pour vous aider dans cette démarche, la CAI met à disposition un guide explicatif en ligne pour rédiger votre propre politique de confidentialité.
Vous l’aurez donc compris : l’un des défis pour les organisations est de répondre aux exigences de conformité tout en réussissant à formuler en des termes simples et clairs pour leurs audiences le cadre et les objectifs d’utilisation des renseignements personnels. Dans ce contexte, l’adoption d’une CMP (plateforme en gestion du consentement) devient une étape clé pour les organisations québécoises souhaitant collecter, utiliser ou communiquer des renseignements personnels par le biais de témoins de connexion (cookies). En effet, la CMP permet à la fois aux utilisateurs d’exercer facilement leurs droits et aux organisations de démontrer leur conformité à la loi 25.
2 - Un responsable désigné au sein de chaque entreprise
Pour renforcer la responsabilité des organisations, la Loi 25 impose désormais à chaque entreprise de désigner un responsable de la protection des renseignements personnels. Ce dernier doit être clairement identifié - par défaut il s’agit du dirigeant de l’entreprise, qui peut déléguer cette responsabilité - et ses coordonnées doivent être rendues accessibles au public.
Le responsable de la protection des renseignements personnels, comme son nom l'indique, est chargé de mettre en œuvre des politiques et des pratiques encadrant la gouvernance à l’égard des renseignements personnels pour assurer leur protection. Il est donc l’interlocuteur privilégié sur toutes les questions liées à l’utilisation de ces renseignements dans l’entreprise.
3- L’EFVP : un outil essentiel pour assurer la protection des renseignements personnels
Dans le cadre de la Loi 25, toute organisation traitant des renseignements personnels doit intégrer la protection de la vie privée dès la conception de ses projets. C’est là qu’intervient l’Évaluation des facteurs relatifs à la vie privée (EFVP), un processus essentiel visant à anticiper et à limiter les risques liés à l’usage des données personnelles.
Cet outil est requis notamment lorsque l’organisation met en place un nouveau projet d’acquisition, de développement ou de refonte de systèmes d’information ou des prestations électroniques impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. Il peut s’agir, par exemple, d’une refonte de site web, du déploiement d’un nouvel outil CRM ou encore de l’intégration d’un logiciel d’analyse des comportements en ligne.
De plus, l’EFVP est également requise avant de communiquer des renseignements personnels à l’extérieur du Québec afin de s’assurer que ces renseignements bénéficieront d’une protection adéquate au regard des principes de protection de la vie privée.
Vous l’aurez donc compris, l’objectif de cet outil est d’identifier les éventuels impacts sur la vie privée, garantir que les mesures de protection sont suffisantes et, si nécessaire, ajuster le projet avant son déploiement. Là encore, rassurez-vous : la Commission d’accès à l’information du Québec (CAI) met à disposition un modèle de rapport EFVP facilitant votre démarche.
Nous vous conseillons donc d’adopter une approche proactive avec l’EFVP. Cela vous permettra non seulement de répondre aux exigences légales de la Loi 25, mais aussi de renforcer la confiance des utilisateurs avec votre marque en démontrant votre engagement réel envers la protection de leurs données.
4 - Une gestion responsable pour utiliser, communiquer, anonymiser ou supprimer les renseignements personnels
On récapitule : la loi 25 implique de nouvelles exigences en matière de collecte de renseignements sur les sites web ou applications mobiles, et nécessite dans certains cas (notamment en matière de profilage) que les entreprises obtiennent un consentement éclairé de la part de leurs visiteurs, en les informant clairement sur les types de renseignements collectés, les objectifs et les garanties de sécurité mises en place. Dans cette logique, chaque entreprise doit définir une durée de conservation adaptée à l’objectif initial de la collecte et mettre en place des mesures de sécurité pour éviter tout accès non autorisé, vol ou perte de données. Lorsqu’une information n’a plus de raison d’être conservée, elle doit être détruite de manière sécurisée.
Toutefois, la loi introduit une alternative à cette suppression : l’anonymisation. Pour celles et ceux qui ne se rappelleraient plus de leurs cours de droits : une donnée anonymisée est transformée de manière irréversible, de sorte qu’elle ne puisse plus être rattachée à une personne identifiable. Mais attention, garantir l’impossibilité définitive de réidentifier une personne est particulièrement complexe et nécessite de suivre les modalités déterminées par le gouvernement. Selon la CAI, il est quasiment impossible de garantir l’anonymisation des renseignements personnels, c’est pourquoi elle recommande aux entreprises de privilégier plutôt leur destruction. Pour en savoir plus, retrouvez l’avis de la Commission sur l’anonymisation sur le site officiel.
Autre dimension qui requiert une gestion responsable des entreprises : la mise en place de procédures permettant de traiter les droits des usagers (droit d’accès, droit de rectification, droit à la désindexation d’hyperliens…). A ce sujet, une nouvelle obligation est entrée en vigueur en septembre 2024 : le droit à la portabilité. Concrètement, toute personne peut demander à récupérer ses renseignements personnels informatisés dans un format structuré et couramment utilisé, afin de pouvoir les transférer vers un autre service ou prestataire. Cette exigence implique que les entreprises doivent veiller à ce que leurs systèmes d’information soient capables de générer des fichiers exploitables par des outils standards. Pour l’instant, la loi ne leur impose pas d’assurer une interopérabilité totale avec d’autres systèmes, mais cette dimension deviendra sans doute un enjeu clé dans les années à venir (et promis, nous vous tiendrons informés de ces évolutions dans nos prochains numéros du “Checkup Conformité” !)
5 - Le choix de sa CMP pour s’assurer conformité et expérience utilisateur positive
Au-delà des obligations légales, les attentes du public sont claires : une étude menée en 2022-2023 révèle que 87 % des Canadiens s’inquiètent de l’usage que les entreprises font de leurs renseignements personnels pour prendre des décisions à leur égard. La mise en conformité avec la Loi 25 est donc aussi une opportunité stratégique pour instaurer une relation de confiance avec ses clients et partenaires.
La CMP (plateforme de gestion du consentement) se révèle être une alliée de taille pour transformer cette étape en une expérience utilisateur positive. Facile à intégrer sur les sites et applications mobiles, la bannière de consentement proposée par Axeptio s’adapte à l’identité visuelle et à la charte graphique de chaque entreprise, et permet de personnaliser les messages pour guider le visiteur dans cette nouvelle étape du parcours utilisateur.
En adoptant une solution de consentement adaptée, les entreprises ne se contentent pas de cocher une case réglementaire : elles renforcent aussi la confiance de leurs utilisateurs. Et cette quête de conformité ne s’arrête pas aux frontières du Québec… La Loi 25 n’est qu’une pièce du vaste puzzle de la protection des données au Canada et dans le monde.
Pour le prochain Check-up Conformité, direction la Californie, où le CCPA impose lui aussi des règles strictes aux entreprises. A très vite !
Besoin d’un accompagnement pour assurer votre conformité ?
