Questions fréquentes
Réponses directes sur la Loi 25 au Québec
La Loi 25 s'applique-t-elle à ma PME ?
Oui. La Loi 25 s'applique à toute entreprise ou organisme qui recueille, utilise, communique, conserve ou détruit des renseignements personnels au Québec, quelle que soit sa taille. Même les travailleurs autonomes et les très petites entreprises sont visés dès qu'ils traitent des renseignements personnels de clients, d'employés ou de fournisseurs.
Quelles sont les amendes possibles ?
Les sanctions administratives peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial pour les entreprises. Les sanctions pénales vont jusqu'à 25 millions de dollars. Des dommages-intérêts punitifs d'au moins 1 000 $ par personne peuvent aussi être réclamés en cas d'atteinte intentionnelle.
Qu'est-ce qu'un responsable RPP ?
Le Responsable de la protection des renseignements personnels (RPP) est la personne désignée pour veiller au respect de la Loi 25 dans votre organisation. Par défaut, c'est la personne ayant la plus haute autorité (PDG, DG). Cette fonction peut être déléguée à un autre membre de la direction. Le titre et les coordonnées du RPP doivent être publiés sur votre site web.
Dois-je avoir un registre des incidents ?
Oui, obligatoirement depuis septembre 2022. Vous devez consigner tout incident de confidentialité (accès non autorisé, perte, vol de données) dans un registre. Les incidents présentant un risque de préjudice sérieux doivent être signalés à la CAI et aux personnes concernées dans les meilleurs délais.
C'est quoi une EFVP ?
L'Évaluation des facteurs relatifs à la vie privée (EFVP) est une analyse systématique des risques pour la vie privée liés à un projet ou système. Elle est obligatoire pour tout projet impliquant des renseignements personnels, notamment lors de l'acquisition ou du développement de systèmes d'information, ou de la communication de données hors Québec.
La CAI peut-elle vraiment auditer mon entreprise ?
Oui. La Commission d'accès à l'information (CAI) dispose de pouvoirs d'enquête et d'inspection élargis depuis la Loi 25. Elle peut mener des inspections de sa propre initiative, demander la production de documents et imposer des sanctions administratives pécuniaires sans passer par les tribunaux.
Par où commencer ma mise en conformité ?
Commencez par ces 5 étapes : 1) Désignez votre responsable RPP. 2) Faites l'inventaire de vos renseignements personnels. 3) Publiez votre politique de confidentialité. 4) Mettez en place un registre des incidents. 5) Formez vos employés. Pour aller plus vite, des outils comme Conforme360 automatisent plusieurs de ces étapes.
Existe-t-il des outils pour m'aider ?
Oui ! Plusieurs outils sont disponibles pour faciliter votre conformité. Conforme360 offre un score de conformité automatisé, des registres numériques, des modèles de politiques et des rapports PDF. Vous pouvez aussi consulter les ressources gratuites sur laloi25.com, incluant des checklists, des guides et des modèles.
Quelle est la différence entre la Loi 25 et le RGPD ?
La Loi 25 est la loi québécoise sur la protection des renseignements personnels, tandis que le RGPD est le règlement européen. Bien que similaires dans leurs objectifs, elles diffèrent sur plusieurs points : juridiction, définitions, seuils de sanctions et mécanismes de consentement. Si vous faites affaire en Europe, vous devez respecter les deux.
Qu'est-ce que le droit à la portabilité ?
Depuis septembre 2024, toute personne peut demander à une entreprise de lui communiquer ses renseignements personnels dans un format technologique structuré et couramment utilisé, ou de les transmettre directement à un autre organisme. C'est le droit à la portabilité des données.
Dois-je obtenir un consentement pour chaque utilisation des données ?
Vous devez obtenir un consentement manifeste, libre et éclairé pour la collecte et l'utilisation de renseignements personnels. Le consentement doit être demandé pour chaque finalité distincte, en termes simples et clairs. Certaines exceptions existent, notamment pour l'exécution d'un contrat.
Comment signaler un incident de confidentialité à la CAI ?
Lorsqu'un incident présente un risque de préjudice sérieux, vous devez : 1) Aviser la CAI via le formulaire en ligne sur son site web. 2) Aviser les personnes concernées. 3) Prendre les mesures raisonnables pour diminuer les risques. Le signalement doit être fait avec diligence, idéalement dans les 72 heures.
La Loi 25 s'applique-t-elle aux données des employés ?
Oui. Les renseignements personnels des employés (dossiers RH, paie, évaluations, données de santé au travail) sont couverts par la Loi 25. Vous devez appliquer les mêmes principes de protection : minimisation, consentement, sécurité et conservation limitée.
Puis-je transférer des données hors du Québec ?
Oui, mais avec des conditions. Avant tout transfert hors Québec, vous devez : 1) Réaliser une EFVP. 2) Vous assurer que les données bénéficieront d'une protection adéquate. 3) Prévoir des mesures contractuelles appropriées. Le transfert doit respecter les principes de la Loi 25.
Combien de temps puis-je conserver les données ?
La Loi 25 impose de ne conserver les renseignements personnels que le temps nécessaire à la réalisation de la finalité pour laquelle ils ont été recueillis. Vous devez établir et publier une politique de conservation et de destruction, avec des délais précis par catégorie de données.
Qu'est-ce que la désindexation ?
Le droit à la désindexation permet à toute personne de demander à une entreprise de cesser de diffuser ses renseignements personnels ou de désindexer un lien donnant accès à ces renseignements, lorsque cette diffusion contrevient à la loi ou à une ordonnance judiciaire.
Mon site web doit-il avoir une politique de confidentialité ?
Absolument. Depuis septembre 2023, toute entreprise doit publier une politique de confidentialité rédigée en termes simples et clairs. Elle doit détailler : les types de renseignements collectés, les finalités, les droits des personnes, les coordonnées du RPP et les pratiques de conservation.
Les témoins (cookies) sont-ils visés par la Loi 25 ?
Oui. La Loi 25 encadre l'utilisation de tout moyen technologique permettant d'identifier, de localiser ou de profiler une personne, y compris les cookies. Vous devez informer les utilisateurs et obtenir leur consentement avant d'utiliser des cookies non essentiels.
Quelle est la LCAP et quel lien avec la Loi 25 ?
La LCAP (Loi canadienne anti-pourriel) encadre les messages électroniques commerciaux au niveau fédéral. Bien que distincte de la Loi 25, elle est complémentaire : la Loi 25 encadre la collecte et l'utilisation des données, tandis que la LCAP régit les communications électroniques. Les deux exigent un consentement valide.
Que faire si je reçois une demande d'accès d'un citoyen ?
Vous devez répondre dans un délai de 30 jours. Confirmez l'identité du demandeur, localisez les renseignements concernés, et fournissez-les dans un format compréhensible. En cas de refus (partiel ou total), vous devez motiver votre décision et informer la personne de son droit de porter plainte à la CAI.