Loi 25: questions fréquentes

Consultez notre page dédiée à la Loi 25 pour les obligations principales.

Vous devez être conforme à la Loi 25, mais vous ne savez pas comment faire?

Afin de vous faciliter la vie, notre équipe a pris le temps de démystifier cette loi, qui peut sembler complexe, en raison de certaines zones grises. 

D’entrée de jeu, sachez que les nouvelles responsabilités et obligations relatives à cette loi s’échelonnent graduellement, et ce, jusqu’en septembre 2024.

1. C’est quoi, un renseignement personnel (RP)?
2. Quels renseignements sont considérés comme des renseignements personnels sensibles?
3. Existe-t-il des gabarits qui peuvent être utilisés comme modèle et adapté à notre entreprise?
4. Comment fait-on pour anonymiser les RP des clients passés?
5. Comment fait-on pour établir le risque du préjudice? Y'a-t-il un modèle d'analyse?
6. Est-ce qu'une entreprise peut avoir des informations qui sont considérés comme étant des renseignements personnels?
7. Dans le cas où on utilise un service externe (compagnie) de paie, doit-on inclure dans nos documents la politique du service de paie?
8. Sommes-nous responsables des RP fournis par les appliquant à travers les sites de recrutement (nom, adresse, courriel, âge, etc.) et devons-nous gérer leur confidentialité?
9. Comment devons-nous garder les CV des appliquant? Ceux-ci contiennent tous des RP.
10. Est-ce que cette loi touche tous les types d’entreprises? B2B, OBSL, publiques, etc.?
11. Existe-t-il une formation pour sensibiliser nos employés?
12. Si nos employés utilisent des applications externes (par exemple pour les assurances médicales ou leurs talons de paye) devons-nous les aviser qu'il y a des informations prises sur eux sur ces sites?
13. Advenant le cas qu’un employé ne donne pas son consentement pour fournir un RP requis, devons-nous lui annoncer qu'il peut perdre son emploi?
14. Est-ce que la géolocalisation dans les camions est considérée comme un RP?
15. Doit-on afficher une Politique de confidentialité sur un site web qui est seulement informatif (affichage de photos et renseignements sur la compagnie)?
16. Est-ce que le consentement distinct s’applique aux envois par courriel cryptés des bordereaux de paie, Relevé d'emploi et des feuillets T4, T3 et autres feuillets similaires?
17. Pour les professionnels de la santé qui doivent communiquer des informations personnelles avec des organismes externes (RAMQ, CNESST, et autres organismes publics), sommes-nous tenu d'obtenir le consentement? Ces informations sont obligatoires pour la constitution d'un dossier selon l’ordre professionnel et sont donc obligatoire pour effectuer un service de notre part.
18. Les contrats existants doivent-ils être adaptés ou modifiés pour se conformer à la loi à compter du 22 septembre 2023?
19. Si des RP nous ont été partagées par nos clients (nom, âge et emploi), avons-nous une obligation par rapport au consentement ou pouvons-nous assumer que le consentement avait été obtenu par notre client, avant le partage?
20. Existe-t-il des normes minimales établies par rapport au niveau de sécurité (par exemple protection d’un serveur, firewall, anti-virus, encryptions, etc.) jugé suffisant pour protéger les RP?
21. Peut-on obtenir un consentement seulement pour la collecte, l’utilisation et la communication de RP ou faut-il obtenir un consentement distinct pour chacun?
22. Qu’est-il entendu par la « destruction » des RP et y a-t-il des normes de bases pour effectuer celle-ci?
23. Pendant combien de temps peut-on conserver les RP dans nos dossiers? Est-ce que ceci diffère par industrie (Santé vs. Public vs. Entreprise privée)?
24. Est-ce que la FCEI offre ou recommande un service d’accompagnement pour se conformer à cette loi et tout ce qu’elle englobe?
25. Est-ce que les organismes publics avec qui on fait affaires vont nous demander de démontrer notre niveau de protection des RP?
26. Est-ce que le consentement peut être obtenu lors de la signature de l'entente de service?
27. Est-ce qu’un client peut demander d’effacer les images enregistrées par une caméra de sécurité?
28. Quelles sont les obligations par rapport aux dossiers personnels dans une entreprise privée?
29. Quelles sont les nouvelles obligations en date du 22 Septembre 2023?
30. Quelles sont les nouvelles obligations en date du 22 septembre 2024?

1. C’est quoi, un renseignement personnel (RP)? 

C’est un renseignement qui peut être utilisé seul ou en combinaison avec d’autres données et qui permet d’identifier une personne physique, directement ou indirectement. 

Est-ce que le nom, adresse, no de téléphone et courriel de nos clients sont considérés comme des RP? 

Les renseignements personnels incluent généralement des éléments tels que le nom, l'adresse, le numéro de téléphone, l'adresse électronique, la date de naissance, le numéro de sécurité sociale, l'adresse IP, et d'autres informations similaires.

Est-ce que les informations d'un représentant des ventes d'une entreprise (Courriel, # de téléphone,) consiste en des RP?

Certains renseignements permettant d’identifier directement des personnes sont publics. Les renseignements concernant l’exercice d’une fonction d’une personne au sein d’une entreprise ne sont pas soumis aux lois protégeant les renseignements personnels : 

• Le nom;
• Le titre;
• La fonction;
• Le courriel, l’adresse et numéro de téléphone de son lieu de travail;

Quelles sont les règles par rapport aux identifiants (permis de conduire, carte d’assurance maladie et carte d’assurance sociale)?

• Le numéro d’assurance sociale (N.A.S.) est émis par le gouvernement fédéral généralement à des fins d’emploi, programmes sociaux et d’impôt.
• Le Code de la sécurité routière indique que le titulaire d’un permis de conduire n’est tenu de produire celui-ci qu’à la demande d’un agent de la paix ou de la Société de l’assurance automobile du Québec et à des fins de sécurité routière uniquement.
• La Loi sur l’assurance maladie du Québec précise que la cueillette du numéro de la carte d’assurance maladie ne peut être exigée qu’à des fins liées à la prestation de services ou à la fourniture de biens ou des ressources en matière de santé ou de services sociaux.
• Lors du retour d’un article, une entreprise recueille le nom, le numéro de téléphone et l’adresse résidentielle du client. Parfois, elle demande également que soit présentée une pièce d’identité pour confirmer ces renseignements. Cette pratique est jugée acceptable par la Commission : aucune des informations figurant sur les pièces d’identité n’est recueillie. Les autres renseignements sont accessibles à un groupe restreint d’employés et sont détruits après 24 mois. L’entreprise démontre que cette mesure est nécessaire pour se prémunir de la fraude.
• Lors de la vérification de l’âge, il est possible de consulter une pièce d’identité afin d’être conforme avec la Loi (e.g. âge légal de consommation d’alcool).

Si la collecte est réellement nécessaire, il est essentiel d’informer votre client des motifs qui la justifient. Consulter la fiche suivante pour plus d’information. 

2. Quels renseignements sont considérés comme des renseignements personnels sensibles?

Ce sont des informations personnelles qui sont considérées comme particulièrement confidentielles ou délicates en raison de leur nature. Ces types de données peuvent être plus sensibles que les renseignements personnels généraux en raison des risques accrus qu'ils présentent en cas de collecte, de traitement ou de divulgation non autorisés. Un renseignement est considéré comme sensible s’il est de nature :

• Médicale;
• Biométrique;
• Autrement intime.

3. Existe-t-il des gabarits qui peuvent être utilisés comme modèle et adapté à notre entreprise?

Plusieurs dépliants, guides et fiches d’information sont disponibles en ce moment. Communiquez avec les Ressources aux entreprises de la FCEI pour vous outiller afin de vous préparer à être conformes aux nouvelles obligations.

4. Comment fait-on pour anonymiser les RP des clients passés?

Un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne. Tel qu’indiqué dans notre webinaire par Maitre Diane Poitras, selon la Commission il est pratiquement impossible d’anonymiser les RP d’une personne, sauf si on parle de renseignements qui ont été agrégés, comme des statistiques. La Loi di que les RP doivent être anonymiser selon des modalités prévues par règlements du gouvernement, et ceux-ci n’existent pas encore. Vous pouvez toutefois détruire les RP. Pour plus d’information par rapport à la destruction des RP, veuillez consulter la page: Procédure de destruction. 

5. Comment fait-on pour établir le risque du préjudice? Y'a-t-il un modèle d'analyse?

Les lois applicables obligent les organisations publiques ou privées, quelle que soit leur taille, à la réalisation d’une Évaluation des facteurs relatifs à la vie privée (EFVP). Pour tout incident de confidentialité, l’organisation doit évaluer la gravité du risque de préjudice pour les personnes concernées. Pour ce faire, elle doit considérer, notamment : 

• la sensibilité des renseignements concernés;
• les conséquences appréhendées de leur utilisation;
• la probabilité qu’ils soient utilisés à des fins préjudiciables. 

Cette analyse d’impact permet de considérer tous les facteurs ayant un effet positif ou négatif sur le respect de la vie privée des personnes concernées :

• La conformité du projet aux lois applicables en matière de protection des renseignements personnels et le respect des principes l’appuyant;
• L’identification des risques d’atteinte à la vie privée engendrés par le projet et l’évaluation de leurs conséquences;
• La mise en place de stratégies pour éviter ces risques ou les réduire efficacement et leur maintien dans le temps.

6. Est-ce qu'une entreprise peut avoir des informations qui sont considérés comme étant des renseignements personnels?

Oui. Voici quelques exemples :

• Informations sur les clients : Les entreprises collectent souvent des informations telles que les noms, les adresses, les numéros de téléphone, les adresses électroniques et les préférences d'achat de leurs clients.
• Données des employés : Les entreprises détiennent généralement des informations sur leurs employés, notamment leurs noms, adresses, numéros de sécurité sociale, coordonnées bancaires et données fiscales.
• Informations sur les partenaires commerciaux : Les entreprises peuvent détenir des informations sur leurs partenaires commerciaux, telles que les noms, les coordonnées professionnelles et les informations financières. Les renseignements concernant l’exercice d’une fonction d’une personne au sein d’une entreprise ne sont pas soumis aux lois protégeant les renseignements personnels (voir question 1) 
• Données marketing : Les entreprises peuvent collecter des données de marketing, y compris les préférences des clients, les habitudes d'achat et les informations de suivi des campagnes marketing.
• Données de navigation web : Si une entreprise exploite un site web, elle peut collecter des informations telles que les adresses IP, les cookies et les préférences de navigation des visiteurs.
• Données de facturation : Les entreprises conservent généralement des informations sur les transactions financières, telles que les factures et les reçus, qui peuvent contenir des données personnelles.

7. Dans le cas où on utilise un service externe (compagnie) de paie, doit-on inclure dans nos documents la politique du service de paie?

Il serait prudent de prendre connaissance de la politique de confidentialité de votre service de paie et de la prendre en considération quand vous formulez votre propre politique de confidentialité. Il est aussi recommandé de partager la politique de confidentialité de cette tierce partie avec vos employés, par exemple en annexe avec la vôtre, puisque vous demeurez responsables des informations personnelles qui vous ont été fournies.Les entreprises qui recueillent des renseignements personnels en offrant des produits ou des services technologiques disposant de paramètres de confidentialité doivent : 

S’assurer que les paramètres de confidentialité par défaut assurent le plus haut niveau de confidentialité, et ce, sans aucune intervention de la personne concernée. Vous devrez fournir des informations supplémentaires aux personnes concernées si vous collectez leurs renseignements en utilisant une technologie comprenant des fonctions permettant : 

• D’identifier ces personnes;
• De les localiser;
• D’effectuer un profilage à leur sujet.
• Le profilage est défini comme suit : 

La « collecte et l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de la personne ». 

Dans un tel cas, vous devrez informer les personnes : 

• Que vous utilisez une telle technologie;
• Des moyens offerts pour activer les fonctions d’identification, de localisation ou de profilage. 

Par conséquent, vous ne pouvez pas activer ces fonctions par défaut. La personne concernée doit pouvoir le faire elle-même, volontairement. Pour plus d’information sur les obligations de transparence qui doivent être respectées. Consultez la page Informations à fournir avant une collecte de renseignements personnels. 

8. Sommes-nous responsables des RP fournis par les appliquant à travers les sites de recrutement (nom, adresse, courriel, âge, etc.) et devons-nous gérer leur confidentialité?

En principe, une entreprise doit limiter l’utilisation des RP afin de respecter le droit à la vie privée des citoyens. 

• La nécessité de collecter, d’utiliser ou de communiquer des RP pour atteindre vos objectifs doit être évaluée avant même d’obtenir un consentement valide.
• La collecte d’un RP est nécessaire, selon les lois applicables, si l’objectif poursuivi est légitime, important et réel et que l’atteinte à la vie privée est proportionnelle à cet objectif.
• La collecte, l’utilisation ou la communication du renseignement peut être faite si elle est nettement plus utile à l’organisme ou à l’entreprise que préjudiciable à la personne concernée.

9. Comment devons-nous garder les CV des appliquant? Ceux-ci contiennent tous des RP.

Voici quelques-unes des meilleures pratiques de conservation des RP :

• Identification des RP : Tout d'abord, identifiez clairement les RP que votre organisation détient. Cela inclut non seulement les données évidentes, comme les noms et les adresses, mais aussi les données sensibles telles que les informations médicales, financières et d'identification.
• Minimisation de la collecte : Ne collectez que les RP nécessaires à des fins spécifiques et légitimes. Évitez de collecter des données inutiles qui pourraient compromettre la vie privée des individus.
• Consentement éclairé : Lorsque vous recueillez des RP, obtenez le consentement éclairé des individus, en expliquant clairement comment leurs données seront utilisées et en leur donnant la possibilité de donner ou de retirer leur consentement. Le consentement permet aux personnes concernées d’exercer un contrôle sur l’utilisation et la communication de leurs renseignements personnels. Ceci implique qu’elles donnent leur accord à ce qui est fait de leurs renseignements. De leur côté, les organisations doivent respecter leurs obligations légales en matière de protection des renseignements personnels. Ceci inclut l’obligation d’obtenir un consentement valide auprès des personnes concernées. Les organisations devraient documenter ce consentement et les éléments qui appuient sa validité. 
• Sécurité des RP : Mettez en place des mesures de sécurité appropriées pour protéger les données personnelles contre les accès non autorisés, la divulgation, la perte ou le vol. Cela comprend l’anonymisation ou l’encryptions des données, la gestion des mots de passe, l'accès restreint aux RP et la formation du personnel sur la sécurité.
• Durée de conservation limitée : Déterminez une période de conservation appropriée pour les données personnelles et détruisez-les une fois qu'elles ne sont plus nécessaires à des fins légales ou commerciales. Cette période peut varier en fonction de la nature des données et des exigences légales locales.
• Accès aux données : Établissez des politiques de gestion de l'accès aux données qui définissent qui peut accéder aux données personnelles et dans quelles circonstances. Assurez-vous que l'accès est limité aux personnes autorisées.
• Formation du personnel : Formez régulièrement le personnel sur les politiques et procédures de protection de la vie privée, afin qu'ils comprennent l'importance de la confidentialité des données et sachent comment gérer les données personnelles de manière sécurisée.
• Gestion des incidents : Mettez en place des plans de gestion des incidents pour réagir rapidement en cas de violation de données personnelles. En cas d’incident, informez la Commission d’accès à l’information et les individus concernés conformément à la loi.

10. Est-ce que cette loi touche tous les types d’entreprises? B2B, OBSL, publiques, etc.?

La Loi s’applique aux RP que toute entreprise : Recueille, détient, utilise, et/ou communique à des tiers.  Elle vise à protéger tous les RP, que la nature de leur support ou de leur forme soit : Écrite, graphique, sonore, visuelle, et/ou informatisée. La Loi s’applique aussi aux ordres professionnels, aux congrégations religieuses et aux partis politiques, députés indépendants ou candidats indépendants. 

La Loi ne s’applique pas à la collecte, à la détention, à l’utilisation ou à la communication de matériel journalistique, historique ou généalogique faite dans un but d’information légitime du public.

11. Existe-t-il une formation pour sensibiliser nos employés?

La FCEI offre une formation aux membres et à leurs employés sur la cybersécurité et la prévention de la fraude. Visitez l’Académie de la cybersécurité de la FCEI en accédant au portail aux membres.  

La FCEI offre aussi à ses membres des formations en ligne gratuites VUBIZ, dont un cours abrégé sur la protection des renseignements personnels (P1143FR), auquel vos employés peuvent aussi avoir accès.

12. Si nos employés utilisent des applications externes (par exemple pour les assurances médicales ou leurs talons de paye) devons-nous les aviser qu'il y a des informations prises sur eux sur ces sites?

La publication d’une politique de confidentialité est obligatoire si vous recueillez des renseignements personnels à l’aide d’une technologie. Cette politique doit être publiée dans votre site Web ou diffusée par tout autre moyen permettant aux personnes concernées d’en prendre connaissance.  Il faut se souvenir que pour obtenir un consentement valide, les entreprises doivent s'assurer qu'il respecte 8 critères listés dans la loi:

• Manifeste : évident et donné d’une façon qui démontre la volonté réelle de la personne concernée;
• Libre : impliquant un réel choix et donné sans contraintes ou pression indue. Donner son consentement devrait être aussi facile que ne pas le donner; 
• Éclairé : précis, donné en toute connaissance de cause et avec toutes les informations nécessaires pour comprendre la portée du consentement. La personne qui donne son consentement doit être en mesure de le faire (p. ex. ne pas être inapte ou avoir moins de 14 ans);
• Spécifique : donné dans un objectif précis et clairement circonscrit. Les buts de l’utilisation ou de la communication de renseignements personnels doivent être définis le plus précisément possible;
• Granulaire :  Il doit être demandé pour chacune des fins visées. S’il y a plusieurs finalités, le consentement doit être demandé séparément pour chacune d’elles. Cette granularité permet à la personne concernée de manifester sa volonté clairement, car elle peut accepter ou refuser chaque finalité spécifique;
• Compréhensible : La demande doit être présentée en des termes simples et clairs, sans jargon juridique ou organisationnel, tant pour les informations fournies que pour la question ou l’énoncé d’acceptation ou de refus.
• Temporaire : valide seulement pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé. La limite de durée peut être liée à un délai (p. ex. 6 mois ou 3 ans) ou à un événement (p. ex. dès qu’un paiement est complété);
• Distincte : La demande doit être séparée des conditions d’utilisation, des politiques de confidentialité, des signatures, etc. Elle doit avoir sa propre section ou sa propre interface facilement accessible par la personne concernée.

13. Advenant le cas qu’un employé ne donne pas son consentement pour fournir un RP requis, devons-nous lui annoncer qu'il peut perdre son emploi?

Il serait prudent de consulter un avis juridique avant de congédier un employé qui refuse de donner son consentement. Souvenez-vous que le consentement doit être libre (sans contraintes ou pression) et éclairé (donné en toute connaissance de cause). 

En principe, un consentement ne peut être libre s’il constitue une condition obligatoire d’accès à un service, à un produit ou à un emploi. Les organisations doivent donc permettre aux personnes de refuser les finalités secondaires sans influence sur l’entente initiale. Cependant, il arrive qu’une utilisation ou une communication de renseignements soit essentielle à la fourniture d’un service ou d’un bien ou à l’accès à un emploi. Elle est alors en lien avec la finalité primaire de l’organisation. Si l’organisation respecte son obligation de transparence, les personnes consentent à l’utilisation ou à la communication nécessaire à cette fin primaire en fournissant leurs renseignements. Si elles ne fournissent pas ces renseignements, l’organisation ne peut pas leur fournir le service ou le bien ou leur permettre l’accès à l’emploi et est donc dans son droit de le refuser.

14. Est-ce que la géolocalisation dans les camions est considérée comme un RP?

Les données de géolocalisation en elles-mêmes ne sont généralement pas considérées comme des renseignements personnels, car elles ne révèlent pas directement l'identité d'une personne. Cependant, si ces données sont associées à des informations sur un conducteur ou un propriétaire de véhicule spécifique, elles pourraient être considérées comme des renseignements personnels. Vous devrez fournir des informations supplémentaires aux personnes concernées si vous collectez leurs renseignements en utilisant une technologie comprenant des fonctions permettant : 

• D’identifier ces personnes;
• De les localiser;
• D’effectuer un profilage à leur sujet.  

Pour plus d’informations, veuillez consulter la page: Collecte par moyens technologiques. 

15. Doit-on afficher une Politique de confidentialité sur un site web qui est seulement informatif (affichage de photos et renseignements sur la compagnie)?

Toute entreprise exploitée au Québec par une personne ou une société doit se conformer à la loi dès l’instant où elle recueille, détient, utilise ou communique les renseignements personnels de ses clients (des individus) ou de ses employés. Une des nouvelles obligations est de publier une politique de confidentialité. Si vous recueillez des renseignements personnels à l’aide d’une technologie, cette politique doit être publiée sur votre site Web. 

Son objectif est de fournir aux personnes concernées toutes les informations nécessaires à une prise de décision éclairée lors de la collecte et de la circulation de leurs renseignements.

16. Est-ce que le consentement distinct s’applique aux envois par courriel cryptés des bordereaux de paie, Relevé d'emploi et des feuillets T4, T3 et autres feuillets similaires?

Le consentement de la personne concernée est obligatoire afin de de communiquer des RP a un tiers. La nécessité de collecter, d’utiliser ou de communiquer des renseignements personnels pour atteindre vos objectifs doit être évaluée avant même d’obtenir un consentement valide.

Dès le 22 septembre 2023, le consentement devra être manifesté de façon expresse pour ce qui concerne les RP sensibles (suscite un haut degré́ d’attente raisonnable en matière de vie privée). C’est-à-dire que le consentement doit être explicitement exprimé par un geste ou une déclaration (orale ou écrite) témoignant de l’acceptation par la personne concernée. Un consentement exprès ne laisse aucun doute sur la volonté réelle de la personne.

 Une organisation est libre de développer des mécanismes de consentement qui conviennent à ses activités, tant qu’ils sont conformes à la loi. Ces mécanismes devraient être adaptés aux personnes visées, au contexte et au type d’interface utilisée. Voici des exemples selon la forme de consentement :  

• Consentement exprès :  
  • Signature d’un document;  
  • Activation d’une case;  
  • Réponse affirmative à une question;  
  • Approbation verbale;  
• Consentement implicite :  
  • Case déjà cochée qui peut être désactivée;  
  • Déduction liée au silence ou à l’inactivité de la personne;  
  • Déduction liée à un autre geste posé par la personne. 

Pour plus de détails sur le consentement, consultez la page: Consentement et collecte de RP. Afin de faciliter la compréhension des critères de validité du consentement, la CAI a publier des lignes directrices sur les critères de validité du consentement. 

17. Pour les professionnels de la santé qui doivent communiquer des informations personnelles avec des organismes externes (RAMQ, CNESST, et autres organismes publics), sommes-nous tenu d'obtenir le consentement? Ces informations sont obligatoires pour la constitution d'un dossier selon l’ordre professionnel et sont donc obligatoire pour effectuer un service de notre part. 

En principe, les entreprises doivent obtenir le consentement des personnes pour communiquer leurs renseignements personnels. Le consentement exprès est obligatoire lorsque l’organisation veut utiliser ou communiquer un renseignement sensible. Il n’est toutefois pas requis si cette utilisation ou cette communication est nécessaire à la fin primaire et est annoncée lors de la collecte. Ce consentement peut être retiré ultérieurement.  

Puisqu’il ne nécessite pas de geste actif et positif, le consentement implicite devrait quant à lui être utilisé seulement lorsque les critères supplémentaires suivants sont respectés :  

• L’utilisation ou la communication ne va pas à l’encontre des attentes raisonnables des personnes selon le contexte;  
• Aucun risque de préjudice grave n’émerge de l’utilisation ou de la communication prévue.

Dans certaines situations, la Loi vous autorise toutefois à communiquer un renseignement personnel sans l’obtention du consentement de la personne concernée. Vous pouvez, entre autres, le faire :

• En cas d’urgence ou en vue de prévenir un acte de violence ;
• Pour permettre l’exercice d’un mandat ou l’exécution d’un contrat de service ou d’entreprise que vous avez confié à un tiers;
• Quand une personne ou un organisme vous soumet une demande écrite afin d’utiliser ces renseignements à des fins de recherche, d’étude ou de production de statistiques ;
• En cas d’incident de confidentialité, pour aviser une personne ou un organisme susceptible de diminuer le risque de préjudice sérieux.

Les obligations de la Loi sur l’accès s’appliquent aussi aux ordres professionnels, concernant les documents et les renseignements qu’ils détiennent, dans la mesure prévue par le Code des professions. 

Pour plus d'information par rapport aux exceptions, consulter la page exceptions en matière de consentement. 

18. Les contrats existants doivent-ils être adaptés ou modifiés pour se conformer à la loi à compter du 22 septembre 2023?

Il est important de vérifier et de réviser vos contrats actuels pour assurer la conformité aux nouvelles obligations du gouvernement québécois. Veuillez consulter notre page dédiée à ce sujet pour vous familiariser avec celles-ci.

Il est aussi important de noter que la FCEI ne peut pas fournir d’avis ou d’expertise légale, et si vous avez besoin de conseils juridiques ou de représentation légale dans le cadre des opérations de votre entreprise, il est bien sûr recommandé de consulter un avocat. Bien que nous ne puissions pas vous recommander une firme ou un avocat spécifique, les options suivantes pourraient peut-être vous être utiles :

• Barreau du Québec : Trouver un avocat; cet organisme peut vous aider à trouver l’avocat qu’il vous faut selon le domaine qui vous préoccupe, et ce à proximité de votre lieu de travail – consultez le Bottin des avocats. Vous pouvez possiblement aussi discuter des détails de votre situation initialement avec un avocat à faible coût ; le Barreau du Québec offre ce service de référence : Trouver un avocat – Services de référence. Information : Faire affaire avec un avocat - la relation client-avocat.
• Northbridge Assurance : l’un de nos partenaires d’affaires, Northbridge Assurance, offre un service de consultation juridique gratuit pendant un an, exclusif aux membres de la FCEI. Le service Assistance Juridique vous permet d’obtenir des conseils juridiques gratuits illimités par téléphone sur des questions concernant votre entreprise, notamment dans le domaine du droit commercial. Contactez nos Ressources aux entreprises au 1-833-568-3234 pour demander de prendre avantage de ce service.

19. Si des RP nous ont été partagées par nos clients (nom, âge et emploi), avons-nous une obligation par rapport au consentement ou pouvons-nous assumer que le consentement avait été obtenu par notre client, avant le partage?

En principe, les entreprises doivent obtenir le consentement des personnes pour communiquer leurs renseignements personnels. Toutefois, il serait prudent pour les entreprises privées de s’en assurer auprès du fournisseur ou de l’organisation qui les fournis avant de collecter ceux-ci.

Voici les informations à fournir au moment de l’obtention du consentement : 

• Qui? Organisation au nom de laquelle le consentement est demandé;  
  
  
• Pourquoi? Finalité visée par la demande de consentement;
  
  
• Quoi? Renseignements concernés, ou à tout le moins catégories de renseignements, à titre de rappel si un certain temps s’est écoulé depuis la collecte des renseignements;  
  
  
• Auprès de qui? Si applicable, nom des tiers ou catégorie de tiers, à l’extérieur de l’organisation, auprès de qui l’organisation recueillera les renseignements ou pour lesquels elle recueillera les renseignements;  
  
  
• Comment? Moyens d’utilisation ou de communication des renseignements (communication postale; recours à une décision entièrement automatisée, etc.);  
  
  
• À qui? Si applicable, nom des tiers ou catégorie de tiers, à l’extérieur de l’organisation, à qui l’organisation communiquera les renseignements;  
  
  
• Hors Québec? Si applicable, possibilité que les renseignements soient communiqués à l’extérieur du Québec;
  
  
• Quels droits? Droit de retirer son consentement, droit d’accès et droit de rectification, avec des précisions sur la manière de les exercer; i. Renseignements accessibles à qui? Catégories de personnes, au sein de l’organisation, qui auront accès aux renseignements afin d’atteindre la finalité visée;  
  
  
• Pendant combien de temps? Durée de validité du consentement;  
  
  
• Qui contacter en cas de besoin? Coordonnées du responsable de la protection des renseignements personnels, auprès de qui les personnes peuvent obtenir plus d’information ou exercer leurs droits.

20. Existe-t-il des normes minimales établies par rapport au niveau de sécurité (par exemple protection d’un serveur, firewall, anti-virus, encryptions, etc.) jugé suffisant pour protéger les RP?

Les normes minimales de sécurité pour protéger les renseignements personnels varient en fonction des lois et réglementations en vigueur dans chaque juridiction et domaine. Vous devez mettre en place des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures doivent être raisonnables compte tenu, notamment, de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements personnels. Il vous appartient de déterminer les mesures de sécurité qui répondent à cette obligation selon le contexte de votre entreprise.

Voici quelques pratiques générales qui sont considérées comme des normes minimales de sécurité pour protéger les renseignements personnels :

• Confidentialité : Les renseignements personnels doivent être traités de manière confidentielle, c'est-à-dire qu'ils ne doivent pas être accessibles aux personnes non autorisées. L'accès aux données doit être limité aux employés et aux parties autorisées nécessaires à des fins spécifiques.
• Authentification et contrôle d'accès : Les systèmes et les données contenant des renseignements personnels doivent être protégés par des méthodes d'authentification, telles que des mots de passe forts, des cartes d'accès, ou des systèmes de reconnaissance biométrique. L'accès aux données doit être basé sur le principe du besoin de savoir.
• Chiffrement des données : Les données personnelles stockées, en transit ou en cours d'utilisation doivent être chiffrées pour les protéger contre les accès non autorisés en cas de perte ou de vol de matériel ou de transmission non sécurisée.
• Gestion des vulnérabilités : Les organisations doivent mettre en place des processus pour identifier et corriger les vulnérabilités de sécurité dans leurs systèmes et logiciels pour éviter les failles potentielles.
• Surveillance et audit : Les organisations doivent surveiller les activités liées aux données personnelles, enregistrer les événements de sécurité et effectuer régulièrement des audits pour détecter toute activité suspecte.
• Formation et sensibilisation : Les employés doivent être formés à la sécurité des données et à la protection de la vie privée pour minimiser les risques liés à une mauvaise utilisation des données personnelles.
• Gestion des incidents de sécurité : Les organisations doivent avoir un plan de réponse aux incidents de sécurité pour réagir rapidement en cas de violation de données personnelles et pour notifier les autorités compétentes et les personnes concernées conformément à la réglementation en vigueur.
• Conservation limitée : Les renseignements personnels ne doivent pas être conservés plus longtemps que nécessaire pour atteindre les objectifs pour lesquels ils ont été collectés. Une politique de conservation appropriée doit être en place.
• Contrats avec les fournisseurs : Lorsque des tiers traitent des données personnelles au nom de votre organisation, des contrats de traitement des données doivent être établis pour garantir que ces tiers respectent les mêmes normes de sécurité.
• Conformité aux lois locales : Les organisations doivent se conformer aux lois et réglementations locales en matière de protection des données personnelles, telles que le RGPD en Europe ou le CCPA en Californie, et respecter les normes minimales de sécurité spécifiées par ces réglementations.

Il est important de noter que ces normes minimales de sécurité peuvent varier d'un endroit à l'autre et évoluer avec le temps en réponse aux menaces de sécurité en constante évolution. Il est donc essentiel de rester informé des lois et des meilleures pratiques en matière de sécurité des données dans votre région et votre industrie pour garantir une protection adéquate des renseignements personnels.

La FCEI offre une formation aux membres et à leurs employés sur la cybersécurité et la prévention de la fraude. Visitez l’Académie de la cybersécurité de la FCEI en accédant au portail aux membres. 

21. Peut-on obtenir un consentement seulement pour la collecte, l’utilisation et la communication de RP ou faut-il obtenir un consentement distinct pour chacun?

Une entreprise privée peut recueillir des renseignements personnels afin de constituer un dossier, mais elle doit recueillir que les renseignements nécessaires pour pouvoir s’acquitter de sa tâche, et en assurer la protection.

L’entreprise doit également informer les personnes concernées sur : 

• l’objet du dossier;
• l’utilisation qui sera faite des renseignements;
• les catégories de personnes qui y auront accès au sein de l’entreprise;
• l’endroit où sera détenu le dossier;
• leurs droits d’accès ou de rectification. 

Lorsqu’une demande de consentement à l’utilisation secondaire ou à la communication est formulée au moment de la collecte de renseignements, une organisation doit s’assurer de fournir :  

• Les informations requises pour respecter ses obligations de transparence relatives à la collecte, dont les finalités primaires pour lesquelles elle recueille les renseignements;  
  
  
• Les informations relatives aux autres finalités pour lesquelles elle demande un consentement. Elle doit toutefois le faire distinctement. Il y a ainsi un lien entre le caractère éclairé du consentement et la quantité d’informations données simultanément à la personne concernée : présenter les informations distinctement, en particulier si elles concernent un consentement, réduit le risque de confusion. 

Si la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information. Elle doit donc être séparée des conditions d’utilisation, des politiques de confidentialité, des demandes de confirmer la validité des renseignements fournis, des engagements, des signatures, etc.  

Pour plus de détails sur le consentement, consultez la page Consentement et collecte de RP. 

22. Qu’est-il entendu par la « destruction » des RP et y a-t-il des normes de bases pour effectuer celle-ci?

Utilisez la méthode de destruction choisie pour détruire les renseignements personnels de manière irréversible. Pour les documents papier, cela implique souvent de passer les feuilles par une déchiqueteuse. Pour les supports électroniques, cela peut nécessiter l'utilisation de logiciels de suppression sécurisée ou la destruction physique des dispositifs de stockage. Pour les supports électroniques, il est recommandé de vérifier que les données ont été effacées de manière irréversible. Conservez des dossiers de votre processus de destruction, y compris les dates, les méthodes utilisées, les personnes impliquées, et toute autre information pertinente. Cette documentation peut être utile pour démontrer votre conformité avec les lois sur la protection des données en cas d'audit ou d'enquête.

La destruction sécurisée des renseignements personnels est essentielle pour protéger la vie privée des individus et se conformer aux lois sur la protection des données. Assurez-vous de consulter un expert juridique ou en sécurité des données si vous avez des doutes sur la manière de procéder à la destruction de renseignements personnels de manière appropriée.  Pour plus de conseils afin d’assurer la conformité lors de la destruction de documents concernant des renseignements personnels, consultez cette ficheinfo par la CAI.

23. Pendant combien de temps peut-on conserver les RP dans nos dossiers? Est-ce que ceci diffère par industrie (Santé vs. Public vs. Entreprise privée)? 

La durée de validité du consentement est un concept différent du délai de conservation des renseignements. Ainsi, la fin de la validité d’un consentement ne coïncide pas toujours avec la destruction du renseignement. La durée pendant laquelle une organisation peut conserver un renseignement dépend ainsi des fins visées, mais aussi des lois applicables dans son contexte. Lorsqu’une organisation demande un consentement pour une très longue durée, elle devrait porter une attention particulière à la transparence de manière continue. Elle pourrait rappeler aux personnes concernées, à intervalle approprié et rappeler qu’il est possible de retirer leur consentement en tout temps.

Veuillez consulter notre tableau des Délais de conservation des renseignements personnels. 

24. Est-ce que la FCEI offre ou recommande un service d’accompagnement pour se conformer à cette loi et tout ce qu’elle englobe?

En dehors de nos partenaires commerciaux qui font partie de notre programme Économies, nous ne sommes pas en mesure de recommander d’autres organismes professionnels. Cependant, pour vous faciliter la vie, notre équipe a pris le temps de démystifier cette loi, qui peut sembler complexe. Nos conseillers sont à votre disposition pour vous guider et notre site internet dédié contient également de nombreuses ressources pour vous aider à vous mettre en conformité.

Il est important de noter que la FCEI ne peut pas fournir d’avis ou d’expertise légale, et si vous avez besoin de conseils juridiques ou de représentation légale dans le cadre des opérations de votre entreprise, il est bien sûr recommandé de consulter un avocat. Bien que nous ne puissions pas vous recommander une firme ou un avocat spécifique, les options suivantes pourraient peut-être vous être utiles:

• Barreau du Québec : Trouver un avocat; cet organisme peut vous aider à trouver l’avocat qu’il vous faut selon le domaine qui vous préoccupe, et ce à proximité de votre lieu de travail – consultez le Bottin des avocats. Vous pouvez possiblement aussi discuter des détails de votre situation initialement avec un avocat à faible coût ; le Barreau du Québec offre ce service de référence : Trouver un avocat – Services de référence. Information : Faire affaire avec un avocat - la relation client-avocat.
• Northbridge Assurance : l’un de nos partenaires d’affaires, Northbridge Assurance, offre un service de consultation juridique gratuit pendant un an, exclusif aux membres de la FCEI. Le service Assistance Juridique vous permet d’obtenir des conseils juridiques gratuits illimités par téléphone sur des questions concernant votre entreprise, notamment dans le domaine du droit commercial.

25. Est-ce que les organismes publics avec qui on fait affaires vont nous demander de démontrer notre niveau de protection des RP?

Les ministères et les organismes publics doivent autant faire preuve de transparence en matière de documents publics que de vigilance quant à la protection des renseignements personnels détenus dans le cadre de leurs fonctions. C’est ce que prévoit la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l’accès.) 

 Il est donc possible que les organismes publics avec lesquels vous travaillez vous interrogent sur les mesures de sécurité que vous prenez.

26. Est-ce que le consentement peut être obtenu lors de la signature de l'entente de service?

Lorsque la demande de consentement est faite par écrit, elle devra être présentée distinctement de toute autre information communiquée à la personne concernée.  Le consentement doit être granulaire, c’est-à-dire demandé à chacune des fins visées. La granularité renvoie à l’image d’une matière dont on peut distinguer les parties. La granularité permet d’assurer que le consentement soit réellement libre. Il ne l’est pas si la personne doit autoriser plusieurs finalités ou tiers à qui l’organisation communique ses renseignements en même temps, car son seul choix est alors de refuser ou d’accepter en bloc. De même, la granularité assure que la personne manifeste clairement sa volonté pour chaque finalité spécifique. 

27. Est-ce qu’un client peut demander d’effacer les images enregistrées par une caméra de sécurité?

Sauf exceptions, toute personne a le droit d’être informée des renseignements personnels la concernant détenus par une entreprise et, le cas échéant d’en demander la rectification. Ce droit s’exerce quelle que soit la forme sous laquelle ces renseignements sont accessibles : écrite, graphique, sonore, visuelle, informatisée ou autre.  Pour plus d’information sur la rectification d’un dossier concernant un renseignement inexact, incomplet ou équivoque vous concernant, veuillez consulter la page:  Rectifier vos renseignements personnels.

À compter du 22 septembre 2023, les personnes pourront demander aux entreprises de cesser de diffuser leurs renseignements personnels ou de désindexer tout hyperlien rattaché à leur nom donnant accès à des renseignements si cette diffusion leur cause préjudice ou contrevient à la loi ou à une ordonnance judiciaire (droit à l’effacement ou à l’oubli).

28. Quelles sont les obligations par rapport aux dossiers personnels dans une entreprise privée?

• Droit de consulter : En principe, seule la personne concernée peut avoir accès à son dossier.
• Frais : L’accès par consultation aux renseignements personnels contenu dans un dossier est gratuit. Toutefois, la loi établit que des frais raisonnables peuvent être exigés pour couvrir les coûts de la transcription, de la transmission ou de la reproduction des documents.
• Temps : L’entreprise privée a 30 jours civils pour répondre à partir de la réception de la demande.
• Corrections : La demande de rectification à des renseignements personnels par la personne concernée est faite par écrit à la personne qui détient l’autorité (propriétaire, directeur, gérant, etc.) au sein de l’entreprise privée qui détient les renseignements.
• Conservation : Le dossier est conservé tant et aussi longtemps que l’objet pour lequel les renseignements ont été recueillis n’est pas accompli.

29. Quelles sont les nouvelles obligations en date du 22 Septembre 2023?

• Obligation de mettre en œuvre des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier des informations détaillées au sujet de celles-ci.
• Nouvelles obligations de transparence comme celles :
  • de publier les règles encadrant sa gouvernance à l’égard des renseignements personnels
  • de publier une politique de confidentialité rédigée en des termes simples et clairs si vous recueillez par un moyen technologique des renseignements personnels et aviser les personnes concernées de ses mises à jour
  • d’informer la personne concernée lorsqu’elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé
  • d’informer la personne lors du recours à une technologie d’identification, de localisation ou de profilage et des moyens offerts pour activer ces fonctions
• Anonymisation des renseignements personnels
• De nouveaux assujettis à la Loi sur le privé, comme les partis politiques provinciaux
• Obligation de réaliser une évaluation des facteurs relatifs à la vie privée dans certaines situations
• Nouvelles règles entourant le consentement
• Droit à la désindexation (ou droit à l’effacement ou à l’oubli)
• Nouvelles conditions de communication des renseignements personnels à l’extérieur du Québec
• Nouvelles conditions de communication des renseignements personnels facilitant le processus de deuil
• Nouvelles conditions entourant la collecte de renseignements personnels concernant un mineur de moins de 14 ans
• Obligation de prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public
• Possibilité pour la Commission d’imposer des sanctions administratives pécuniaires

 30. Quelles seront les nouvelles obligations en date du 22 Septembre 2024? 

Répondre aux demandes de portabilité des renseignements personnels, à savoir de transmettre, à la demande d’une personne concernée, ses renseignements personnels.