Qu’est-ce que la Loi 25?

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après la « Loi 25 ») adoptée par l’Assemblée nationale en septembre 2021 modifie considérablement certaines obligations des entreprises et des organismes en matière de protection des renseignements personnels.

Champ d’application

Cette loi s’applique à toute personne qui exploite une entreprise et qui collecte des renseignements personnels (sur ses employés, sur ses clients, par le biais de son site Web ou autrement dans le cours de ses affaires) qu’ils soient conservés sur papier ou en version électronique. La plupart de ces nouvelles obligations entreront en vigueur le 22 septembre 2023. Pourtant, de nombreuses entreprises et nombreux organismes ignorent que cette loi leur est applicable. Bien souvent, il existe une mécompréhension du terme « renseignement personnel ». Plusieurs croient à tort qu’en supprimant les identificateurs directs, comme un nom ou un prénom d’un document, une personne cesse d’être identifiée et que, par conséquent, les dispositions de la loi ne sont pas applicables. Cela est faux. La Loi 25 s’applique à tout renseignement personnel, c’est-à-dire toute information sur une personne physique qui permet directement ou indirectement son identification. 

La Loi 25 s’applique aux syndicats de copropriété

Dans le cas des syndicats de copropriété, la Loi 25 s’applique étant donné que le Code civil du Québec exige la tenue d’un registre de copropriété qui comporte, entre autres, le nom et l’adresse postale de chaque copropriétaire. La Loi 25 s’applique également à la collecte de renseignements personnels dans le cadre de l’embauche d’un gestionnaire d’immeuble ou d’un concierge, par exemple, puisqu’il y a communication du numéro d’assurance sociale et d’informations relatives au compte bancaire.

La Loi 25 s’applique aux promoteurs immobiliers

À ce titre, il est très important pour les promoteurs agissant comme administrateurs provisoires de syndicats de copropriété de savoir qu’ils sont tenus à ces mêmes obligations.

Nouvelles obligations

Dans ce contexte, la loi exige que les syndicats de copropriété et les promoteurs immobiliers adoptent certaines pratiques en matière de gouvernance et de protection des renseignements personnels. Parmi celles-ci, la loi exige que chaque entreprise ou organisme :

(1) ait un Responsable de la protection des renseignements personnels1 et que son titre et ses coordonnées soient publiés sur son site Internet, ou à défaut, rendus accessibles par tout autre moyen;

(2) réponde convenablement aux « incidents de confidentialité2 » ; 

(2.1) Dans cette optique, chaque entreprise doit tenir un registre des incidents de confidentialité conforme au Règlement sur les incidents de confidentialité, ce qui implique, en présence d’un incident de confidentialité :

a. la communication de l’incident de confidentialité par le personnel de l’entreprise au Responsable ;

b. l’inscription de l’incident au Registre ;

c. analyse de l’incident par le Responsable de la protection des renseignements personnels, de l’adoption de mesures visant à limiter le risque de préjudice que l’incident pourrait causer aux personnes concernées et à limiter le risque qu’un incident similaire se reproduise ;

(2.2) En présence d’un risque de préjudice sérieux, d’autres obligations devront être respectées, notamment la notification de l’incident à la Commission d’accès à l’information et aux personnes concernées.

(3) révise ses ententes et contrats avec toutes entités exerçant ou exécutant pour l’entreprise ou l’organisme un mandat, un contrat de service ou un contrat d’entreprise3 ;

(4) veille à ce que les finalités pour lesquelles les renseignements personnels seront collectés et d’autres informations exigées4 par la Loi 25 soient communiquées aux personnes concernées préalablement à leur collecte5 ;

(5) révise les consentements reçus des personnes concernées pour justifier la collecte et la divulgation de renseignements personnels à la lumière des nouveaux critères de validité du consentement ;

(6) respecte les nouvelles obligations en matière de collecte de renseignements personnels par moyens technologiques6 ;

(7) se conforme aux nouvelles obligations applicables en cas de communication de renseignements personnels à l’extérieur du Québec7 ;

(8) respecte les nouvelles exigences et échéances concernant les demandes d’accès et de rectification par les personnes concernées ;

(9) élabore ou mette à jour ses politiques et pratiques de gouvernance en toute conformité avec la Loi 25.8

Ce ne sont là que quelques-unes des obligations énoncées dans la Loi 25, qui contraint les syndicats de copropriété et les promoteurs immobiliers à effectuer d’importants ajustements à leurs pratiques en matière de protection de la vie privée pour les renseignements personnels qu’ils détiennent, quelle que soit leur forme.9

Sanctions

La Loi 25 prévoit de lourdes sanctions en cas de non-respect des exigences par les organismes concernées ou d’inaction de leur part, jusqu’à un maximum de 25 millions de dollars ou un montant correspondant à 4 % du chiffre d’affaires mondial d’un organisme au cours de l’exercice précédent. Rappelons qu’un bris de sécurité ou un incident de confidentialité peuvent également entacher la réputation d’un organisme et diminuer la confiance des clients et employés envers elle. Il est donc primordial de veiller à ce que vos activités soient conformes à ces exigences.

Conclusion

L’équipe de protection des renseignements personnels de Cain Lamarre saura épauler votre entreprise ou organisme dans son processus de mise en conformité aux nouvelles obligations québécoises. Que vous désiriez recevoir une formation sur les nouvelles obligations, des conseils sur vos traitements des renseignements personnels ou suite à un incident de confidentialité ou rédiger des directives ou politiques en matière de protection des renseignements personnels d’une manière qui répondra aux besoins spécifiques de votre entreprise ou organisme, Cain Lamarre peut vous accompagner dans vos démarches de conformité à vos nouvelles obligations légales.

———————————

[1] Par défaut, la personne détenant la plus haute autorité au sein de l’organisme occupe cette fonction, bien qu’elle puisse être déléguée à une autre personne.

[2] La notion d’« incident de confidentialité » regroupe tout accès, utilisation ou communication non autorisé par la loi à un renseignement personnel ainsi que toute perte ou toute autre atteinte à la protection d’un renseignement personnel.

[3] Entre autres, afin de pouvoir communiquer des renseignements personnels à ces entités, sans obtenir le consentement préalable des personnes concernées, il conviendra de prévoir un contrat écrit prévoyant les mesures que l’entité devra prendre pour protéger la confidentialité des renseignements personnels communiqués et pour être notifié en cas d’incident de confidentialité. Le contrat doit également prévoir que ces renseignements ne soient utilisés que dans l’exercice du mandat ou l’exécution du contrat et que l’entité ne puisse les conserver après son expiration.

[4] Voir Article 8 et ss. de la Loi 25.

[5] Sauf exceptions prévues dans la Loi 25; Voir Article 12 de la Loi 25.

[6] Entre autres, chaque organisation devra publier sur son site Web et par moyen approprié une politique de confidentialité. Elle devra également procéder à une évaluation des facteurs relatifs à la vie privée (« EFVP ») pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

[7] Tel est le cas, par exemple, si un syndicat de copropriété confie à une personne ou à une entité hors Québec la tâche de recueillir, d’utiliser, de divulguer ou de conserver ces renseignements pour son compte au moyen d’une application, d’un site Web ou d’un réseau intranet. Ces nouvelles obligations comprennent la réalisation d’une EFVP et la signature d’une entente écrite en ce sens avec cette entité hors Québec.

[8] C’est-à-dire un encadrement clair et conforme pour la conservation et la destruction des renseignements personnels ; pour les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels ; et un processus de traitement des plaintes relatives à la protection de la vie privée. De plus, des informations détaillées sur ces politiques et pratiques doivent être disponibles, en termes clairs et simples, sur le site Web de l’organisme.

[9] La Loi 25 s’applique aux renseignements personnels détenus sur papier et aussi sur support numérique.