La loi 25 vient apporter de nombreux changements à la Loi sur la protection des renseignements personnels dans le secteur privé, loi adoptée en 1993, modifiée à quelques occasions et visant principalement la protection des renseignements personnels dans le secteur privé au Québec. La version initiale de cette loi visait en grande partie l’application de règles permettant d’assurer la confidentialité des renseignements personnels recueillis par les entreprises privées et ne touchait pas en tant que tel les organisations qui avaient une vocation d’information publique légitime. On pense au travail journalistique, à la collecte de documents d’archives, etc. En ce sens, les mesures permettant de contrôler et assurer une protection de la confidentialité des renseignements détenus étaient plutôt légères et sans grande portée dans la sphère du privé et des OSBL. Elles portaient entre autres sur l’obligation de consigner uniquement les « renseignements nécessaires à l’objet du dossier ».

Bien entendu, cette loi vient désormais apporter de grands changements dans les pratiques courantes de ces domaines d’affaires qui n’étaient que peu concernés par ces enjeux. En ce sens, elle vient répondre, du point de vue des droits des usagers, clients et public en général, à l’accélération que les plateformes numériques ont connues au cours des dernières décennies, à l’accumulation et à l’échange de plus en plus importants d’informations de nature confidentielle dans les bases de données, serveurs et archives papier qui ont été générées au Québec dans les dernières décennies.

Elle vient aussi souligner l’importance de plus en plus marquée d’assurer une communication claire des droits et obligations qui entourent et protègent les informations confidentielles utilisées et détenues au Québec. Surtout dans un marché où l’information sur les consommateurs et utilisateurs est devenue pour de nombreuses entreprises une véritable mine d’or et où les limites et contraintes autres que la bonne foi se faisaient plutôt rares. 

Avec cette nouvelle loi, le législateur va désormais changer de nombreuses pratiques qui entourent l’obtention d’un consentement afin de mieux définir la cueillette de renseignements personnels, la durée de la conservation de ces informations et l’ensemble des règles et politiques entourant ces pratiques de façon à en simplifier la compréhension pour l’ensemble des usagers. Ce qui exclut bien entendu la pratique que de nombreuses entreprises avaient l’habitude d’utiliser et qui consistait à présenter à ses utilisateurs ou clients des conditions d’utilisation étalées sur de nombreuses pages dans un langage parsemé de termes juridiques peu usités.

À ces nouvelles obligations, le législateur a aussi ajouté des mécanismes qui devraient faciliter l’accès des utilisateurs à ces données afin d’en vérifier la véracité et d’en demander la correction ou l’effacement complet, appelé aussi « droit à l’oubli ». Il a aussi ajouté des sanctions en cas de défaut qui pourraient en effrayer plus d’un puisque comme c’est souvent le cas avec les projets de loi qui apportent de nombreux changements, les règles entourant l’interprétation des nouvelles mesures restent encore à définir.

Il est bon de noter ici que toutes ces nouvelles obligations peuvent représenter pour les organisations et les entreprises privées une belle occasion de revoir leurs pratiques en matière de gestion de documents. Il faut comprendre que les entreprises qui ont pu saisir par le passé cette occasion et mettre à jour leurs logiciels et outils de gestion documentaire tout en mettant en place des politiques entourant la sécurité et la confidentialité de leurs documents se retrouvent aujourd’hui dans une bien meilleure position face à tous ces changements.

Les changements déjà apportés

Depuis septembre 2022, il importe de nommer une personne facilement identifiable qui supervisera la protection des renseignements personnels. Il importe aussi d’avoir un plan de protection des données et un plan d’intervention qui permet de communiquer rapidement les faits aux personnes concernées afin d’éviter des préjudices supplémentaires. Et de tenir un registre de ces incidents qui devra être communiqué à l’organisme gouvernemental responsable.

L’utilisation des renseignements personnels doit désormais être encadrée quel que soit le contexte de son utilisation et des évaluations relatives à la confidentialité doivent être effectuées avant de communiquer de telles informations à des tiers. Ce qui doit être accompagné d’un avis à l’organisme gouvernemental responsable.

Depuis septembre 2023, les entreprises doivent avoir mis en place des politiques portant sur la gouvernance des renseignements personnels et celles-ci doivent être faciles à consulter. Elles doivent aussi respecter le cadre de pratiques que la loi a mis en place en ce qui concerne les facteurs pouvant toucher à la vie privée des utilisateurs avec, par exemple, le partage des renseignements confidentiels avec d’autres entreprises ou territoires. Elles doivent assurer la destruction des renseignements lorsqu’ils ne sont plus pertinents pour l’entreprise et aussi s’assurer qu’il est possible légalement d’en disposer tout en faisant preuve de transparence face à toutes les demandes que les citoyens peuvent exiger en termes de communication des informations et demandes relevant du « droit à l’oubli ». Et pour finir, en septembre 2024, les entreprises devront pouvoir répondre aux demandes des citoyens ou de toute personne mandatée par eux dans un format écrit, facilement accessible et communicable.

Les outils et logiciels de gestion documentaire, une occasion de rentabiliser vos efforts

Pourquoi ne pas saisir cette occasion et apporter à votre organisation la protection nécessaire pour faire face à ces exigences et à celles qui protègeront votre organisation contre les risques qui entourent la gouvernance de vos informations. Il existe de nombreuses pratiques en gestion documentaire qui permettent d’assurer une gestion serrée qui, pour nombre d’organisations, a pu faciliter une plus grande adaptation à ces nouvelles exigences législatives.

La protection des renseignements personnels effectuée dans un cadre normatif plus important allant de l’identification avancée des documents administratifs à l’aide d’outils d’indexation ou de métadonnées spécialisées à la mise en place de politiques associées à la gouvernance de vos informations et la gestion de vos documents vous permettra de mieux gérer les risques qui y sont associés tout en renforçant les mesures de sécurité que vous pouvez appliquer pour la protection des renseignements personnels que vous gérez. Et c’est sans compter les nombreux outils qui une fois appliqués vous permettront :

• de retracer plus facilement les renseignements que vous pourriez avoir à présenter à vos clients et usagers;
• de faciliter le travail des responsables que vous nommerez pour l’application de ce cadre;
• de permettre de mieux identifier les différents niveaux de sensibilité associés aux renseignements personnels que vous détenez;
• de mettre plus facilement en place des mesures pour prévenir les incidents de sécurité liés à la confidentialité des renseignements personnels;
• de préparer plus facilement les mesures et stratégies à appliquer en cas de bris de sécurité touchant les renseignements personnels que vous gérez à l’aide de procédures décrivant les étapes à suivre et les personnes responsables de cette application;
• de plus facilement mettre à jour les informations sur les renseignements personnels que vous détenez et d’assurer un meilleur suivi concernant le respect des mesures mises en place et les différentes requêtes que vous pourriez recevoir.

Avis légal : Nos articles sont présentés en tant qu’information générale. Il ne s’agit pas d’avis juridiques, d’avis concernant un domaine ou une profession réglementée. Nos articles sont présentés uniquement en tant que source d’information générale et moyens de vulgariser les domaines de connaissance qui touchent l’ensemble de nos services. S’il y a lieu, vous êtes invités à consulter la législation pertinente et les professionnels qui y sont associés si vous avez l’intention d’utiliser l’information contenue dans nos pages.