Réservez une démo
Se connecter à la console
didomi-quebec-loi-25
  • Focus pays

Ce que vous devez savoir sur la Loi 25 du Québec (ex projet de loi 64)

Publié le 25 juillet 2022 par Sarah Barker

Mis à jour le 1 août 2022 par Sarah Barker

Le domaine de la protection de la vie privée au Québec est en train de changer et il est plus que temps pour les entreprises de se mettre à niveau.

 

Suite à l’introduction des normes de protection de la vie privée par le RGPD en Europe, la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) a été adoptée à l'unanimité par l'Assemblée nationale du Québec le 21 septembre 2021.

Dans cet article, nous passons en revue tout ce que vous devez savoir sur cette loi 25.

 

Summary:

 

 


 

Qu'est-ce que la loi 25 du Québec ?

 

Susceptible d’entraîner des réformes plus globalement dans tout le Canada, la loi 25 est conçue pour moderniser les lois québécoises sur la protection de la vie privée. En introduisant une série de changements dans le cadre juridique existant, elle accorde de nouveaux droits en matière de protection des données aux individus et de nouvelles obligations pour les organisations publiques et privées qui traitent leurs informations personnelles.

Historiquement, le cadre du droit de la protection de la vie privée au Québec est composé d'un ensemble de lois provinciales et fédérales. La Loi 25 constitue une mise à jour générale de ce dispositif, notamment de la loi régissant l'accès aux documents détenus par les organismes publics (la Loi sur le secteur public) et celle régissant la protection des renseignements personnels dans le secteur privé (la Loi sur le secteur privé).

La loi 25 fait l’objet d'une mise en œuvre progressive sur les trois prochaines années. Bien que cette souplesse réduise légèrement la pression, il est largement temps pour les entreprises de se mettre en règle. Les changements à venir sont exhaustifs et leur mise en œuvre nécessitera un temps et des ressources considérables, avec de sérieuses pénalités en cas de non-conformité.

 

Pourquoi ne s'appelle-t-elle plus la loi 64 ?

 

"Projet de loi 64" était le nom du texte original proposé pour la première fois à l'assemblée nationale du Québec le 12 juin 2020. Après un long processus de consultation et de nombreux amendements, il a franchi les étapes de l'assemblée et des commissions parlementaires en septembre 2021.

Au Québec, un projet de loi devient officiellement une loi après la confirmation du Lieutenant-Gouverneur. Le projet de loi 64 a finalement terminé son passage en loi après validation officielle le 22 septembre 2021. Il est alors devenu la Loi de modernisation de la législation sur la protection des données privées, également connue sous le nom de Loi 25.

 

À quelles entreprises la Loi 25 s'applique-t-elle ?

 

À première vue, on pourrait supposer que les nouvelles dispositions législatives sont peu pertinentes pour les personnes extérieures au Québec. Ne vous y trompez pas, les effets se feront sentir bien au-delà des frontières provinciales. Et ce, pour deux raisons :

 

  • Premièrement, grâce aux lois générales sur la protection des données et à une bonne jurisprudence de l'organisme de réglementation local (la CAI ; commission d'accès à l'information), la loi 25 s'appliquera à toute organisation basée à l'extérieur de la province pour tout utilisateur de ses produits ou services au Québec.

    Dans la pratique, cela signifie qu’il suffit qu’un utilisateur intérieur à la province visite un site international pour faire entrer le fournisseur dans la juridiction.

  • Deuxièmement, la Loi 25 est un cadre juridique pionnier au Canada, un appui solide pour rejoindre le mouvement global du sujet de la donnée personnelle. Compte tenu de l'approche régionalisée du Canada, on peut s’attendre à un "effet domino" avec des gouvernements voisins.

    Si cela se produit, une réforme fédérale à venir est probable.

Que prévoit la Loi 25 et pour qui ?

 

La Loi 25 met à jour le cadre juridique existant pour la protection des renseignements personnels au Québec. Bien qu'elle concerne les secteurs privé et public, elle reste majoritairement pertinente pour les organisations privées.

La Loi sur le Secteur Privé définit les renseignements personnels comme suit :

 

“"tout renseignement qui se rapporte à une personne physique et permet de l'identifier."

 

Cette définition inclut tous les renseignements personnels "concernant d'autres personnes qu'une personne recueille, détient, utilise ou communique à des tiers dans le cadre de l'exploitation d'une entreprise".

La Loi sur le secteur privé s'applique à tous ces renseignements personnels quelle que soit leur forme, comprenant sans s'y limiter les renseignements écrits, graphiques, enregistrés, filmés ou informatisés.

Qui est couvert ? Potentiellement tout le monde. Le champ d'application de la loi 25 s'étend à tout utilisateur final d'un fournisseur de services basé au Québec, même à l'extérieur de la province. Elle vise toutes les "personnes physiques" intérieures à la frontière, mais aussi celles à l'extérieur sans restriction de citoyenneté.

 

Quels droits offre la loi 25 aux utilisateurs québécois ?

 

Body Fomart - Quebec 1

 

Ne vous y trompez pas : la Loi 25 est une bonne nouvelle pour les consommateurs. Dans le sillage du RGPD, ce nouveau cadre renforce la protection des données personnelles et donne plus de contrôle à l'individu. Sauf indication contraire, tous les droits des consommateurs ci-dessous entreront en vigueur le 22 septembre 2023.

 

Droit au respect de la vie privée par défaut

La mise en application de la Loi 25 inverse la logique de base en matière de protection de la vie privée, en accordant aux consommateurs le droit automatique à la confidentialité. Cela signifie que les technologies de profilage ou de suivi doivent être désactivées par défaut sur tout site d’entreprise, à moins qu'un consentement express ne soit donné, pas l'inverse !

 

Transparence

Les consommateurs auront droit à un plus haut niveau de transparence lorsque leurs renseignements personnels seront recueillis par des organisations privées. Le nouveau règlement prévoit ce qui suit :

 

  • Droit fondamental d'accès : Lors de la collecte d’informations personnelles, les entreprises doivent désormais informer les personnes concernées :

    • Du but dans lequel les informations sont recueillies ;

    • De la manière dont ces informations sont collectées ;

    • Du droit du consommateur d'accéder à ces informations et de les rectifier s'il le souhaite ;

    • Le droit du consommateur de retirer son consentement à la collecte de ses informations.

 

  • Tiers : Les entreprises doivent désormais également informer les utilisateurs des éléments suivants concernant l'utilisation de leurs informations personnelles par des tiers :

    • Le nom des tiers pour lesquels les informations sont recueillies ;

    • Le nom des tiers à qui ces renseignements peuvent être transmis ;

    • La possibilité que ces renseignements soient communiqués hors Québec.
       

  • Traitement automatisé : Si une entreprise utilise des processus automatisés pour prendre une décision concernant une personne, elle doit en informer cette personne :

    • Lorsqu'une décision est prise ;

    • Leur droit d'accéder aux données les concernant utilisées pour prendre cette décision et de les corriger ;

    • Leur droit d’information sur la manière dont la décision a été prise ;

    • Leur droit de faire réviser la décision ;

    • Leur droit de soumettre des informations supplémentaires dans le cas d'un appel.

  • Droit de demander des informations supplémentaires : S'ils le demandent, les consommateurs ont désormais le droit de recevoir les informations suivantes :

    • Le détail des informations recueillies les concernant ;

    • Les catégories de personnes qui ont accès à ces informations au sein de l'entreprise ;

    • La durée de conservation de ces informations ;

    • Le contact du responsable de la protection de ces informations.

 

Consentement

Le nouveau dispositif introduit une série de nouvelles règles qui définissent la manière dont les consommateurs consentent à l'utilisation de leurs informations personnelles. Les dispositions les plus importantes sont les suivantes :


  • Demandes de consentement : Les entreprises sont déjà tenues de demander un consentement libre et éclairé pour la collecte et l'utilisation d'informations personnelles. La Loi 25 renforce cette obligation en stipulant que les demandes de consentement doivent être formulées dans un langage clair et simple. Elle ajoute que ces demandes doivent être faites de manière isolée. En d'autres termes, elles ne peuvent pas être noyées dans les petits caractères.

  • Informations sensibles : Les consommateurs devront désormais donner leur consentement express pour l'utilisation d'informations personnelles "sensibles" à des fins autres que celles pour lesquelles elles ont été initialement collectées. Ce sont les détails médicaux, biométriques ou autres données d'ordre privé qu’on a naturellement tendance à protéger.

  • Mineurs : Les entreprises ne peuvent pas collecter d'informations personnelles concernant un enfant de moins de 14 ans sans le consentement de ses parents. Des exceptions sont admises si la collecte d’informations présente un intérêt évident pour l'enfant (par exemple, dans une situation d'urgence).

  • Biométrie : La biométrie ne sera plus autorisée pour vérifier l'identité d'une personne sans son consentement concret.

  • Exceptions : La Loi 25 explicite quelques cas exceptionnels dans lesquels la présomption de consentement ne s'applique pas. Pour détecter ou prévenir une fraude, ou si nécessaire pour fournir un produit/service expressément demandé par une personne, les organisations peuvent désormais utiliser des informations personnelles sans consentement .

 

Droit à l’effacement

À partir du 22 septembre 2023, dans l'esprit du "droit à l'oubli" du RGPD, les consommateurs auront désormais le droit de demander aux entreprises de cesser de diffuser leurs informations personnelles. Dans les cas où cette diffusion leur cause un préjudice ou lorsqu'elle enfreint une décision de justice, ils auront également le droit de faire désindexer tous les liens associés à leur nom.

 

Droit à la portabilité

Il s'agit de la dernière disposition à entrer en vigueur, prévue pour le 22 septembre 2024. Les utilisateurs pourront recevoir une copie digitale de toutes les informations personnelles qui ont été recueillies auprès d'elles par une organisation donnée.

 

Comment la loi 25 est-elle appliquée ?

 

La loi 25 s'accompagne d'un système d'application robuste par rapport au dispositif précédent, créant à la fois un modèle de sanctions monétaires à deux niveaux et un droit d'action devant les tribunaux civils.

 

Pénalités financières

Pour les particuliers, la peine maximale pour les infractions pénales en vertu de la loi 25 est de 100 000 dollars. Pour les entreprises du secteur privé, les amendes pénales pour non-conformité peuvent atteindre la plus élevée des deux sommes suivantes :

 

  • Une somme allant de 15 000 à 25 000 000 de dollars canadiens ; ou

  • Une somme correspondant à 4% du chiffre d'affaires global de l'entreprise de l'année fiscale précédente.

 

L'autorité chargée de l'application des sanctions pécuniaires appartient à la CAI .

 

Droit d’action

La loi donne également lieu à un nouveau droit d'action privé, qui permet aux particuliers d'intenter des poursuites contre des entreprises pour des violations spécifiques.

L'utilisation illégale d'informations personnelles, le manquement à l'obligation de fournir des avis de confidentialité adéquats, le manquement à l'obligation d'informer les personnes concernées en cas de décisions automatisées et de violations de la confidentialité, entre autres, constituent des violations pouvant donner lieu à une action en justice.

Comment mon entreprise peut être conforme avec la Loi 25 ?

 

Bien que l'ensemble des réformes soit vaste, l'essence de certaines dispositions a déjà été entièrement ou partiellement mandatée par d'autres règles applicables (comme la PIPEDA), ou est simplement devenue une pratique courante au cours des dernières années.

Toutefois, pour la majeure partie des mesures qui sont entièrement nouvelles, les systèmes existants risquent d'être insuffisants et de nécessiter une refonte complète. Heureusement, leur mise en oeuvre progressive permet de décomposer ce processus. Au minimum, les organisations doivent s'attendre à devoir cocher les cases suivantes dans les délais indiqués ci-dessous :

D'ici le 22 septembre 2022

 

  • Désignez un responsable de la protection de la vie privée, chargé de veiller au respect de la loi au sein de votre organisation. La responsabilité de ce rôle incombe par défaut au PDG, mais le poste peut être délégué à toute personne compétente. Son titre et son contact doivent être publiés sur votre site et la CAI doit en être informée.

 

  • Déclaration obligatoire de violations : Votre entreprise doit informer à la fois la CAI et toute personne concernée d’une violation de données impliquant des informations personnelles et présentant un risque de préjudice grave. D’ailleurs, un registre des violations doit être tenu. Pour la plupart des entreprises, ces mécanismes sont déjà en place grâce aux règles déjà en vigueur. Pour les autres, c’est le moment parfait pour revoir vos systèmes et aller vers la conformité.

 

  • Biométrie : A partir de cette date, si votre entreprise utilise ou a l'intention d'utiliser des banques biométriques, vous devrez le déclarer à la commission au plus tard 60 jours avant l'implémentation de votre système. 

 

D’ici le 22 Septembre 2023

 

  • Politique de confidentialité : Vous devez vous assurer qu'à cette date, vous disposez d'une politique de confidentialité complète et transparente. Publiée sur votre site, elle doit exposer vos pratiques en matière de protection des données dans un langage clair et simple, et fournir suffisamment d'informations au consommateur pour satisfaire les obligations de transparence. Par exemple sur la gestion des données personnelles, la notification des violations, le consentement, les demandes d'accès et la prise de décision automatique.

 

  • Évaluations des facteurs relatifs à la vie privée (“EVFP”) : Dans certains cas, il sera désormais obligatoire de réaliser une EFVP : Par exemple pour la communication d’informations personnelles hors Québec, la création ou l'acquisition d’un système digital impliquant des données privées, ou avant la diffusion de toute information personnelle sans consentement à des fins de recherche. Vous devrez mettre en place des directives d’application de ces règles et des procédures de communication claires pour le personnel.

 

  • Établir des systèmes de transparence et de consentement : Bien avant cette date, votre organisation devrait avoir procédé à un examen complet de ses systèmes actuels de collecte, de stockage et de diffusion d’informations. Ceux-ci doivent être mis à jour pour répondre au nouveau cadre des droits des consommateurs, en accordant une attention particulière aux points suivants :

    • Désactivez par défaut toute technologie de collecte de données sur votre site, sans exiger de confirmation de la part des utilisateurs. Vous pouvez prévoir un mécanisme explicite d'"opt-in" à la place. Cela exclut l'utilisation de cookies.

    • Mettez à jour vos formulaires de consentement et d'accès aux systèmes d'information. Assurez-vous que, sur demande, vous êtes en mesure de fournir des détails sur les catégories de personnes au sein de votre entreprise qui ont accès aux informations personnelles d'un client donné, ainsi que le contact de votre responsable de la protection de la vie privée.

    • Identifiez toutes les juridictions transfrontalières vers lesquelles votre organisation est susceptible de transférer des informations personnelles, et réalisez des EFVP pour ces localités.

    • Assurez-vous que vous avez mis en place des procédures pour gérer l'exception de confidentialité en cas de décès. Vous pouvez transmettre des informations personnelles relatives à une personne décédée à son conjoint ou à ses proches, uniquement si cela est susceptible de les aider dans le processus de deuil et si le défunt n'a pas retiré son consentement à cet égard de son vivant.

    • Assurez-vous que votre organisation ne collecte plus d'informations personnelles concernant un enfant de moins de 14 ans sans le consentement des parents.

    • Veillez à ce que votre politique de protection de la vie privée fournisse des détails sur les processus de prise de décision automatisée de votre organisation, y compris l'accès aux informations et les recours.

 

  • Anonymisation : Vous devez disposer d'un système permettant soit de détruire les données personnelles une fois vos objectifs atteints, soit de les rendre anonymes. Si vous mettez en place ou mettez à jour un système d'anonymisation, il doit être en mesure de garantir que la personne concernée ne puisse plus être identifiée, directement ou indirectement.

 

  • Le droit à l'effacement : Examiner les demandes d'effacement d'informations personnelles est un exercice complexe. Assurez-vous d'avoir des directives en place pour examiner et répondre correctement à ces demandes : les facteurs pertinents à prendre en compte sont prévus par la législation.

 

D’ici le 22 Septembre 2024

 

  • Facilitez le droit à la portabilité : Assurez-vous que vous disposez de la technologie et des formations nécessaires pour éditer une copie digitale de toutes les informations personnelles que vous détenez à propos de toute personne, si elle en fait la demande.

 

Quelles différences et similitudes entre la loi 25, le RGPD et le CCPA ?

 

La loi 25 rapproche les lois québécoises sur la protection de la vie privée du RGPD, l'un des principaux cadres mondiaux de protection des données. Étant donné que, comme le Canada, les États-Unis ne sont pas régis par une loi fédérale sur la protection de la vie privée, la CCPA (California Consumer Privacy Act) est considérée comme l'un des plus importants progrès en la matière dans le pays, ce qui invite à une comparaison avec la Loi 25 au Canada.

Bien que ces cadres législatifs traitent tous de principes généralement reconnus, ils diffèrent radicalement dans leurs approches sur de nombreux points. Une analyse exhaustive de leurs différences et similitudes serait trop longue à énumérer ici. Toutefois, à bien des égards, la loi 25 est le plus rigoureux des trois régimes. Il y a quelques distinctions clés à noter :

 

  • Étendue de la protection : La loi 25 et le RGPD offrent tous deux de larges protections à toutes les personnes physiques et n'ont pas de conditions de résidence spécifiques. Le champ d'application de la CCPA est plus restreint et ne protège que les consommateurs qui résident dans l'État de Californie.

 

  • La confidentialité par défaut : La clause de "confidentialité par défaut" du projet de loi 64 a une portée beaucoup plus vaste et est beaucoup plus stricte que le concept de "confidentialité par conception" prévu par le RGPD. Le CCPA adopte plutôt une approche corrective "après coup".

 

  • Le consentement : Étant le seul régime à exiger le consentement par défaut avec des exceptions limitées, la loi 25 est de loin la plus stricte. Le RGPD autorise un plus large éventail de justifications comme le respect des obligations légales et l'intérêt public. La CCPA n'impose aucune obligation de consentement aux entreprises, offrant plutôt aux consommateurs la possibilité de refuser la diffusion ou d'invoquer le droit à l'effacement une fois que leurs informations ont été collectées.

 

  • Les analyses d’impact relative à la protection des données (AIPD) : La Loi 25 est large et exige qu'une AIPD soit réalisée à chaque fois que la situation le nécessite et quel que soit le niveau de risque. Le RGPD est moins strict, n'exigeant des analyses que dans les cas où le traitement est susceptible d'entraîner un "risque élevé" pour les droits et libertés d’un individu. Étant donné que le CCPA ne se concentre pas spécifiquement sur les obligations liées à la responsabilité, il n'impose pas d'évaluations d'impact.

 

Didomi aide les entreprises à préparer la révolution de la confidentialité des données.

 

La révolution de la confidentialité des données a peut-être commencé en Europe avec le RGPD, mais elle se répand rapidement dans le monde entier. De plus en plus de pays et d'États adoptent des lois sur la confidentialité des données et le respect de la vie privée. L'adoption de l'UCPA montre que tout ça n’est pas une question d'État rouge ou d'État bleu, mais concerne bien tous les Américains.

 

Bien que la législation américaine sur la protection de la vie privée reste fragmentée, les Américains s'accordent sur le ressenti que leurs informations sont moins protégées qu'avant et que les lois et pratiques actuelles sont obsolètes. Beaucoup expriment leur difficulté à contrôler qui a accès à leurs informations et disent accorder peu de confiance aux entreprises pour assurer la sécurité de leurs informations personnelles.

 

Le message est clair pour les spécialistes du marketing : ceux qui font du respect de la vie privée de leurs clients une priorité bénéficieront d'un solide avantage concurrentiel. Se conformer à l'UCPA, la CCPA, la CPA, la VCDPA et aux futures itérations de ces lois n’est qu’un bon début. N’oublions pas que nous allons vers un avenir sans cookies. Les grands gagnants seront les entreprises qui auront su placer le consentement du consommateur au centre de leur stratégie digitale.

 

Dans un monde centré sur l'utilisateur, une marque basée sur la confiance est positionnée pour le succès. Découvrez comment la Consent Management Platform et des Preference Management Platform Didomi élimine les doutes liés à la conformité et vous aide à transformer la gestion de la vie privée en opportunités commerciales.

 

Parler à un Expert

avatar Sarah Barker

Sarah Barker

Former UK lawyer producing specialist content for law firms, professional bodies, and digital agencies.

Articles reliés