Les obligations des entreprises sous la Loi 25

Chaque entreprise doit nommer un responsable de la protection des renseignements personnels (RPRP). Par défaut, cette fonction est exercée par la personne ayant la plus haute autorité dans l'organisation (PDG, directeur général). Toutefois, elle peut être déléguée par écrit à un autre membre du personnel.

Le titre et les coordonnées du RPRP doivent être publiés sur le site web de l'entreprise. Pour en savoir plus, consultez notre article dédié sur le responsable de la protection des renseignements personnels.

Toute entreprise doit rédiger et publier une politique de confidentialité rédigée en termes clairs et simples. Cette politique doit être facilement accessible, notamment sur le site web de l'entreprise.

Elle doit notamment préciser :

• Les types de renseignements personnels collectés
• Les fins pour lesquelles ils sont collectés
• Les moyens par lesquels ils sont collectés
• Les droits des personnes concernées et la façon de les exercer
• Les coordonnées du RPRP

Pour des conseils pratiques, consultez notre guide pour rédiger une politique de confidentialité conforme.

La Loi 25 renforce les règles autour du consentement. Celui-ci doit être :

• Manifeste — il doit résulter d'un geste clair et positif
• Libre — il ne doit pas être une condition à la fourniture d'un service
• Éclairé — la personne doit comprendre à quoi elle consent
• Donné à des fins spécifiques — pas de consentement « fourre-tout »

Pour les renseignements sensibles (données de santé, biométriques, etc.), le consentement doit être explicite. En savoir plus sur le consentement sous la Loi 25.

Avant tout projet impliquant la collecte, l'utilisation ou la communication de renseignements personnels, une EFVP doit être réalisée. C'est aussi le cas lors de l'acquisition de systèmes d'information ou de la transmission de données à l'extérieur du Québec. L'EFVP doit être proportionnelle à la sensibilité des renseignements et au contexte du projet.

Un incident de confidentialité désigne tout accès, utilisation, communication ou perte non autorisés de renseignements personnels. L'entreprise doit :

• Tenir un registre de tous les incidents de confidentialité
• Notifier la CAI et les personnes concernées si le risque de préjudice est sérieux
• Prendre des mesures raisonnables pour diminuer les risques et prévenir de nouveaux incidents

La Loi 25 renforce les droits des individus sur leurs données personnelles :

• Droit d'accès — toute personne peut demander à consulter ses renseignements personnels
• Droit de rectification — corriger des informations inexactes ou incomplètes
• Droit à l'effacement (droit à l'oubli) — demander la suppression de ses données lorsque la collecte n'est plus nécessaire
• Droit à la portabilité — obtenir ses données dans un format technologique structuré et couramment utilisé

L'entreprise doit offrir une formation adéquate à tout membre du personnel qui recueille, utilise, communique, conserve ou détruit des renseignements personnels. Cette formation doit être documentée pour prouver la conformité de l'entreprise.

Découvrez comment Loi25Simple peut vous aider à remplir cette obligation dans notre article sur la formation des employés à la Loi 25.

Les renseignements personnels doivent être détruits ou anonymisés lorsque la finalité de leur collecte est atteinte. L'entreprise ne peut pas conserver des données indéfiniment « au cas où ». Elle doit établir un calendrier de conservation et s'y conformer.