×

Accueil

À propos

Questionnaires

F.A.Q.

Contactez-nous

F.A.Q. Loi 25 : Protection des données privées et conformité

Voici les questions les plus fréquemment posées à propos de la Loi 25 - Loi sur la protection des renseignements personnels

 

loi

Elle s’applique à toutes les compagnies œuvrant sur le territoire du Québec, que celui-ci soit un consultant, une compagnie de seulement 2 employés ou une compagnie de plusieurs centaines de milliers de personnes.

  • C’est un renseignement ayant un haut degré d’attente en matière de vie privée.
  • Les renseignements médicaux, biométriques ou autrement privés en sont des exemples.
  • Le concept d’autrement privé signifie que la même information peut dans certains cas être sensible, tandis que dans d’autres non. Par exemple, les renseignements d’un abonnement à un journal sont moins sensibles que ceux d’un abonnement à un site de rencontre, et ce, malgré qu’ils soient presque pareils.
  • C’est une méthode de protection empêchant tout renseignement sensible de permettre l’identification directe d’une personne.
  • Par exemple, les entreprises peuvent utiliser des techniques cryptographiques, le hachage et la tokenisation.
  • C’est une méthode permettant qu’il soit, en tout temps, raisonnable de prévoir que les renseignements sensibles ne peuvent plus permettre d’identifier un individu.
  • Pour ce faire, cette méthode ne doit pas permettre ;
    • d’isoler une personne ni de l’identifier directement ou indirectement;
    • de relier des ensembles de données distincts qui concernent une personne;
    • de déduire de nouvelles informations sur une personne.

Pour septembre 2022, un responsable de la sécurité de l’information devra être nommé au sein d’une compagnie. Par défaut, le président de la compagnie, ou celui qui a le plus de pouvoir décisionnel au sein de la compagnie sera le responsable, mais son rôle peut être attribué, par écrit, en totalité ou en partie à n’importe quel employé.

La tenue d’un registre pour tous les incidents de sécurité de l’information. Les incidents de sécurité sont :

  • L’accès, l’utilisation ou la communication non autorisés de renseignements personnels
  • Une perte de renseignements sensibles
  • Toute autre atteinte à la protection des renseignements personnels des usagers
Le registre devra aussi contenir les moyens mis en place pour empêcher ces incidents de se reproduire.

Une déclaration des incidents devra être faite auprès de la Commission d’accès à l’information, auprès de l’usager concerné et dans certains cas une tierce institution permettant de réduire le risque de préjudice si vous répondez par l’affirmative à la question : « l’incident représente-t-il un risque qu’un préjudice sérieux soit causé à la personne ? »

Tout transfert de données vers un autre État devra subir une évaluation de facteurs relatifs à la vie privée. Certains critères devront être pris en compte :

  • La sensibilité des renseignements
  • La finalité d’utilisation
  • Les mesures de protection en place
  • Le régime juridique applicable dans la juridiction du destinataire

Un contrat devra être rédigé avec le destinateur afin qu’il puisse pallier aux lacunes de sécurité.

Les usagers des services pourront demander à l’entreprise détenant leurs renseignements personnels de détruire toute information à leur sujet. La compagnie peut, à des « fins sérieuses et légitimes » anonymiser les renseignements, au lieu de les détruire.

L’entreprise devra adopter une politique et des pratiques vis-à-vis de la protection des renseignements sensibles. De plus, cette politique devra être rédigée en termes simples et facilement accessibles sur le site Web de la compagnie ou par tout autre moyen si l’entreprise n’a pas de site.

L’entreprise devra divulguer au public quels renseignements sont obtenus, la durée de conservation de ceux-ci, où ils sont transmis, la raison pour laquelle ils sont obtenus ou tout autre information pertinente.

L’entreprise devra mettre en place la plus grande protection possible sans que l’usager n’ait à intervenir ou à le demander. Dans le cas d’un réseau social, le compte de l’usager serait donc en mode privé par défaut et l’usager devrait lui-même baisser la sécurité de celui-ci.

L’usager pourra demander à l’entreprise qui détient ses informations d’arrêter de pointer des liens vers des pages la concernant ou toute autre référence à cet usager.

Les usagers pourront demander une copie des renseignements sensibles que l’entreprise détient sur cedit usager.

Il y a deux types de sanctions économiques:

  • Pour une non-conformité quant à la protection des renseignements personnels
  • Si une entreprise réidentifie ou tente de réidentifier les renseignements dépersonnalisés ou anonymisés.

En plus des sanctions économiques, il y a aussi les répercussions sur la réputation de l’entreprise.

Une entreprise non conforme s’expose à une amende pouvant aller jusqu’à 10 M de dollars ou 2 % du chiffre d’affaires mondial selon celui qui représente la plus grosse somme.

La sanction pour la réidentification des renseignements anonymisés ou dépersonnalisés s’élève jusqu’à 25 M de dollars ou 4 % du chiffre d’affaires mondial, selon celui qui est le plus élevé.

 

Obligation d’une organisation qui utilise une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer un profilage d’une personne

 

 

Troisième année 2024 :

Droit à la portabilité des renseignements personnels

Les usagers pourront demander une copie des renseignements personnels que l’entreprise détient sur ce dit usager.