Loi 25 : de quoi s’agit-il ?

22 juin 2023
Par Me Christian Tourigny

Dernièrement, une nouvelle loi a été adoptée afin de moderniser la législation en matière de protection des renseignements personnels, laquelle s’inspire des nouvelles exigences en la matière dans les pays européens. Le contexte évolutif des technologies et la rapidité d’échanges d’informations ont obligé le gouvernement à se pencher sur la protection des renseignements personnels détenus par les organisations québécoises.

Les renseignements personnels sont protégés, au Québec, par plusieurs lois, que ce soit dans le domaine privé ou public. Dû à l’avènement des nouvelles technologies, une mise à jour de ces lois a été réalisée par l’adoption de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après appelée « Loi 25 ») en 2021. Cette loi impose plusieurs nouvelles obligations, tant aux organisations privées que publiques, ayant pour but d’élever le niveau de protection des renseignements personnels détenus par ces organisations et par le fait même favoriser la confiance entre celles-ci et les particuliers.

L’entrée en vigueur de cette loi est dite progressive en ce que les obligations qu’elle impose sont échelonnées sur trois années consécutives. La majorité des obligations entreront en vigueur en septembre 2023, mais certaines le sont déjà depuis septembre 2022 et d’autres ne le seront qu’en septembre 2024.

L’application de cette loi incombe à la Commission d’accès à l’information du Québec (CAI) laquelle est responsable de surveiller les exigences qui y sont prévues et de sanctionner les organisations réfractaires. La CAI encadre également son application en publiant des lignes directrices afin de guider les organisations dans l’accomplissement des diverses nouvelles obligations.

Qu’en est-il pour les entreprises ?

Plus particulièrement, et de façon concise, la loi 25 vient entre autres modifier la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « Loi sur le privé ») en créant la fonction de responsable de la protection des renseignements personnels, en retirant la possibilité de communiquer des renseignements de nature confidentielle, sans le consentement des personnes concernées et en révisant les règles qui entourent l’utilisation de ces renseignements.

La Loi sur le privé s’applique en matière de protection des renseignements personnels recueillis dans le cadre de l’exploitation d’une entreprise¹. Cette même loi vient préciser qu’un renseignement personnel est « tout renseignement qui concerne une personne physique et permet de l’identifier »².

Bien que l’ensemble des entreprises exerçant au Québec soient visées par la Loi sur le privé, il demeure que certaines entreprises, dû à la nature de leurs activités, ne seront pas tenues aux obligations prévues dans la Loi 25. En fait, selon la nature des activités de chaque entreprise, les obligations auxquelles chacune sera tenue variera. Il est donc important de bien cerner les activités de l’entreprise et l’utilisation qui est faite des renseignements personnels recueillis.

Tel que susmentionné, la Loi 25 créé plusieurs nouvelles obligations qui devront être respectées par les entreprises dont certaines sont déjà en vigueur. En voici un bref aperçu selon leur entrée en vigueur :

Septembre 2022 :

Désigner une personne responsable de la protection des renseignements personnels;
Informer les personnes concernées et la CAI en cas d’incident de confidentialité et tenir un registre d’incidents;

Septembre 2023 :

Obligation de mettre en œuvre un cadre de gouvernance en matière de protection des renseignements personnels;
Obligation de transparence;
Anonymisation et destruction des renseignements personnels en certaines circonstances;
Évaluation de risque en matière de vie privée en certaines circonstances;
Nouvelles obligations relatives au consentement;
Prévoir des paramètres assurant le plus haut niveau de confidentialité;

Septembre 2024 :

Droit à la portabilité : obligation de communiquer à la personne concernée les renseignements qu’une entreprise détient sur elle, sur demande.

Il est important de mentionner que d’importantes sanctions sont à prévoir en cas de non-respect des nouvelles obligations prévues par la Loi 25. En effet, la CAI pourra imposer des sanctions pécuniaires sévères qui seront proportionnelles à la gravité du manquement ainsi qu’à la capacité de payer de l’entreprise.

Afin d’en connaitre davantage sur la Loi 25 et sur les nouvelles obligations qui y sont prévues, nous vous invitons à consulter notre page d’expertise sur la Loi 25.

Rédigé avec la collaboration de Madame Marianne Lapointe, stagiaire en droit.

¹ Loi sur la protection des renseignements personnels dans le secteur privé, R.L.R.Q., c. P-39.1, art. 1.
² Id., art. 2.

Loi 25 : de quoi s’agit-il ?

Qu’en est-il pour les entreprises ?

Accident de travail : un employé fédéral ne peut à la fois bénéficier des indemnités gouvernementales et intenter une poursuite civile

La responsabilité extracontractuelle des administrateurs : décision récente

La responsabilité personnelle de l’administrateur et les articles 321 et 322 du Code civil du Québec

Bernier Fournier inc.

Avocats Drummondville