Loi 25: protection des renseignements personnels au Québec

Loi 25 sur la protection des données personnelles représentée par une balance digitale.

Les organisations conjuguent une multitude d'exigences et d'obligations légales, dont la notoire loi 25 sur la protection des données personnelles. Il est donc essentiel d’en connaître toutes les subtilités pour assurer votre conformité à ces nouvelles dispositions législatives.

Parcourez notre guide Loi 25 données personnelles pour comprendre l’impact sur votre organisation, vos risques et comment vous y conformer.

Résumé Loi 25: Guide rapide par nos experts en cybersécurité
Questions et réponses sur la Loi 25.

Qu’est-ce que la loi 25 au Québec?

La loi 25, c’est quoi? Il s’agit du nom final qui a été donné au projet de loi 64, la « loi modernisant des dispositions législatives en matière de protection des renseignements personnels ». Cette loi s’inspire du Règlement Général sur la Protection des Données (RGPD) en Europe.

À qui s’applique la Loi 25?

Si vous vous demandez si vous êtes concerné par la loi sur la protection des renseignements personnels, la réponse est fort probablement oui. Après tout, tout individu ou organisation qui collecte des données des Québécois doit s’y conformer. Cela inclut donc autant les organisations du secteur privé que le public, et même les OBNL et travailleurs indépendants.

Est-ce que la loi 25 s’applique aussi aux employés de votre organisation?

La loi 25 impose des obligations aux employeurs, mais aussi aux employés pour assurer une saine gestion de la sécurité des données. L’employeur doit respecter les droits des employés, tels que le droit à la protection des renseignements personnels, à l’information, à l’accès et à la rectification, et à l’effacement. Quant aux employés, ils sont tenus de respecter la politique de confidentialité, d’utilisation de renseignements personnels, de participer à la formation et de signaler les violations.

Loi 25 données personnelles: en vigueur depuis quand?

Les premières exigences du projet de loi 25 sont entrées en vigueur en septembre 2022, puis en septembre 2023. La phase finale est en septembre 2024.

Cependant, la loi 25, de son intitulé original Loi 64, a été sanctionnée le 22 septembre 2021 et a modifié substantiellement la loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP). Cette législation a été adoptée le 12 juin 2020 et est entrée en vigueur le 1er janvier 2021. Cela signifie que toutes les organisations opérant au Québec doivent se conformer aux dispositions de la loi depuis cette date.

4 exigences de la Loi 25

  • Nomination d’un responsable de la protection des renseignements personnels (RPRP)
  • Évaluation des facteurs relatifs à la protection de la vie privée (PIA)
  • Obligation de notification en cas de violation de données
  • Consentement et transparence

Comment se conformer à la Loi 25 sur la protection des données personnelles?

  • Le nom et les coordonnées de votre RPRP sont faciles à trouver sur votre site web
  • Prendre les mesures nécessaires pour réduire votre vulnérabilité aux menaces informatiques
  • Maintenir un registre de toutes violations pour le suivi
  • Demander un consentement clair et informé avant la collecte ou l’utilisation de données sensibles

Nous mettons également à votre disposition un questionnaire en 7 points pour évaluer votre niveau de conformité.

Remplir le questionnaire

 

Quelques exemples d’incidents de confidentialité

La Commission d’Accès à l’Information définit les incidents de confidentialité comme suit:

  • Un accès non autorisé aux renseignements personnels sensibles
  • Une utilisation frauduleuse ou la communication non autorisée de données personnelles
  • La perte ou l’atteinte à la protection du renseignement

Ces incidents surviennent lorsqu’une organisation est victime d’une cyberattaque (phishing, rançongiciel, etc.) ou qu’un membre du personnel ne respecte pas la politique de sécurité en vigueur. Par exemple, en consultant ou communiquant des renseignements personnels sans autorisation ou à la mauvaise personne.

Quels sont les risques pour votre organisation privée ou publique?

Sanctions financières

La loi prévoit des amendes pouvant aller jusqu'à 10 millions de dollars pour les organisations qui ne respectent pas les dispositions de la loi.

Pertes financières

Les violations de la vie privée peuvent également entraîner des coûts financiers importants, tels que les frais:
• Juridiques
• De notification
• De récupération de données
• D'indemnités à verser aux victimes

 

Perte de réputation

Les violations de la vie privée peuvent entraîner une perte de confiance de la part de vos clients et de vos partenaires commerciaux, ce qui peut entraîner des conséquences néfastes sur la réputation de votre organisation.

 

Action en justice

Les personnes dont les renseignements personnels ont été divulgués sont en droit de vous poursuivre pour dommages et intérêts, ce qui entraîne des coûts supplémentaires.

 

Assurez votre conformité à la Loi 25 avec Victrix, votre expert en cybersécurité

Victrix vous offre un service de mise en conformité sur mesure pour aider votre organisation à respecter les exigences de la Loi 25 et éviter les sanctions financières. Nos experts en cybersécurité pour le secteur public et privé vous accompagnent à chaque étape, de l’identification des risques de non-conformité à la mise en place de mesures correctives.

Accompagnement Loi 25 personnalisé par Victrix

Besoin d’un soutien professionnel pour votre mise en conformité sur la Loi 25?

Démarrez votre projet avec Victrix