Retour en arrière : qu’est-ce que la Loi 25?
La loi 25 impose de nouvelles obligations aux organisations en matière de protection des données et renseignements personnels des citoyen·nes. Du travail est à prévoir du côté des services de ressources humaines quant à la création de l’inventaire des renseignements personnels et sa gestion. Pourquoi la loi 25 concerne-t-elle particulièrement les services des ressources humaines (RH)? Parce que celles-ci détiennent de nombreux renseignements personnels sur les employé·es, des informations qui doivent impérativement être protégées.
Selon la Commission d’accès à l’information du Québec, « les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Ils sont confidentiels. Sauf exceptions, ils ne peuvent être communiqués sans le consentement de la personne concernée. »
Les faits : un retard majeur pour la plupart des entreprises
Ce retard n’est théoriquement pas une catastrophe puisque les entreprises ont jusqu’en septembre 2024 pour finaliser leur conformité à la Loi 25. Néanmoins, on ne recense que 3 % des organisations qui ont procédé à des changements concrets pour se mettre à jour. Qui plus est, environ 60 % des quelque 255 000 PME québécoises déclarent n’avoir aucune intention réelle de se conformer à la loi 25. La loi semble encore loin de s'imposer pleinement malgré les sanctions pécuniaires non négligeables à la clé. Reste à voir quelles seront les réactions des réfractaires quand ils devront verser une part de leur chiffre d’affaires en amende.
Simple à appliquer, la Loi 25?
Les chiffres énoncés précédemment sont issus d’un audit automatisé des sites Web québécois, permettant d'identifier ceux qui demandnt le consentement de leurs visiteurs ainsi que les données collectées. Cependant, bien que plus de 3 % des sites aient mis en place un formulaire de consentement, cela ne garantit pas une conformité totale.
Une entreprise qui demande à un technicien d’installer un simple bandeau de consentement sur son site web n’est pas automatiquement conforme à la Loi.
Se conformer à la Loi 25 : par où commencer?
- Commencez par faire l’inventaire de tous les renseignements personnels que vous détenez et ce, à tous les niveaux : client·es, fournisseurs, employé·es, dirigeant·es, etc. Vous serez peut-être même surpris·e de constater que de nombreuses données personnelles se trouvaient à l’intérieur de fichiers qui n’étaient pas protégés. Ainsi, un grand ménage s’impose!
- Identifiez le niveau de confidentialité des informations que vous détenez. Par exemple, des numéros d’assurance sociale sont ultra confidentielles, alors que l’âge d’une personne l’est sans doute moins.
- Déterminez qui a accès à ces renseignements personnels et qui en aura le contrôle total. Prévoyez une procédure de mise à jour des accès (par exemple) lors du départ d’un employé.
- Validez quelle sera la période pendant laquelle ces renseignements personnels seront stockés. Bien sûr, une analyse approfondie par un professionnel est de mise afin de vous assurer d’être entièrement en conformité avec la Loi.
Pour conclure
Saviez-vous qu’avec la Loi 25, il est recommandé d’ajouter une clause au contrat d’embauche qui mentionne qu’à la signature de ce document, l’employé·e consent à ce que l’entreprise utilise ses renseignements personnels selon la politique de protection des renseignements personnels? Cette politique que le travailleur·euse en question pourra consulter sur le site web de l’entreprise. En effet, on pense souvent à la Loi 25 pour les éléments externes à l’entreprise (client·es, fournisseurs, etc.), mais l’implantation des principes de cette règle devrait maintenant commencer dès l’embauche. En définitive, si certaines entreprises tardent à s’y conformer, il n’en demeure pas moins que loi vise à mieux protéger la vie privée et les données confidentielles de l’ensemble de la population.
Pour aller plus loin :
Sources :
Revue Gestion - La loi 25 et les RH : les 3 principales procédures à mettre en place
Le Devoir - Seule une poignée d’entreprises sont conformes à la nouvelle loi sur les renseignements personnels
Axeptio - Loi 25: seulement 30% des entreprises québécoises conformes en septembre 2024