Ressources
Loi 25 sur la protection des renseignements personnels
En tant qu’organisme communautaire, vous êtes obligé de vous conformer aux nouvelles dispositions de la loi 25 sur la protection des renseignements personnels (RP). Depuis les 22 septembre 2022 et 2023, la très grande majorité des dispositions de la loi s’appliquent déjà (voir les 3 phases et leurs obligations ci-bas).
Une trousse à outils gratuite!
Alors que plusieurs organismes se sentent dépassés par les changements qui leur sont demandés par le gouvernement du Québec, la Coalition Interjeunes et ses 7 associations et regroupements membres ont créé une trousse à outils qui contient des modèles que vous pourrez télécharger et adapter à vos besoins (un peu plus bas)!
La loi 25, ça implique quoi exactement ?
Les nouvelles dispositions ont un impact direct sur votre façon de travailler au quotidien. Voici les 5 changements clés à retenir :
Consentement éclairé
La loi 25 exige que vous obteniez un consentement éclairé et spécifique des personnes avant de recueillir, utiliser ou divulguer leurs renseignements personnels. Cela signifie que vous devez expliquer clairement pourquoi vous avez besoin de ces informations, comment elles seront utilisées et combien de temps vous comptez les conserver. Cela implique de communiquer de manière transparente avec les personnes que vous aidez et d’ajuster vos formulaires de consentement au besoin.
Sécurité accrue des RP
La nouvelle loi met l’accent sur la sécurité des renseignements personnels. En conséquence, vous devez renforcer vos mesures de sécurité pour protéger ces informations contre les accès non autorisés et les cyberattaques. Cela peut nécessiter des mises à jour de vos systèmes informatiques, des politiques de gestion des RP plus strictes et des formations pour le personnel.
Obligations de notification
La loi 25 vous oblige à signaler toute violation de renseignements personnels à la personne responsable de votre organisme, puis aux personnes concernées et à la Commission de l’accès à l’information dans le cas d’un incident de confidentialité sérieux. Cela signifie que vous devez mettre en place une procédure de gestion des incidents, afin de réagir rapidement et de manière responsable en cas de problème.
Conservation des RP
La loi introduit des règles sur la durée de conservation des RP. Vous devez désormais déterminer combien de temps vous pouvez conserver les informations personnelles et les supprimer une fois qu’elles ne sont plus nécessaires, ce qui peut nécessiter la mise en place ou la révision de votre politique de conservation, de destruction et d’anonymisation des renseignements personnels.
Responsabilité accrue
Enfin, vous devez prendre la responsabilité de vous conformer à la loi 25 et de documenter vos pratiques en matière de protection des RP. Cela signifie tenir des registres à jour de vos activités de collecte, d’utilisation et de divulgation de renseignements personnels.
Dans l’ensemble, la loi 25 vous pousse à être plus attentifs et transparents dans la gestion des RP, ce qui est essentiel pour maintenir la confiance des membres de la communauté que vous servez au sein de votre organisme communautaire!
Les 3 phases et leurs obligations
22 septembre 2022 :
- Nommer une personne responsable de la protection des RP et partagez ses coordonnées
- Mettre en place un registre des incidents (modèle téléchargeable)
- Établir une procédure de conservation des RP (modèle téléchargeable) conforme à la loi
- Mettre en place une procédure de gestion des incidents (modèle téléchargeable) en cas de violation de RP
- Mettre en place des mesures de sécurité des RP (classeurs barrés, mots de passe forts, logiciels sécuritaires, etc.)
- En cas d’incident : prendre des mesures pour réduire les risques de préjudice, informez la Commission (CAI) et tenez un registre des incidents
- Respecter les règles pour partager des renseignements sans consentement pour des études, des recherches ou la production de statistiques
22 septembre 2023 :
- Faire l’inventaire des RP (modèle téléchargeable) que vous détenez et le tenir à jour
- Préciser les rôles et responsabilités des employés impliqués dans la protection des RP
- Écrire et publier votre politique de confidentialité (modèle téléchargeable) sur votre site web
- Obtenir le consentement éclairé pour la collecte de RP, soit verbal ou avec des formulaires (modèles téléchargeables)
- Continuer la gestion du registre d’incidents
- Être prêt à signaler rapidement les violations de RP
- Renforcer les mesures de sécurité des RP
22 septembre 2024 :
- Maintenir un haut niveau de sécurité des RP
- Assurer une communication transparente avec les individus dont les RP sont collectées
- Respecter votre politique de conservation des RP
- Solidifier la capacité à signaler les violations de RP
- Documenter toutes les activités liées à la gestion des RP pour garantir une conformité continue à long terme
- S’assurer que le personnel est bien formé et a de bons réflexes pour la protection des RP
Trousse à outils
Modèles à adapter et utiliser
- Procédures en cas d’un incident de confidentialité (CAI)
- Registre des incidents de confidentialité (Interjeunes)
- Grille d’analyse pour déterminer si un incident de confidentialité comporte un risque de préjudice sérieux (Interjeunes)
- Formulaire de déclaration d’un incident de confidentialité à la Commission d’accès à l’information (CAI)
- Avis d’incident de confidentialité aux personnes concernées (CAI)
- Politique de confidentialité et de protection des RP (Interjeunes & TRPOCB)
- Formulaires de consentement (Interjeunes)
- Inventaire des RP détenus par l’organisme (Interjeunes)
- Formulaire d’engagement de confidentialité pour employés et autres instances (CA, comités, etc.) à intégrer dans les contrats de travail (Interjeunes)
Documentation
L’essentiel
- Aide-Mémoire : Résumé des nouvelles obligations des entreprises (CAI)
- Site web de la Commission d’accès à l’information du Québec
- Guide facile du Collectif Web pour se conformer à la Loi 25 sur la protection des renseignements personnels
- Trousse téléchargeable gratuite de procédures qui contient :
- – Procédure de conservation, de destruction et d’anonymisation des renseignements personnels
– Procédure de demande d’accès aux renseignements personnels et de traitement des plaintes
– Procédure de demande de désindexation et de suppression des renseignements personnels
– Procédure de gestion des incidents de sécurité et violations des renseignements personnels
– Procédure de gestion du roulement du personnel
– Liste de bonnes pratiques et outils en ligne pour la protection des renseignements personnels
– Attestation – Remise des biens et des données
Ressources additionnelles
- Consentement – Critères de validité : les lignes directrices de la Commission de l’accès à l’information
- Exemples de renseignements personnels
- Guide d’accompagnement Loi 25 (conçu par le Regroupement des organismes communautaires québécois en lutte au décrochage | ROCLD)
- Guide Pratique : Application de la loi 25 (conçu par Cybereco, une OBNL en cybersécurité au Québec)
- Brigade Numérique : Cybersécurité et Loi 25
Présentation de la trousse d’outils d’Interjeunes et réponse à vos questions avec une avocate
Introduction à la loi 25 et présentation du programme d’aide Maloi25
Foire aux questions
DÉFINIR LES RP
Qu’est-ce qu’un RP ?
Un renseignement est personnel s’il permet d’identifier une personne physique, directement ou indirectement.
Exemples de catégories de RP :
- Renseignements d’identification
Adresse, numéro de téléphone, sexe, âge, numéro d’assurance sociale, numéro d’assurance maladie, identifiant numérique, etc. - Renseignements de santé
Dossier médical, diagnostic, consultation d’une professionnelle ou d’un professionnel de la santé, médicament, ordonnance, renseignements sur la cause d’un décès, etc. - Renseignements financiers
Revenu d’une personne, renseignements relatifs à l’impôt, numéro de compte bancaire, biens possédés, numéros de cartes de crédit, etc. - Renseignements relatifs au travail
Dossier disciplinaire, motifs d’absence, dates de vacances, salaire, évaluation du rendement, heures d’entrée et de sortie liées au lieu de travail, etc. - Renseignements scolaires et relatifs à la formation
Inscription à des cours, choix de cours, résultats scolaires, diplômes, curriculum vitæ, etc. - Renseignements relatifs à la situation sociale ou familiale
Documents qui attestent l’état civil, le fait qu’une personne ait ou non des enfants ou qu’elle reçoive des prestations d’aide sociale ou de chômage, etc.
Exception : Les renseignements professionnels (qui sont liés à l’exercice d’une fonction au sein d’un organisme) ne sont PAS considérés comme étant personnels. (Exemple : nom, titre, fonction, courriel, adresse et numéro de téléphone de son lieu de travail).
Qu’est-ce qu’un RP sensible ?
Un RP est sensible lorsque par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée. Plus le degré est élevé, plus le RP doit être considéré comme sensible.
Un RP inclus dans les catégories suivantes doit généralement être considéré comme sensible :
- financiers ;
- concernant la santé ;
- concernant la vie sexuelle ou l’orientation sexuelle ;
- concernant les convictions religieuses ou philosophiques ;
- concernant les opinions politiques ;
- concernant l’origine ethnique ou raciale ;
- génétiques ou biométriques.
Il est important d’identifier les RP sensibles en vue de s’assurer des mesures nécessaires pour une protection accrue.
Qu’est-ce qu’un RP dépersonnalisé ?
Un RP est dépersonnalisé lorsqu’il ne permet plus l’identification directe de la personne concernée. La dépersonnalisation consiste au retrait de tous les renseignements qui permettent une identification directe. Cependant, l’identification indirecte reste toujours possible à partir des renseignements dépersonnalisés.
La dépersonnalisation constitue un moyen de protection des renseignements qui demeurent des RP au sens de la Loi. Le fait de les dépersonnaliser est un bon moyen de diminuer les conséquences négatives sur la vie privée en cas d’incident de confidentialité.
Quelle est la différence entre un renseignement dépersonnalisé et un autre anonymisé ?
Un renseignement est anonymisé lorsqu’il ne permet plus l’identification directe ou indirecte d’une personne. Il doit l’être de façon irréversible et il est raisonnable de penser qu’il n’y aura plus d’identification.
En pratique, l’accès à des renseignements anonymisés ne devrait, en aucun cas, permettre de faire un lien entre ces renseignements et la personne concernée.
L’anonymisation doit se faire selon les meilleures pratiques généralement reconnues, par une firme détenant cette expertise.
Les notes de dossiers prises à la suite d’interventions sont-elles des RP?
Oui. Si les notes permettent d’identifier directement ou indirectement la personne, elles sont considérées comme des RP. Il sera important d’obtenir un consentement explicite du jeune (ou de son parent/tuteur s’il a moins de 14 ans) pour collecter et conserver ces notes. C’est aussi le cas si le dossier prend une autre forme, par exemple un journal ou un cahier de bord.
Un moyen qui permet de dépersonnaliser le renseignement pourrait être d’attribuer un surnom ou un code. Toutefois, d’autres RP ne devraient pas s’y retrouver qui pourraient permettre d’identifier indirectement la personne. S’il y a d’autres RP qui permettent d’identifier indirectement la personne, les notes seront considérées comme des RP même si un surnom ou un code a été attribué.
Les personnes à l’emploi d’un organisme qui sont membres d’un ordre professionnel ont des obligations spécifiques à remplir lorsqu’ils tiennent des dossiers.
CONSENTEMENT
Les jeunes ont-ils besoin du consentement d’un parent ou tuteur pour fréquenter l’organisme s’ils sont mineurs?
Tout dépend des exigences de l’organisme pour accéder aux services ou participer aux activités. Vous pouvez certainement offrir des services sans collecter de RP et aucun consentement ne sera alors nécessaire.
Si vous devez recueillir des RP pour de jeunes mineurs de moins de 14 ans, le consentement peut uniquement être donné par le parent ou le tuteur. Chez les jeunes mineurs de 14 ans ou plus, le consentement peut être donné par le jeune ou par le parent ou tuteur.
Exception : La personne mineure de moins de 14 ans peut consentir si la collecte est à son bénéfice, par exemple lors d’une situation médicale d’urgence ou dans le contexte d’un dossier à la DPJ.
Source : Gouvernement du Québec
Comment recueillir le consentement des jeunes ou de leurs parents/tuteurs.trices?
En général, pour toute personne, à l’exception des moins de 14 ans, le consentement doit être « manifeste, libre, éclairé et être donné à des fins explicites ».
Il ne doit pas obligatoirement être écrit, mais doit être explicite. Par exemple, si une intervenante ou un intervenant demande à un jeune de 14 ans et plus des renseignements personnels le concernant, elle doit lui expliquer qu’il doit donner son consentement et à quelles fins les RP vont servir. Si le jeune consent verbalement, c’est suffisant.
Si l’intervenante ou intervenant a un endroit où le consigner, il est recommandé de le faire pour avoir l’information au besoin dans le futur, mais ce n’est pas obligatoire.
Pour des RP sensibles, il est recommandé que le consentement soit écrit, mais ce n’est pas obligatoire non plus.
Pour les moins de 14 ans, le consentement doit être donné par le parent ou tuteur. Par conséquent, il devra être écrit généralement, mais il pourrait être verbal si le parent ou tuteur accompagne physiquement le jeune quand des RP sont collectés.
Un organisme doit-il obtenir un consentement pour conserver les RP qu’il détenait avant l’entrée en vigueur de la Loi 25 ?
Non. La loi n’a pas d’effet rétroactif relativement à l’obtention du consentement pour la collecte de renseignements personnels ayant été réalisée avant l’entrée en vigueur de la Loi 25.
Les nouvelles règles relatives au consentement sont entrées en vigueur à compter du 22 septembre 2023.
Si quelqu’un refuse de donner son consentement, peut-on refuser de lui offrir des services?
Sous réserve de quelques exceptions prévues par la loi, un organisme ne peut refuser un service ou la participation à une activité.
Par contre, il arrive que la communication de RP soit nécessaire à la réalisation d’un service ou à la participation à une activité ou encore lors d’une embauche. Dans ce cas, l’organisme se trouve dans son droit de refuser de fournir un service ou d’embaucher quelqu’un. L’organisation doit alors s’assurer de la nécessité de la collecte des RP dont l’accès a été refusé.
Les organismes doivent toutefois permettre le refus de consentement pour toute collecte, utilisation ou communication qui répond à une finalité secondaire de son action, par exemple pour un projet de recherche.
Si un jeune donne le numéro de cellulaire d’un parent ou tuteur à titre de contact d’urgence, doit-on aller chercher le consentement du parent ?
Non. Le consentement du parent ou tuteur n’est pas nécessaire pour recueillir son numéro de cellulaire à titre de contact d’urgence. C’est le cas parce que ce renseignement est recueilli dans l’intérêt de la personne concernée, soit le jeune, et il ne pourrait être recueilli en temps opportun, par exemple si le jeune avait un accident et si la situation nécessitait de contacter d’urgence le parent.
Dans le cas d’un mineur de moins de 14 ans, ce renseignement pourra aussi être recueilli lors de la demande de consentement adressée à son parent ou tuteur.
Source : Article 6 Loi sur la protection des renseignements personnels dans le secteur privé.
GESTION DES RP
Qui est la personne responsable des RP par défaut ?
La personne ayant la plus haute autorité dans l’organisme, généralement la direction ou la coordination, est par défaut responsable de la protection des renseignements personnels.
Elle peut toutefois déléguer cette responsabilité à une autre personne, à l’intérieur ou à l’extérieur de l’organisme, ayant bien entendu les compétences nécessaires.
Si je n’ai pas de site web, comment faire connaître publiquement le nom et les coordonnées de la personne responsable de la protection des RP ?
Si l’organisme n’a pas de site Web, la loi l’oblige à informer le public par tout autre moyen approprié. Il n’y a pas plus de précisions dans la loi.
Certaines firmes informatiques proposent de l’ajouter à la description de votre page Facebook ou tout autre réseau social utilisé par l’organisme.
Dans le cas d’un organisme dit « milieu de vie », cela pourrait être par l’affichage sur les lieux.
Quels sont les délais de conservation des RP ?
Il n’y a pas de délai prévu par la loi applicable aux organismes, soit la Loi sur la protection des renseignements personnels dans le secteur privé. L’organisme doit juger de la nécessité de conserver les RP en fonction de leur utilité. Par contre, si des RP ont fait l’objet d’une demande d’accès ou de rectification, l’organisme devra les conserver le temps nécessaire pour que la personne concernée épuise ses recours prévus par la Loi.
La bonne pratique est de se doter d’une procédure de destruction des données en y précisant les délais fixés par l’organisme.
Cependant, des délais dans des lois spécifiques sont applicables à certaines catégories de RP. Par exemple :
- Les dossiers lorsque des employées et employés sont membres d’un ordre professionnel : 7 ans.
- Les renseignements sur les employées et employés nécessaires pour l’application des lois fiscales : 7 ans.
Comment protéger les RP en format papier ?
La Commission d’accès à l’information ne propose pas de méthode de protection spécifique. On peut par exemple se munir de classeurs avec tiroirs verrouillables et limiter l’accès aux clés aux personnes autorisées.
Puis-je partager des RP par courriel avec d’autres membres de l’équipe de travail autorisés à y accéder ?
Oui. Mais des mesures de sécurité devraient être respectées. Notamment, l’accès est sécurisé par un code modifié à une fréquence régulière. Il est également modifié lorsqu’une personne quitte son emploi. Les adresses courriel personnelles ni les ordinateurs personnels ne devraient jamais être utilisés.
Si les employés utilisent leur cellulaire personnel comme numéro professionnel, leur numéro est-il un RP ?
Oui. Vous devez donc obtenir leur consentement explicite pour le partager sur votre site Web, aux autres membres du personnel, aux jeunes ou aux parents par exemple.
Qu’est-ce qui est considéré comme sécuritaire sur le plan informatique (One Drive, Google Drive, Gmail, Employeur D, etc.) ?
Les services et logiciels ne sont pas tous égaux en termes de cybersécurité et il est important de vérifier les politiques de confidentialité de chacun de ses fournisseurs pour s’assurer que les renseignements personnels hébergés ne sont pas transmis à des tierces parties sans votre accord et que des mesures préventives sont en place pour assurer la protection des RP et éviter les incidents de confidentialité. L’organisme devrait voir à inclure dans ses contrats avec les fournisseurs de services technologiques une disposition prévoyant qu’il soit avisé de tout incident de confidentialité mettant en cause des RP qu’il a collectés.
Idéalement, les fournisseurs devraient avoir leur siège social au Québec et y héberger les données. Advenant la situation où il est nécessaire de faire affaires avec une entreprise située au Canada ou dans un autre pays, l’organisme devrait prendre tous les moyens raisonnables à sa disposition pour protéger les RP et s’assurer qu’ils ne soient pas utilisés à des fins non pertinentes. L’organisme devrait aussi rechercher une entreprise dont le siège social est au Québec pour obtenir les services requis.
DEMANDE D’ACCÈS AU RP
Les parents ou tuteurs légaux peuvent-ils obtenir les RP détenus sur leur enfant ?
Les parents ou tuteurs légaux peuvent obtenir les RP sur leur enfant ou demander une rectification si l’enfant est mineur. Ceci inclut des notes dans un dossier si elles permettent d’identifier directement ou indirectement le jeune et qu’elles doivent être considérées comme des RP.
Source : Article 38 Loi sur la protection des renseignements personnels dans le secteur privé
Les personnes mineures peuvent-elles obtenir les RP détenus sur elles ?
Le jeune peut aussi demander l’accès à ses RP ou une rectification, à tout âge. Cependant, s’il est âgé de moins de 14 ans, il ne pourra pas avoir accès aux renseignements de nature médicale ou sociale à moins que la demande soit présentée par l’intermédiaire de son avocate ou avocat dans le cadre d’une procédure judiciaire.
Source : Article 38 Loi sur la protection des renseignements personnels dans le secteur privé
PARTAGE DES RP
Le contenu de la liste des membres individuels d’un organisme est-il considéré comme étant des RP ?
L’article 223 de la Loi sur les compagnies prévoit que les membres puissent prendre connaissance de la liste des membres. Cela se fait sur demande d’une ou d’un membre. La loi n’oblige pas à en transmettre une copie à la personne en faisant la demande. Elle peut alors être invitée à consulter la liste dans les locaux de l’organisme.
La loi n’oblige pas non plus à rendre disponibles les coordonnées des membres individuels et toutes autres informations colligées dans la liste. La personne qui souhaite prendre connaissance de la liste devrait être invitée à faire connaître le motif de sa demande. Par exemple, s’il s’agit de rejoindre les membres pour se présenter en vue d’une élection, elle pourrait avoir besoin d’obtenir les coordonnées des membres et l’organisme pourrait décider de lui transmettre.
La Loi sur la protection des renseignements personnels dans le secteur privé, incluant les nouvelles obligations en matière de consentement, n’a pas préséance sur l’article 223 de la Loi sur les compagnies.