Loi 25 : Comment conformer votre entreprise à cette nouvelle loi

16 novembre 2022

Loi 25


Ce que vous devez savoir sur la loi 25

Avec l'entrée en vigueur de la loi 25 en septembre 2022, Toutes les organisations qui détiennent, traitent et communiquent des renseignements personnels de leurs clients, employés et fournisseurs au Québec doivent s'y conformer.

La Loi 25 modernise les règles des renseignements personnels au Québec, afin protéger les utilisateurs des nouveaux défis posés par l'environnement numérique et renforcer ainsi la cybersécurité.

Les organismes qui ne respectent pas cette loi auront de lourdes sanctions allant jusqu'à 25 millions de dollars ou 4% du chiffre d’affaires. De plus, la loi 25 est évolutive ; de nouvelles obligations entreront progressivement en vigueur sur une période de trois ans. Dans cet article, nous allons détailler les obligations de cette loi, et comment tous les organismes peuvent s'y conformer maintenant et à l'avenir.


Les mesures à respecter :

Chaque entreprise au Québec doit respecter plusieurs obligations qui tournent autour de trois axes majeurs, les entreprises doivent notamment :


Désigner un responsable :

Chaque entreprise doit nommer une personne qui sera responsable de la protection des renseignements personnels et de partager ses informations sur le site Internet de l'entreprise. Au cas où aucune personne n'est nommée officiellement, le dirigeant principal de l'entreprise sera tenu responsable.


Gestion des incidents :

Toutes les entreprises doivent avoir un plan prédéterminé en cas d'incident de confidentialité et tenir ainsi un registre regroupant tous ces incidents. Cela va permettre à l'entreprise de prendre rapidement les mesures nécessaires afin de minimiser les risques auprès des personnes concernées.

L'entreprise doit aussi aviser la Commission de tout incident présentant un risque sérieux.


Divulguer l'information

En cas d'incident, l'entreprise a l'obligation d'aviser toutes les personnes et organisations concernées.

L'entreprise doit également respecter le nouvel encadrement de partage de renseignements personnels sans le consentement des personnes concernées, que ce soit dans le cadre d'une vente commerciale ou encore à des fins d'étude.


Quelles entreprise sont-elles visées ?


Entreprises privées

Toutes les entreprises privées sont assujetties à la Loi 25.

Si votre organisation recueille, utilise ou communique les renseignements personnels de personnes situées au Québec, la Loi s’appliquera fort probablement au traitement de ces renseignements, et ce, même si vous n’avez pas de bureau ni aucune autre installation dans la province.


Ministères et organismes publics

Environ 2 800 organismes publics sont assujettis à la Loi 25, soit par exemple :

  • Les ministères et organismes gouvernementaux.
  • Les municipalités et les organismes qui en relèvent, les communautés métropolitaines, les municipalités régionales de comté.
  • Les commissions scolaires, les établissements privés subventionnés, les cégeps, les universités.
  • Les centres hospitaliers, les centres d’accueil, les CLSC, les agences de développement de réseaux locaux de services de santé et de services sociaux et les centres jeunesse.
  • Les ordres professionnels dans la mesure prévus par le Code des professions.


Comment Constellio peut vous aider à vous conformer :

Constellio est un logiciel de gestion de documents numériques qui vous permettra de gérer les documents qui contiennent des renseignements personnels de vos clients, employés ou fournisseurs en toute efficacité tout en restant conforme à la loi. Constellio vous permet alors de :


Désigner :

Désigner une personne responsable de la protection des renseignements personnels et publier le titre et les coordonnées du responsable sur le site Internet de votre organisation.


Collaborer :

Créer un comité sur l'accès à l'information et la protection des renseignements personnels.


Inventorier :

Collaborer avec ce comité à l’inventaire des renseignements personnels détenus par votre organisation (ou pour son compte par un tiers) et évaluez leur sensibilité.


Rédiger :

Collaborer avec ce comité à la rédaction :

  • Des politiques et des pratiques encadrant la gouvernance des renseignements personnels;
  • D’une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple, avant de communiquer des renseignements personnels à l’extérieur du Québec.


Documenter :

Documenter les politiques, procédures, inventaires, rapport d’incident, registres d’incidents, évaluations et références.


Publier :

Publier de l’information détaillée sur vos politiques et procédures en termes simples et clairs sur le site Internet de votre organisation.


Aviser :

Aviser la Commission et les personnes concernées de tout incident présentant un risque de préjudice sérieux.


Répondre :

Répondre avec diligence aux demandes d’accès, que celles-ci soient verbales ou écrites, motiver tout refus et informer le requérant des recours offerts devant la Commission d’accès à l’information.


Sécuriser :

Sécuriser toutes les informations, dont les dossiers et les documents.


Conserver et détruire :

La Loi 25 accorde une place primordiale à la conservation et la destruction des renseignements personnels. Constellio vous permettra de systématiser l’application du cycle de vie des dossiers et des documents (papier et numérique).


© Copyright 2022, Tous droits réservés