La Loi 25 modifie la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (LAI), la Loi sur la protection des renseignements personnels dans le secteur privé (LPRP) ainsi que plusieurs autres lois.
Elle oblige toutes les entreprises (petites ou grandes) à mettre en place différentes mesures visant à assurer la protection des renseignements personnels. La Loi entrera en vigueur de façon progressive jusqu’en septembre 2024.
La Fédération des kinésiologues du Québec met à disposition de ses membres des ressources et des outils pour faciliter la mise en place de ces obligations.
Calendrier des principales dispositions
22 septembre 2022
- Désigner une personne responsable de la protection des renseignements personnels et publier sur le site internet de l’entreprise le titre et les coordonnées du responsable de la protection des renseignements personnels.
- Informer les personnes concernées en cas d’incidents de confidentialité* qui pourraient leur causer un préjudice sérieux.
- Tenir un registre des incidents de confidentialités* (voir gabarit dans outils).
22 septembre 2023
- Politique et pratique de gouvernance : Élaborer un cadre de gouvernance en matière de protection des renseignements personnels.
- Transparence : Lors de la collecte des renseignements personnels, expliquer clairement les buts, moyens et raisons de l'usage de ces renseignements. Prévoir des mécanismes de transparence entourant la politique de l'entreprise.
- Anonymisation : Rendre anonymes les renseignements personnels pour les utiliser, mais uniquement à des fins sérieuses et légitimes ou les détruires.
- Évaluation des facteurs relatifs à la vie privée : Évaluer les risques en matière de vie privée avant de communiquer un renseignement personnel à l’extérieur du Québec.
- Consentement : Obtenir, au préalable, le consentement de la personne pour utiliser ses renseignements personnels. Tout consentement obtenu par une entreprise devra être demandé pour chacune de ces fins, en termes simples et clairs.
22 septembre 2024
- Droit à la portabilité : communiquer, à la demande de la personne concernée, ses renseignements personnels qu’elle a fournis à une entreprise
Qu’est-ce qu’un renseignement personnel (RP)?
La LPRP définit un renseignement personnel de la façon suivante :
«Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier.»
Un renseignement personnel peut être le nom d’une personne, son prénom, sa date de naissance, son numéro de téléphone, son adresse, son numéro d’assurance sociale, etc.
Les entreprises peuvent, dans le cadre de leurs activités, détenir des renseignements personnels sur différents groupes de personnes comme leurs clients ou leurs employés.
*Qu’est-ce qu’un incident de confidentialité et comment évaluer s’il présente un risque de préjudice sérieux?
Un incident de confidentialité, peut selon la LPRP, prendre différentes formes, soit:
- L’accès non autorisé par la loi à un renseignement personnel;
- L’utilisation non autorisée par la loi d’un renseignement personnel;
- La communication non autorisée par la loi d’un renseignement personnel;
- La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Dans l’évaluation du risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de sécurité, il faut considérer:
- La sensibilité du renseignement personnel;
- Les conséquences appréhendées de son utilisation;
- La probabilité que le renseignement personnel soit utilisé à des fins préjudiciables.
Quelques outils et articles pertinents
- Protection des renseignements personnels | Gouvernement du Québec
- Aide mémoire des entreprises : Vers la conformité à la Loi sur le privé
- Comission de l'accès de l'information - Espace évolutif sur les principales modifications législatives
- Schéma sur le traitement d'un incident de confidentialité impliquant un RP
- Formation du CIQ
- Guide d’accompagnement - Réaliser une évaluation des facteurs relatifs à la vie privée
- Gabarit de registre des incidents_FKQ_2023
Personne responsable de la protection des RP de la FKQ
La Fédération des kinésiologues du Québec se conforme aux exigences de la Loi 25.
Personne responsable de la protection des renseignements personnels:
Valérie Lucia
Directrice générale
v_lucia@kinesiologue.com