La Loi 25 modifie la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (LAI), la Loi sur la protection des renseignements personnels dans le secteur privé (LPRP) ainsi que plusieurs autres lois.
Elle oblige toutes les entreprises (petites ou grandes) à mettre en place différentes mesures visant à assurer la protection des renseignements personnels. La Loi entrera en vigueur de façon progressive jusqu’en septembre 2024.
La Fédération des kinésiologues du Québec met à disposition de ses membres des ressources et des outils pour faciliter la mise en place de ces obligations.
Calendrier des principales dispositions
22 septembre 2022
- Désigner une personne responsable de la protection des renseignements personnels et publier sur le site internet de l’entreprise le titre et les coordonnées du responsable de la protection des renseignements personnels.
- Informer les personnes concernées en cas d’incidents de confidentialité* qui pourraient leur causer un préjudice sérieux.
- Tenir un registre des incidents de confidentialités* (voir gabarit dans outils).
22 septembre 2023
- Politique et pratique de gouvernance : Élaborer un cadre de gouvernance en matière de protection des renseignements personnels.
- Transparence : Lors de la collecte des renseignements personnels, expliquer clairement les buts, moyens et raisons de l'usage de ces renseignements. Prévoir des mécanismes de transparence entourant la politique de l'entreprise.
- Anonymisation : Rendre anonymes les renseignements personnels pour les utiliser, mais uniquement à des fins sérieuses et légitimes ou les détruires.
- Évaluation des facteurs relatifs à la vie privée : Évaluer les risques en matière de vie privée avant de communiquer un renseignement personnel à l’extérieur du Québec.
- Consentement : Obtenir, au préalable, le consentement de la personne pour utiliser ses renseignements personnels. Tout consentement obtenu par une entreprise devra être demandé pour chacune de ces fins, en termes simples et clairs.
22 septembre 2024
- Droit à la portabilité : communiquer, à la demande de la personne concernée, ses renseignements personnels qu’elle a fournis à une entreprise
Qu’est-ce qu’un renseignement personnel (RP)?
La LPRP définit un renseignement personnel de la façon suivante :
«Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier.»
Un renseignement personnel peut être le nom d’une personne, son prénom, sa date de naissance, son numéro de téléphone, son adresse, son numéro d’assurance sociale, etc.
Les entreprises peuvent, dans le cadre de leurs activités, détenir des renseignements personnels sur différents groupes de personnes comme leurs clients ou leurs employés.
*Qu’est-ce qu’un incident de confidentialité et comment évaluer s’il présente un risque de préjudice sérieux?
Un incident de confidentialité, peut selon la LPRP, prendre différentes formes, soit:
- L’accès non autorisé par la loi à un renseignement personnel;
- L’utilisation non autorisée par la loi d’un renseignement personnel;
- La communication non autorisée par la loi d’un renseignement personnel;
- La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Dans l’évaluation du risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de sécurité, il faut considérer:
- La sensibilité du renseignement personnel;
- Les conséquences appréhendées de son utilisation;
- La probabilité que le renseignement personnel soit utilisé à des fins préjudiciables.
Quelques outils et articles pertinents
- Protection des renseignements personnels | Gouvernement du Québec
- Aide mémoire des entreprises : Vers la conformité à la Loi sur le privé
- Comission de l'accès de l'information - Espace évolutif sur les principales modifications législatives
- Schéma sur le traitement d'un incident de confidentialité impliquant un RP
- Formation du CIQ
- Guide d’accompagnement - Réaliser une évaluation des facteurs relatifs à la vie privée
- Gabarit de registre des incidents_FKQ_2023
Politque et personne responsable de la protection des RP de la FKQ
La Fédération des kinésiologues du Québec se conforme aux exigences de la Loi 25. En effet, nous avons adopté une approche conviviale de consentement clair dans l’utilisation de vos informations. Plus important encore, nous sommes transparents en fournissant le but de leur utilisation.
Voici un résumé de ce que vous devez savoir :
- Nous nous limitons aux informations nécessaires.
- Nous collectons, utilisons, divulguons et stockons uniquement les données personnelles nécessaires aux fins suivantes :
- L’identification du membre;
- Créer et mettre à jour le profil du membre;
- Administrer les services liés au statut du membre;
- Rendre le profil du membre accrédité visible sur l’annuaire électronique.
Vos renseignements sont protégés à tout moment et nous partageons les informations personnelles avec nos partenaires de confiance, uniquement si nous avons votre consentement. Avant de le faire, nous demandons à ces organisations de mettre en place des mesures de sécurité appropriées pour respecter la confidentialité de tes informations personnelles. Dans tous les cas, nous fournissons uniquement les données personnelles nécessaires et ne les vendons pas.
Si vous souhaitez accéder aux informations personnelles que nous détenons à votre sujet, les modifier ou revoir vos options de consentement, rendez-vous sur votre profil à partir de notre site Internet.
Personne responsable de la protection des renseignements personnels:
Valérie Lucia
Directrice générale
v_lucia@kinesiologue.com