Saviez-vous que les nouvelles obligations de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, communément appelée la Loi 25, s’appliquent également aux groupes communautaires? Eh oui! Cette loi a été adoptée durant la pandémie et peu d’informations ont circulé jusqu’à présent quant à ses conséquences sur les groupes communautaires.
À la demande de ses membres, la Table a préparé des outils et des documents modèles pour faciliter le respect des nouvelles obligations de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, qu’elle rend disponibles pour tous les OCASSS.Il se peut que vous en ayez reçu d’autres en provenance d’autres organisations. N’hésitez pas à utiliser les documents qui vous conviennent le mieux.
Nous vous recommandons de les télécharger, de les lire attentivement et de les adapter selon les besoins de votre organisme.
Nous vous suggérons de débuter par la lecture du document de présentation préparé par la COCQ-Sida.
Vous trouverez ci-bas un rappel des obligations en vigueur depuis septembre 2022 et celles qui le seront à compter du 22 septembre 2023. Notez qu’il est peu probable que la conformité des groupes communautaires soient scrutées à la loupe dès le début de l’application des règles, mais il vaut mieux débuter votre préparation le plus rapidement possible.
- Présentation des outils partagés par la Table sur la Loi 25
- Un modèle de politique de confidentialité avec annexes_(format Word)
- Un modèle de formulaire interne de signalement d’incident de confidentialité (format Word)
Aussi
- Une présentation de la Loi 25 en résumé, par la COCQ-Sida, (format Pdf)
- Formulaire d’avis d’incident de confidentialité de la Commission d’accès à l’information (format Pdf)
- Formulaire d’avis d’incident de confidentialité de la Commission d’accès à l’information (à remplir en ligne)
- La fiche d’information sur l’infonuagique de la Commission d’accès à l’information
- Le guide Détails pour la transmission d’avis et la tenue d’un registre
- Le guide d’obligations des entreprises
Trouvez ici l’enregistrement de la séance d’informations ouverte aux OCASSS, donnée par la Table le 5 octobre 2023. Cette séance a porté sur la Loi 25 et sur les nouvelles exigences du REQ.
Rappel des obligations en vigueur depuis septembre 2022 :
- Désigner une personne responsable de la protection des renseignements personnels et publier le titre et les coordonnées du responsable sur le site Internet de l’entreprise ou, si elle n’a pas de site, les rendre accessibles par tout autre moyen approprié.
Vous devrez également, entre autres :
- En cas d’incident de confidentialité impliquant un renseignement personnel :
- prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent;
- aviser la Commission et la personne concernée si l’incident présente un risque de préjudice sérieux;
- tenir un registre des incidents dont une copie devra être transmise à la Commission à sa demande;
- Respecter le nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale;
- Procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques;
- Divulguer préalablement à la Commission la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques.
Les obligations qui entrent en vigueur le 22 septembre 2023 sont :
- Avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié;
- Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec;
- Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels;
- Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi;
- Respecter vos nouvelles obligations d’information et de transparence envers les citoyens;
- Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée (exercice d’un mandat ou exécution d’un contrat de service ou d’entreprise);
- Respecter les nouvelles règles de communication des renseignements personnels à l’extérieur du Québec;
- Respecter les nouvelles règles d’utilisation des renseignements personnels;
- Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public;
- Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur;
- Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l’oubli);
- Respecter les nouvelles règles de communication des renseignements personnels facilitant le processus de deuil.