Loi 25 : la personne responsable de la protection des renseignements personnels et le droit à la portabilité

Chronique d'experts

12 septembre 2024


Loi 25 personnes responsables

Chronique rédigée par :

Me Geneviève Pepin-Bergeron
Conseillère juridique

Smith-Edward

Me Edward Smith
Conseiller juridique

Cooper-Daniel

Me Daniel Cooper
Conseiller juridique principal

La Loi sur la protection des renseignements personnels dans le secteur privé1(« LPRPSP ») qui a été mise à jour par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels2 Loi 25 ») s’applique à toutes les entreprises faisant affaire au Québec, qu’elles soient à but lucratif ou non3.

La présente chronique met en lumière deux modifications importantes de la LPRPSP, soit l’obligation imposée aux entreprises de nommer une personne responsable de la protection des renseignements personnels et le droit à la portabilité de ces renseignements.

1. Le responsable de la protection des renseignements personnels

a. Qui doit être la personne responsable des renseignements personnels dans une entreprise collective?

Par défaut, cette personne est celle qui a la plus haute autorité au sein de l’entreprise4. En principe, ce serait le président du conseil d’administration. Cependant, en raison de son implication dans les opérations, la direction générale nous semble en meilleure position d’assumer cette responsabilité. Dans tous les cas, notamment dans les organisations de grande taille, il est possible de déléguer une partie ou la totalité de cette fonction à toute personne5.

Par ailleurs, il est à noter que « Le titre et les coordonnées (adresse courriel et/ou numéro de téléphone) du responsable de la protection des renseignements personnels (doivent être) publiés sur le site Internet de l’entreprise ou, si elle n’a pas de site, rendus accessibles par tout autre moyen approprié.6 »

b. Que doit faire le responsable de la protection des renseignements personnels?

Sommairement, cette personne doit assurer le respect et la mise en œuvre de la LPRPSP7. Cela signifie que cette personne doit notamment :

  • approuver la politique de protection des renseignements personnels8;
  • être consultée dans le cadre de toute évaluation des facteurs relatifs à la vie privée (« EFVP »)9;
  • en cas d’incident de confidentialité, évaluer le risque de préjudice sérieux et enregistrer les communications échangées avec toute personne ou tout organisme susceptible de diminuer le risque de préjudice sérieux10;
  • être avisée « de toute violation ou tentative de violation par toute personne, de l’une ou l’autre des obligations relatives à la confidentialité du renseignement communiqué » lorsque cette violation survient auprès d’un mandataire ou d’un exécutant de contrat (ex. : fournisseur), en plus « d’effectuer toute vérification relative à cette confidentialité »11;
  • recevoir et traiter les demandes de cessation de diffusion et de désindexation de l’hyperlien permettant d’accéder au renseignement personnel visé12;
  • recevoir et traiter les demandes d’accès ou de rectification de renseignements personnels13.

c. Mesures de protection concrètes à mettre en place au sein de votre organisation

Les entreprises collectives peuvent effectuer certaines actions pour améliorer leur niveau de protection des renseignements personnels qu’elles détiennent. Les services juridiques et les ressources humaines du Consortium ont travaillé ensemble pour vous fournir une liste de vérification comprenant de telles actions. Vous pourriez notamment considérer :

  • l’adoption d’une politique de télétravail encadrant l’utilisation des appareils électroniques de l’entreprise et la mise en place de mesures de sécurité comme un VPN;
  • restreindre l’accès à certains dossiers ou documents selon les fonctions des personnes employées;
  • changer les mots de passe avec régularité et opter pour une authentification multifactorielle lors d’une première connexion;
  • se procurer une couverture d’assurance contre les cyberincidents;
  • plusieurs autres éléments figurant dans notre liste de vérification.

2. Le droit à la portabilité d’un renseignement personnel

La dernière phase de la LPRPSP entrera en vigueur à compter du 22 septembre 2024 et concerne le droit à la portabilité d’un renseignement personnel. Ce droit signifie qu’une personne pourra requérir d’une entreprise collective qui recueille ses renseignements personnels de façon informatisée, de les lui communiquer dans un « format technologique structuré et couramment utilisé14 ».

Cette personne pourra également demander que ces renseignements soient communiqués à toute personne ou tout organisme autorisé à les recueillir par la loi dans ce même format. Le tout demeure néanmoins sujet aux restrictions au droit d’accès à des renseignements personnels prévues par la LPRPSP, notamment dans les cas où la divulgation du renseignement risquerait vraisemblablement d’avoir un effet sur une procédure judiciaire dans laquelle la ou les personnes ont un intérêt, la divulgation révélerait vraisemblablement un renseignement personnel sur un tiers et qu’elle serait susceptible de nuire sérieusement à ce tiers ou les demandes sont manifestement abusives par leur nombre, leur caractère répétitif ou systématique15.

Il est à noter que le droit à la portabilité d’un renseignement personnel ne vise pas les renseignements personnels recueillis sur format papier ni ceux créés ou inférés par l’entreprise à partir de renseignements personnels.

Soulignons que la LPRPSP ne définit pas ce qu’est un format technologique structuré et couramment utilisé. Toutefois, nous pouvons nous inspirer des exemples de fichiers du gouvernement québécois où le droit à la portabilité entrera également en vigueur le 22 septembre prochain. Ainsi, pour les organismes publics assujettis à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels16, le gouvernement du Québec privilégie des formats ouverts et interopérables comme les formats de type CSV, XML ou JSON.

Un format pouvant être difficile à traiter comme une image, certains PDF ou un format dont l’utilisation implique l’acquisition d’un logiciel ou d’une licence payante pourrait ne pas être considéré comme étant un format technologique structuré et couramment utilisé17. Nous suggérons donc à l’entreprise collective de choisir un format qu’elle juge approprié pour donner suite à une demande. Pour ce faire, une simulation de demande d’accès concernant tous les types de fichiers utilisés par l’entreprise permettrait de déceler les formats numériques problématiques.

Bref, il faut que le document soit ouvrable et lisible. Concrètement, ce droit ne devrait pas soulever des difficultés pratiques sérieuses pour les entreprises collectives. Toutefois, si une entreprise collective a besoin d’être accompagnée lors du traitement d’une demande qui implique l’accès à des renseignements personnels, nous l’invitons à consulter un expert juridique du Consortium.


1 RLRQ, c. P-39.1.

2 LQ 2021, c 25.

3, art. 1, op.cit., note 1.

4 Art. 3.1, ibid.

5 Ibid.

6 Ibid.

7 Ibid.

8 Art. 3.2, ibid.

9 Art. 3.3 et 3.4, ibid.

10 Art. 3.5 et 3.7, ibid.

11 Art. 18.3, ibid.

12 Art. 28.1, ibid.

13 Art. 30, 32, 34 et 35, ibid.

14 Art. 27.

15 Art. 37 à 41 et 46 ibid.

16 RLRQ c A-2.1.

17 Gouvernement du Québec, « Droit à la portabilité », en ligne : https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/acces-aux-renseignements-personnels/droit-portabilite (consulté le 30 août 2024).

Qui sommes-nous?

La Fédération québécoise des coopératives de santé représente près de 40 coopératives de santé réparties dans 12 régions administratives comptant chacune, en moyenne, 2 500 membres à qui elles prodiguent des services de première ligne en santé, autant curatifs que préventifs. Ces services sont offerts par 206 médecins omnipraticiens, 137 infirmières et une cinquantaine de professionnels de la santé qui, ensemble, gèrent 280 000 dossiers médicaux. Elles sont exploitées à des fins non lucratives.

Apprenez-en plus sur le modèle coopératif dans le secteur de la santé.

Gestion des réseaux sociaux et les particularités pour les entreprises de l’économie sociale 

Description

Formation de gestion des réseaux sociaux spécifiquement orientée pour la communication des entreprises d’économie sociale. 

Objectifs

  • Utiliser les bonnes stratégies de communication pour promouvoir son entreprise d’économie sociale sur les réseaux sociaux.
  • Identifier les plateformes sociales numériques actuelles et leur utilité dans un contexte d’entreprise d’économie sociale.
  • Différencier les types de communications à mettre en place sur les réseaux sociaux pour une entreprise d’économie sociale.
  • Assurer sa présence sur les réseaux sociaux – outils, et méthodes : partage des informations et contenus, bâtir sa communauté sur les réseaux sociaux, faire des campagnes, etc.

Clientèle visée

Employés et gestionnaires d’entreprise d’économie sociale.

Format(s) de formation disponible(s)

  • Formation en entreprise
  • Formation en groupe d’entreprise
  • Autoformation

Formateur

Alexandre Decosse

Alexandre Décosse

Gestionnaire de communauté web

Gouvernance collective et transformation numérique

Description

La formation vise à présenter les aspects essentiels de la transformation numérique et ses implications au niveau de la gouvernance d’entreprise d’économie sociale.

Objectifs

  • Saisir les enjeux et opportunités de la transformation numérique et ses implications sur la gouvernance collective ainsi que sur les opérations; 
  • Évaluer ses besoins technologiques en fonction de sa mission sociale ainsi que ses activités; 
  • Explorer les meilleures pratiques en matière de la transformation numérique; 
  • Identifier les opportunités de collaboration à l’aide des outils technologiques; 
  • Développer des réflexions nécessaires afin d’intégrer la transformation dans sa planification stratégique. 

Clientèle visée

Administrateurs salariés et directions générales d’entreprises d’économie sociale. 

Format(s) de formation disponible(s)

  • Formation en entreprise
  • Formation en groupe d’entreprise
  • Autoformation

Formateur

Simon Chevalia

Simon Chevalia

Analyste d’affaires

Gestion en contexte particulier : éléments critiques opérationnels pour les coopératives 

Description

Dans un contexte particulier où des dirigeants doivent assurer la gestion des opérations pour répondre aux obligations légales et réglementaires, cette formation pratique vise à outiller ces derniers dans les actions et les ressources à utiliser pour assurer leurs rôles et responsabilités.  
Seront ainsi abordés certains sujets comme la détermination des obligations, la gestion et la gouvernance. 

Objectifs

Acquérir les compétences nécessaires permettant de :

  • Assurer ses obligations de gouvernance d’une entreprise en économie sociale;
  • Utiliser les outils adéquats pour assurer ses rôles et responsabilités tout en collaborant pour administrer une entreprise collective et limiter les risques qui empêchent le développement.

Clientèle visée

Direction générale ou membres du conseil d’administration d’une COOPÉRATIVE qui voudraient se former sur ces sujets ou pour les nouveaux administrateurs et gestionnaires.  
Principalement aux administrateurs qui doivent intervenir dans les opérations de l’entreprise et qui veulent connaître les obligations à remplir. 

Format(s) de formation disponible(s)

  • Formation en entreprise
  • Formation en groupe d’entreprise
  • Autoformation

Formateur

Simon Anger

Simon Angers, CRHA

Conseiller principal en développement organisationnel

Développer une culture de santé organisationnelle globale dans le secteur de l’économie sociale 

Description

La formation a pour objectif de former les apprenants au développement d’une culture de santé organisationnelle en entreprise. Ces modules, adaptés aux réalités des entreprises en économie sociale, ont pour objectif de promouvoir le bien-être, la santé et la performance des employés en entreprise. 

Objectifs

  • Développer une culture de santé globale pour soutenir les employés du secteur de l’économie sociale en utilisant les outils adaptés à la réalité des entreprises collectives.   
  • Responsabiliser l’ensemble des parties prenantes en agissant sur les pratiques de gestion et les habitudes de vie.   
  • Mettre en place des programmes de santé organisationnelle tenant compte des spécificités des entreprises collectives et en assurer la promotion (sensibilisation, communication, formation, …).   
  • Développer des outils pour analyser la santé globale de l’entreprise collective à l’aide d’indicateurs et en assurer le suivi. 

Clientèle visée

Parcours de formation en santé organisationnelle destiné aux entreprises de l’économie sociale : Service de ressources humaines et gestionnaires des organisations ou comité santé sécurité.

Format(s) de formation disponible(s)

  • Formation en entreprise
  • Formation en groupe d’entreprise
  • Autoformation

Formateur

Simon Anger

Simon Angers, CRHA

Conseiller principal en développement organisationnel