Mise à jour: 16 octobre 2024
En septembre 2022, certaines dispositions protégeant la vie privée des Québécois.e.s entraient en vigueur dans le cadre de la loi 25. Cette nouvelle législation s'applique à toutes les organisations publiques et privées.
Qu'est-ce que ça implique pour les OCA?
- Nommer un.e responsable de la sécurité des données personnelles.
- Ajouter cette information sur le site internet de votre organisation, comme sur cette page.
- Prévoir un plan d’intervention en cas d’atteinte à la protection des données personnelles.
- En cas de violation de la confidentialité, prendre les mesures pour que cela n’arrive plus, avertir la Commission d’accès à l’information (formulaire d’avis d’incident) et la personne concernée en cas de préjudice et tenir un registre des incidents.
Se doter d’une politique de confidentialité et la publier sur son site web.
Faire un processus d’évaluation des facteurs relatifs à la vie privée. Inventorier les données sensibles que vous avez en votre possession et évaluer si l’endroit où elles sont classées est sécuritaire.
Mettre en place des mesures de protection physiques, organisationnelles et technologiques.
Revoir le processus de consentement.
Revoir l’obligation de transparence et de traitement des données.
Revoir la rétention, destruction et anonymisation des données.
Droit à la portabilité:
À compter du 22 septembre 2024, toute personne peut demander à un organisme qu’on lui transmette les informations qu’il détient sur elle. L’organisme a l’obligation de lui communiquer, dans un format technologique structuré et couramment utilisé, les renseignements personnels informatisés recueillis.
Pour être en mesure de répondre adéquatement à cette exigence, assurez-vous de :
- Avoir une liste à jour des informations personnelles en votre possession (élaborée à la phase 2).
- Pouvoir fournir ces informations dans un format lisible et simple (par exemple, un tableau Excel).
- Être en mesure de vérifier l’identité de la personne avant de lui faire parvenir ses données.
- Acheminer le document de façon sécuritaire et le détruire lorsque celui-ci a été téléchargé par le demandeur.
- Mettre à jour votre politique de confidentialité. Votre politique de confidentialité doit refléter les nouveaux droits à la portabilité des données, et vous devez informer les parties de la façon dont ils peuvent faire leurs demandes.
Quelques outils
Exemple d'une politique de confidentialité
La Commission d’accès à l’information du Québec fournit un exemple de politique de confidentialité.
Vous pouvez vous en inspirer, mais nous vous recommandons de valider les paramètres de sécurité avec le gestionnaire de votre site web avant de mettre en ligne votre politique.
Formulaire d'avis d'incident
La Commission d’accès à l’information fournit également un formulaire d’avis d’incident de confidentialité impliquant des renseignements personnels et qui présente un risque de préjudice sérieux.
Exemple de formulaire de consentement
Avant de transmettre des informations personnelles, vous devrez vous assurer d’avoir le consentement des personnes principalement concernées.
Voici un exemple de formulaire de lettre de consentement produit par l’INSPQ.