New call-to-action

Loi 25 sur la protection des données au Québec : Qu’est-ce que c’est et comment s’y conformer ?

29-07-2024 | 10 lecture minimale | Conformité RGPD, Gestion du cycle de vie des informations SAP

L’auteur : Thierry Julien, PDG du groupe TJC | Co-auteur : Laura Parri Royo, Directrice Marketing

Le Québec, région fédérale du Canada, est devenu la dernière région à introduire une réglementation stricte en matière de protection des données personnelles. Loi 25 (Loi sur la protection des renseignements personnels dans le secteur privé). La loi 25 est précédée par le projet de loi 64, qui a été initialement adopté par l’Assemblée nationale le 21 septembre 2021..
The Law 25 extends its influence beyond provincial borders, affecting businesses in Quebec, but also those across Canada that interact with Quebec residents.

Table des matières

1. Le bilan du Québec en matière de contrôle de la confidentialité des données

Au Québec, région fédérale du Canada, le respect de la vie privée est régi par un certain nombre de lois, tant provinciales que fédérales, visant à protéger l’utilisation des informations personnelles des individus. Ces lois régissent la collecte, l’utilisation et la divulgation des informations personnelles par les organisations des secteurs privé et public.

La région du Québec s’est déjà engagée depuis longtemps à protéger les informations personnelles, avec un cadre juridique solide en place qui comprend des lois strictes sur la confidentialité des données. Il s’agit notamment de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) – LPRPDE – qui s’applique au niveau fédéral. Cependant, les régulateurs canadiens ont estimé qu’en raison de l’évolution rapide de la technologie et des préoccupations croissantes en matière de confidentialité des données, il était manifestement nécessaire de renforcer la réglementation, ce qui a abouti à l’élaboration de la loi 25, la Loi sur la protection des renseignements personnels dans le secteur privé.

Loi 25 – Texte en français

Loi 25 – Texte en anglais

2. Mise en œuvre de la loi 25

La mise en œuvre de la loi 25 a adopté une approche progressive, chaque phase ajoutant de nouvelles exigences et responsabilités :

  • Phase 1 – 22 septembre 2022 : désignation d’une personne responsable de la protection de la vie privée, déclaration obligatoire des violations, divulgation des données biométriques.
  • Phase 2 – 22 septembre 2023 : Politique de confidentialité, évaluations obligatoires de l’impact sur la vie privée (PIA), systèmes de transparence et de consentement, anonymisation, droit à l’effacement.
  • Phase 3 – 22 septembre 2024 : Droit à la portabilité.

En lançant ce règlement, le Québec met en vigueur une réglementation solide qui partage la rigueur du RGPD de l’UE, tout en offrant des éléments nouveaux et uniques.

3. Pourquoi est-elle spécial la Loi 25 ? 10 caractéristiques essentielles à comprendre pour les entreprises

Les autorités canadiennes ont clairement examiné la législation existante en matière de protection de la vie privée, par exemple le GDPR, et ont pris en considération un grand nombre de ses caractéristiques lors de l’élaboration de la loi 25. En outre, elles sont allées plus loin et ont incorporé d’autres éléments pour rendre les règles encore plus applicables.

Voici dix des principales caractéristiques de la Loi 25 :

  • Déploiement progressif. La Loi 25 est déployée en trois phases sur trois ans. Après avoir observé l’impact du RGPD en Europe, l’objectif est de laisser aux entreprises le temps de s’adapter aux nouvelles exigences. Plutôt que d’introduire un changement global, les autorités québécoises cherchent à permettre aux organisations de prioriser et de mettre en œuvre les changements requis de manière plus systématique.
  • L’étendue du champ d’application. La Loi 25 a une grande portée et son impact s’étend au-delà de la région du Québec, pour affecter toute entité ou individu qui conduit des affaires avec des résidents basés au Québec.
  • L’obligation de rendre compte du haut vers le bas. Alors que le RGPD place la responsabilité finale de la conformité sur le processeur de données, la Loi 25 renverse cet accent. Une fois qu’elle sera pleinement mise en œuvre, c’est le PDG ou la personne ayant la plus haute autorité au sein d’une organisation qui sera responsable en dernier ressort de la conformité. Il s’agit donc d’une réglementation beaucoup plus équitable, qui souligne l’importance de la protection des données aux yeux des décideurs politiques du Québec. En outre, toutes les organisations sont tenues de désigner une personne responsable de la protection de la vie privée. Ce rôle consiste notamment à veiller au respect de la nouvelle loi et à gérer les questions liées à la protection de la vie privée.
  • Exigences strictes en matière de consentement. La loi 25 introduit des règles très strictes en matière de consentement. Elle exige notamment que les entreprises fassent des demandes de consentement distinctes, en utilisant un langage clair et en prévoyant des dispositions spéciales pour les informations sensibles, les mineurs et les personnes ayant des besoins supplémentaires.
  • Des amendes élevées. Conformément aux amendes imposées en cas de non-respect du RGPD, la loi 25 est tout aussi punitive. Des amendes élevées seront imposées aux contrevenants, l’échelle des sanctions pouvant atteindre 25 millions de dollars canadiens ou 4 % du chiffre d’affaires mondial de l’exercice précédent, le montant le plus élevé étant retenu. Malgré cette limite, il est possible que des amendes encore plus élevées soient imposées en fonction de l’ampleur de la violation commise. L’application stricte de la loi par la Commission d’Accès à l’Information du Québecsouligne la gravité de l’adhésion à ces réglementations.
  • Renforcement des droits des personnes en matière de protection de la vie privée. Reconnaissant le droit des particuliers à la protection de leur vie privée, la Loi 25 accorde aux résidents du Québec le droit à la « portabilité des données » et le droit d’être informés du traitement automatisé de leurs informations personnelles. Les particuliers ont le droit de demander la suppression de leurs données et les entreprises doivent rendre anonymes les données personnelles une fois que l’objectif visé a été atteint. À partir du 22 septembre 2024, les individus auront le droit d’obtenir et de réutiliser leurs données personnelles dans différents services, ce qui favorisera un meilleur contrôle des informations personnelles.
  • Déclaration obligatoire des violations de données. La Loi 25 garantit que les violations de données ne peuvent être dissimulées et les organisations opérant au Québec seront tenues de signaler aux autorités et aux personnes concernées toute violation de données présentant un « risque de préjudice grave ».
  • Exigence d’évaluation de l’impact sur la vie privée (PIA). La Loi 25 va plus loin que le RGPD en exigeant des organisations concernées qu’elles réalisent une PIA avant de mettre en œuvre de nouvelles technologies ou de transférer des données à caractère personnel hors du Québec. Cela permet d’identifier et d’atténuer de manière proactive les risques liés à la protection de la vie privée.
  • Protection des données biométriques. Les données biométriques sont particulièrement sensibles aux violations de données et la Loi 25 en tient compte en imposant aux organisations de notifier au préalable aux autorités toute manipulation d’informations biométriques, y compris la création de nouvelles bases de données d’informations biométriques.
  • L’accent est mis sur la transparence. La Loi 25 exige que toutes les organisations concernées au Québec publient des politiques claires en matière de protection de la vie privée et fournissent aux régulateurs des informations détaillées sur toutes leurs pratiques en matière de collecte et d’utilisation des données.

4. Implications de la Loi 25 pour la gestion des données dans les systèmes SAP

La Loi 25 exige qu’une fois la fonction primaire des données remplie et l’objectif de collecte des données atteint, les données doivent être détruites ou anonymisées. C’est là que réside le défi de la conformité, car de nombreuses organisations utilisant SAP ne disposent d’aucun mécanisme interne pour nettoyer leurs données de cette manière, ce qui leur permet de les conserver indéfiniment. Cette pratique doit maintenant être corrigée.

L’application de la Loi 25 relève de la Commission d’accès à l’information du Québec (CAI), ce qui montre à quel point le gouvernement canadien prend au sérieux le respect de la loi 25 et souligne l’urgence de développer un cadre automatisé et en constante évolution pour la gestion du cycle de vie des données.

Vous pourriez également être intéressé par cet article sur la façon de minimiser les risques de non-conformité dans les systèmes SAP.

4.1 Quelles sont les sanctions en cas de non-respect des règles ?

Comme nous l’avons déjà mentionné, la Loi 25 introduit de nouvelles sanctions financières en cas de non-respect des réglementations relatives à la protection de la vie privée. Les entreprises privées qui ne respectent pas cette loi s’exposent à des amendes allant de 15 000 à 25 000 000 de dollars canadiens, ou à 4 % de leur chiffre d’affaires total pour l’exercice fiscal précédent, le montant le plus élevé étant retenu.

Bien que la rapidité avec laquelle ces sanctions seront appliquées reste incertaine, si l’on établit un parallèle avec d’autres lois canadiennes telles que la Loi canadienne anti-pourriel (CASL)il est clair que les contrevenants seront sanctionnés.

4.2 Anonymisation et suppression des données

L’un des moyens de se conformer à la Loi 25 est de mettre en œuvre un projet d’anonymisation et de suppression des données. Depuis septembre 2023, la loi sur l l’anonymisation des données personnelles a été accepté comme un moyen de se conformer à la loi 25, offrant une alternative à la destruction des données. Cependant, certaines règles et procédures doivent être suivies conformément aux meilleures pratiques reconnues déterminées par le gouvernement du Québec. Lisez attentivement les lignes directrices relatives à la conservation ou à la destruction des données personnelles ou contactez-nous si vous avez besoin d’aide pour les décrypter.

Image : Règles d’anonymisation. Commission d’accès à l’information du Québec.

Alors que la suppression des données est décrite et implique la destruction permanente des données, l’anonymisation des données implique l’utilisation d’un ensemble de techniques irréversibles pour rendre impossible l’identification d’une personne ou d’un enregistrement de données par quelque moyen que ce soit. Une fois anonymisées, les données peuvent être conservées pendant une durée illimitée.

Avant de supprimer ou d’anonymiser des données, il est essentiel d’identifier les informations qui doivent être conservées en fonction de leur pertinence et les éléments des données qui doivent être anonymisés.

Quelles sont les données réellement nécessaires ? Par exemple, un dossier pourrait être rendu anonyme pour ce qui est de ladate de naissance et du nom, mais le comportement transactionnel utile à la planification commerciale pourrait être conservé. En effet, les informations anonymes ne sont pas considérées comme des données à caractère personnel et les lois sur la protection des données, comme la loi 25, ne s’appliquent pas.

4.3 Pratiques de gestion des données pour une conformité solide

La loi 25 du Québec marque une avancée décisive dans le domaine de la confidentialité des données, reflétant l’importance croissante accordée à la protection des informations personnelles à l’ère numérique. Pour les entreprises qui utilisent SAP, elle souligne la nécessité d’adopter des pratiques rigoureuses de gestion des données et de se conformer à des normes plus strictes en matière de protection de la vie privée. Au fur et à mesure que la loi évolue, son impact sur la protection de la vie privée sera profond, favorisant une plus grande confiance et une plus grande sécurité dans le paysage numérique.

Le respect de la loi 25 peut s’avérer complexe ; par conséquent, les entreprises doivent également doivent mettre en œuvre un programme de gestion du cycle de vie de l’information. Si vous souhaitez obtenir des conseils sur la manière de procéder, adressez-vous à TJC Group, expert en gestion des données SAP pour la conformité à la législation sur la protection de la vie privée.

Comme indiqué précédemment, la LPRPDE est la principale loi canadienne visant à protéger les informations personnelles des individus dans le secteur privé et établit les règles de collecte, d’utilisation et de divulgation de ces informations. Elle s’applique aux organisations fédérales et aux entreprises du secteur privé dans le cadre de leurs activités internationales interprovinciales.


5. Un mot sur la LPRPDE, la loi fédérale canadienne sur la protection des données personnelles

Comme indiqué précédemment, la LPRPDE est la principale loi canadienne visant à protéger les informations personnelles des individus dans le secteur privé et établit les règles de collecte, d’utilisation et de divulgation de ces informations. Elle s’applique aux organisations fédérales et aux entreprises du secteur privé dans le cadre de leurs activités internationales interprovinciales.

La loi repose sur dix principes équitables que les entreprises doivent respecter pour garantir que les informations personnelles sont dûment protégées. Le Commissariat à la protection de la vie privée du Canada offre un aperçu utile de ces 10 principes. Consultez cet article : https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/p_principle/


6. Réglementation supplémentaire pour protéger les données des consommateurs au Canada

La LPRPDE fixe les normes nationales pour les pratiques en matière de protection de la vie privée dans le secteur privé au Canada. En outre, quelques provinces ont adopté leur propre loi provinciale sur la protection de la vie privée, qui est similaire à la LPRPDE, mais qui introduit des nuances et des changements dans plusieurs directions. Dans de nombreuses circonstances, la loi provinciale s’applique à la place de la loi fédérale. La détermination de la loi applicable doit se faire au cas par cas.

Il s’agit des lois provinciales sur la protection des données au Canada, qui sont considérées comme équivalentes à la LPRPDE en termes de protection des données à caractère personnel.


7. Dernier mot

Dans tous les domaines de la vie, le respect de la confidentialité des données est une question cruciale pour les entreprises. Sa montée en puissance politique et sociale est due à de nombreux facteurs. Les données ont une valeur incroyable et sont collectées en permanence à une échelle sans précédent.

La Loi 25 modernise les règles de protection des renseignements personnels au Québec afin qu’elles soient mieux adaptées aux nouveaux défis posés par l’environnement numérique et technologique d’aujourd’hui. Elle marque clairement un tournant dans les lois sur la protection des données et témoigne de l’engagement ferme du gouvernement du Québec à mieux protéger l’utilisation des renseignements personnels des individus.


8. Ressources supplémentaires

Si vous souhaitez aller plus loin, les ressources ci-dessous offrent de plus amples informations sur les lois canadiennes relatives à la protection de la vie privée, ainsi que sur les pratiques de protection des données telles que l’anonymisation et la pseudonymisation :

Sources d’information: [TJ1]

Retour à tous les blogs
Archivage des données SAP Carrières Conformité entre les entreprises et les gouvernements Conformité RGPD Conformité SAF-T Cybersécurité DART Décommissionnement des systèmes legacy Durabilité e-invoicing et e-reporting à l'international Enterprise Legacy System Application (ELSA) Événement Fichier des Écritures Comptables (FEC) Gestion des données Migration S/4HANA Gestion des données SAP Gestion du cycle de vie des informations SAP Points forts de SAP Préparation fiscale et d'audit SAP BTP Tendances informatiques TJC Group Corporate
August 2024July 2024June 2024May 2024April 2024March 2024February 2024January 2024December 2023November 2023October 2023September 2023August 2023July 2023June 2023May 2023April 2023March 2023February 2023January 2023December 2022November 2022October 2022September 2022August 2022June 2022April 2022March 2022February 2022December 2021November 2021October 2021September 2021July 2021June 2021May 2021April 2021March 2021February 2021January 2021December 2020November 2020October 2020September 2020August 2020June 2020May 2020April 2020March 2020February 2020January 2020December 2019October 2019September 2019July 2019November 2018August 2018July 2018June 2018April 2018February 2018December 2017May 2017February 2016December 2015May 2015February 2014March 2013

Articles récents

SAP DRC: The components that make the solution stand apart
SAP DRC: The components that make the solution stand apart

21/08/2024 |  

8 lecture minimale
Team Spotlight_Anurag Shrivastava
Team Spotlight | Anurag Shrivastava – Sr. SAP Archiving/ILM consultant

12/08/2024 |  

4 lecture minimale

Plus comme ça

GDPR compliance in SAP systems

RGPD – Comment les utilisateurs de systèmes SAP peuvent-ils minimiser les risques de non-conformité ?

15/07/2024 |  

7 lecture minimale
Header Key terminologies SAP Data Management

Unlocking SAP data management | Key terminologies explained 

17/06/2024 |  

9 lecture minimale
GDPR, EU

GDPR dans l’UE – Un guide complet pour tout savoir sur le sujet !

14/06/2024 |  

16 lecture minimale