Loi 25 : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels

Comme vous le savez, la Loi 25 vient chambouler plusieurs pratiques qui existent dans vos différentes organisations. C’est pourquoi, au CQSEPE, nous avons décidé de créer cette page pour aider à vous guider dans le travail que représente la modernisation de cette loi. 

Nous vous présentons donc quelques liens qui pourront vous aider dans la compréhension et la mise en place des différentes procédures et politiques découlant de la loi.

Il faut se rappeler que les dispositions à mettre en place sont un arrêt nécessaire pour arriver à la conformité. 

Il y a trois concepts clé à la Loi 25: 

  • Transparence
  • Consentement
  • Cycle de vie des données 

Il s’agit de trois choses à vous souvenir dans l’ensemble des démarches que vous ferez en ce qui à trait à la Loi 25. 

 

Le CQSEPE conseille aux organisations d’abord de former adéquatement le responsable de la protection des renseignements personnels (RPRP). Il sera plus facile d’ensuite former le reste de l’équipe, ce qui est une obligation de la loi.

Bien que la Loi 25 ne vise pas uniquement la cybersécurité, cette loi ne cesse d’être ramenée à l’aspect cyber des informations. Il faut se souvenir que cette loi touche toutes les méthodes d’entreposage de données personnelles. 

La cybersécurité est importante mais les brèches d’information reposent avant tout sur la manipulation humaine. Si l’équipe n’est pas bien formée, les problèmes possibles ne se régleront pas. 

Les firmes de cybersécurité sont incroyables dans ce qu’elles font mais le facteur humain est la première chose à éliminer.  Ça ne sert à rien d’avoir le meilleur système de sécurité au monde dans notre maison si on laisse notre porte débarrée.

 

Voici maintenant quelques liens qui pourront vous guider dans votre quête de conformité.

 La Commission d’accès à l’information :

D’abord, le lien vers le site de la Commission d’accès à l’information (CAI). La CAI est un tribunal administratif et un organisme de surveillance dans l’application de la Loi sur l’accès et de la Loi sur le privé. Elle a droit d’enquête si un incident survient dans vos organisations.

Vous ne savez plus où donner de la tête?

Si vous ne savez plus par où commencer, voici la page des principaux changements concernant les modifications législatives qui entrent en vigueur entre 2022 et 2024. Il s’agit d’un beau point de départ pour un nouveau RPRP.

 

Sur le site de la CAI vous trouverez la liste des documents officiels, nous nous permettons d’amener votre attention sur deux liens spécifiques:

Autre lien pertinent de la CAI :

Comment agir vis-à-vis le Directeur de la protection de la jeunesse (DPJ) :

Pour en apprendre davantage sur la protection des renseignements personnels lors de signalements à la DPJ, par exemple, référez-vous à la partie 2 du Guide de pratique : Entente multisectorielle relative aux enfants victimes d’abus sexuels, d’abus physiques ou de négligence grave dans la section « Les exceptions au principe qui permettent une communication utile et précieuse ».

 


Quelques liens en rafales :

D’abord, Cybereco un regroupement visant la cyber-résilience des entreprises et la formation de main-d’œuvre:

Nous vous fournissons aussi le lien vers le site Web de CY-clic, non seulement un partenaire du programme maloi25, nommé plus bas, mais aussi co-autrice de la Trousse gratuite de procédures que vous trouverez au haut de la page de son site Web. Ces procédures seront à mettre en place dans vos organisations et serviront à dicter vos pratiques.

 


Quelques repères :

Pour vous aider dans votre rédaction, nous vous référons à notre politique de confidentialité et à notre politique externe. Toutes les rubriques nécessaires sont là pour vous aider dans vos démarches. La politique externe pourra vous aider à mieux comprendre les obligations internes et la transparence inhérentes aux obligations de la Loi 25. Il faut comprendre que les CPE et BC du Québec possèdent beaucoup plus de renseignements personnels que le CQSEPE et que vous les gérez tous de façon différente. Les rubriques de notre politique de confidentialité pourront toutefois vous guider. 

Pendant que vous y êtes, vous pouvez aussi explorer le «pop-up» pour les cookies/témoins de connexions qui apparait lorsque vous entrer sur le site pour la première fois. Si votre site Web possède des témoins de connexions, il est important que ce soit indiqué dès qu’on entre sur votre page.

 


Recommandation pour un accompagnement :

La Loi 25 est une loi de moyens et non une loi de résultats. Nous vous encourageons fortement à prendre le temps de comprendre ce que signifie cette loi pour votre organisation et pour votre gestion des données. D’importantes sanctions pécuniaires, parmi les sanctions les plus sévères pour une loi de ce genre, peuvent vous  être imposées si vous ne faites pas les démarches nécessaires. L’objectif n’est pas d’empêcher la fuite de données mais de savoir la contenir, la gérer et la mitiger. 

Le CQSEPE, après plusieurs mois de recherche, s’est arrêté sur une solution abordable pour vous venir en aide dans l’application, à l’interne, de la Loi 25. 

Nous vous invitons à aller vous renseigner sur le programme maloi25. Il s’agit d’un programme lancé par In-Sec-M en partenariat avec le Gouvernement du Québec. Il met en relation des experts en cybersécurité avec des entreprises et organisations visant la conformisation aux exigences de la Loi 25. Vous pouvez lire le guide du participant ici

Le CQSEPE n’a aucun avantage, financier ou autre, à vous recommander ce programme. Il s’agit simplement du programme le plus abordable et fiable que vous avons trouvé après plusieurs mois de recherche. 

Il n’est pas nécessaire d’aller chercher une aide extérieure pour se conformer à cette loi mais nous le recommandons. 

 

À noter :

La liste des liens énumérés dans cette page ne se veut pas exhaustive et ne vise en aucun cas à remplacer la lecture de la loi. Cette page demeurera évolutive. La CAI continue de publier et mettre à jour des documents en lien avec toutes les obligations relatives à la mise en place de la loi. Nous recommandons de consulter et d’éplucher le site de la CAI si vous souhaitez avoir les renseignements exacts. 

Si des informations venaient à différer entre la page du CQSEPE et le site de la CAI ou la loi elle-même, ces derniers ont préséance.


Si vous avez des questions concernant la Loi 25 de façon générale, nous vous invitons à communiquer avec notre responsable de la protection des renseignements personnels.

Marta Grzybowska, mgrzybowska@cqsepe.ca

418-659-1521 poste 209

 

Cette page a été mise à jour le 6 novembre 2023.