Mise à jour le 29 septembre 2023
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) entre graduellement en vigueur entre septembre 2022 et 2024. Elle apporte des changements au cadre législatif relatif aux renseignements personnels (ci-après « RP »), dont principalement la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.
Les sexologues en pratique privée devront plus directement apporter des changements à leur manière d’administrer les RP recueillis dans leur pratique. Pour les sexologues dans le réseau public ou qui ont un employeur, les changements organisationnels sont gérés par les instances administratives, mais il demeure important de prendre connaissance des nouveautés apportées par la Loi 25 pour savoir comment s’y conformer.
La présente chronique s’adresse principalement aux sexologues en pratique privée, qui sont responsables de la protection des renseignements personnels par le simple effet de la loi. Elle vise à outiller les sexologues sur certaines démarches concrètes, mais ne représente pas une liste exhaustive de toutes les nouvelles dispositions de la Loi 25.
Note légale : Le contenu du présent article et les modèles sont fournis à titre indicatif pour fournir une base aux sexologues, qui sont responsables d’adapter leurs pratiques et documents en fonction de l’évolution de la loi. L’information juridique complète se trouve dans la loi elle-même et dans l’Espace évolutif de la Commission d’accès à l’information.
Contexte de la Loi 25 et information générale |
|---|
Cliquez ici pour l'information |
|
Les renseignements personnels (RP) sont des renseignements qui concernent une personne physique et qui permettent, directement ou indirectement de l’identifier (ex. noms, date de naissance, adresse courriel, historique familial, origine ethnique, emploi, numéros de carte de crédit, orientation sexuelle, historique personnel, etc.). Par la nature de leur travail, les sexologues détiennent énormément de renseignements personnels au sein de leur pratique et dans leurs dossiers. Les RP sont liés au droit à la vie privée et nécessitent une protection importante de la part des personnes et des entreprises qui les détiennent. La pratique privée s’accompagne de responsabilités administratives, auxquelles on vient préciser et renforcer la responsabilité de protéger les renseignements personnels par la Loi 25. Au Québec, toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu’elle détient. Au sein de l’entreprise, la personne ayant la plus haute autorité veille à assurer le respect et la mise en œuvre de la loi. Pour les sexologues en pratique privée, il s’agit de chaque sexologue lui-même ou elle-même. La Loi 25 constitue une réforme majeure relative à la protection des renseignements personnels. Elle nécessite un plan d’action et des modifications concrètes pour toute organisation, que ce soit au privé ou au public, qu’il y ait des milliers d’employés ou que ce soit en entreprise individuelle (travail autonome). L’OPSQ est sensible à la charge que représente la réforme et tient à soutenir les sexologues en pratique privée avec l’information et les outils fournis dans la présente chronique. Notes sur les rôles des différentes organisations impliquées :
|
Premières actions et astuces pour une organisation efficace |
|---|
Cliquez ici pour l'information |
|
Il est recommandé d’avoir un fichier administratif, intitulé par exemple « Protection des renseignements personnels » pour y déposer tous les documents pertinents (ex. guides sur la Loi 25, registre des incidents de confidentialité, une copie de la présente chronique, l’inventaire des RP, etc.). Ce fichier permettra d’effectuer un suivi efficace dans l’application de la Loi 25 et tout au long du cycle de vie des RP détenus par les sexologues. Afin de bien saisir l’importance des RP détenus par les sexologues en pratique autonome, il est fortement recommandé de procéder à un inventaire des renseignements personnels détenus. Cet exercice permet de prendre conscience des forces et des points à améliorer sur le plan de la protection des RP, dans le but de se conformer à la Loi 25. Une fois la cartographie réalisée, les sexologues peuvent mieux évaluer et mettre en place des mesures de protection des RP. L’OPSQ fournit un modèle adapté aux sexologues en pratique autonome : Inventaire des renseignements personnels (Modèle OPSQ)* *L’OPSQ n’impose l’utilisation d’aucun modèle spécifique et celui-ci a été conçu pour faciliter le travail administratif des sexologues. Tout modèle fourni par l’OPSQ doit être adapté à la pratique de chaque sexologue. |
Principales mesures entrées en vigueur en septembre 2022 et 2023 |
|---|
Le présent article met l’accent sur la mise en application d’une partie de la Loi 25. Pour l’intégralité des nouvelles dispositions entrées en vigueur les 22 septembre 2022 et 2023, consultez l’Espace évolutif de la CAI.
Responsabilité de la protection des RP |
|
Les sexologues en pratique autonome, à titre de personnes ayant la plus haute autorité au sein de l’entreprise, exercent le rôle de responsable de la protection des RP. Il est possible de déléguer cette fonction par écrit. Pour les sexologues qui ont un site web, les coordonnées de la personne responsable des RP doivent y être indiquées. Les fonctions de responsable des RP impliquent notamment l’application de la Loi sur la protection des renseignements personnels dans le secteur privé, la réponse aux demandes relatives aux RP (accès, rectification, cession de diffusion, etc.), la création des règles de gouvernance (voir les dispositions de 2023 ci-dessous), etc. Le rôle de responsable de la protection implique d’évaluer les mesures de protection des RP pour tout leur cycle de vie, soit :
Pour toute la durée du cycle de vie des données, il faut ainsi mettre en place des mesures pour assurer la sécurité et la protection des RP, puis les tenir à jour :
|
Incidents de confidentialité |
|
Les incidents de confidentialité se produisent en cas d’accès, d’utilisation, de communication non autorisée, de perte de RP, ou de toute autre atteinte à la protection des RP. Il s’agit par exemple d’un courriel envoyé à la mauvaise personne, d’une perte de données en raison d’un virus ou d’une erreur, d’une intrusion dans le système informatique, d’une perte ou d’un vol de matériel informatique, etc. Dès que survient un incident, les sexologues doivent :
Voici quelques précisions sur les obligations : Créer et tenir à jour un registre des incidents de confidentialité impliquant des RP Il est important de créer un registre dès maintenant, de le tenir à jour en cas d’incident et de le traiter avec sérieux. La Commission d’accès à l’information peut demander à toute entreprise de recevoir une copie du registre. Le registre n’a pas à être communiqué à l’OPSQ. Un modèle de registre est fourni ci-dessous. Registre d'incidents de confidentialité (Modèle OPSQ)* *L’OPSQ n’impose l’utilisation d’aucun modèle spécifique et celui-ci a été conçu pour faciliter le travail administratif des sexologues. Tout modèle fourni par l’OPSQ doit être adapté à la pratique de chaque sexologue. Évaluer le risque de préjudice sérieux et, le cas échéant, aviser la Commission d’accès à l’information et les personnes concernées par l’incident En cas d’incident de confidentialité, les sexologues doivent évaluer le risque de préjudice sérieux, en tenant compte de la sensibilité des renseignements concernés, des conséquences appréhendées de leur utilisation, puis de la probabilité qu’ils soient utilisés à des fins préjudiciables. L’OPSQ n’est pas en position de se prononcer sur le niveau de risque pour un incident donné. L’évaluation doit se faire par les sexologues, les responsables délégués de la protection des renseignements personnels, ou des experts externes. En cas de risque de préjudice sérieux, il faut aviser la CAI à l’aide du formulaire prévu à cet effet, puis aviser les personnes concernées en indiquant les éléments précisés par la CAI. N.B. Les sexologues n’ont pas à informer l’OPSQ d’un incident de confidentialité. |
Politiques et pratiques encadrant la gouvernance des renseignements personnels |
|
La Commission d’accès à l’information résume ainsi les obligations pour les entreprises, incluant les sexologues en pratique autonome :
Les sexologues qui ont un site web doivent mettre à la disposition des personnes qui naviguent sur leur site web une politique de confidentialité qui régit les renseignements personnels recueillis. Il est aussi une bonne pratique de prévoir et de rendre disponibles les conditions d’utilisation du site web. L’OPSQ fournit des modèles qui doivent être adaptés selon la pratique de chaque sexologue : |
Consentement relatif aux renseignements personnels détenus |
|
Toute personne doit pouvoir consentir au traitement de ses renseignements personnels. Les organisations doivent ainsi obtenir ce consentement selon des modalités spécifiques. Le consentement doit être :
Le consentement doit être donné pour toute la durée de vie des RP, de la collecte à la destruction. Bien qu’il ne soit pas obligatoire de faire signer un consentement, il s’agit de la pratique la plus sûre pour consigner au dossier le consentement manifeste. Pour les sexologues en pratique autonome qui souhaitent adapter leur formulaire de consentement, les deux options suivantes sont possibles :
L’OPSQ fournit un modèle qui contient des exemples de clauses de consentement pour les renseignements personnels. Le modèle peut être adapté et utilisé comme une annexe, ou le contenu peut être reformulé et ajouté à un formulaire déjà existant : |
Évaluation des facteurs relatifs à la vie privée (EFVP) |
|
La CAI prévoit une démarche pour les évaluations des facteurs relatifs à la vie privée (EFVP), qui inclut les étapes d’analyse et la rédaction d’un rapport. L’objectif des EFVP est d’évaluer si les mesures en place permettent de protéger adéquatement les RP, s’il existe des failles ou des risques, puis de déterminer les mesures à mettre en place pour renforcer la protection des RP. Les sexologues en pratique autonome ont l’obligation de procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) dans les deux cas suivants :
N.B. L’hébergement des données au Québec n’est pas une garantie de sécurité et il n’est pas interdit d’héberger les données ailleurs. Il faut procéder à une analyse des modalités des compagnies et des lois locales pour s’assurer de la conformité. Astuce : Plusieurs compagnies qui ont une clientèle professionnelle ont une page d’information web sur les mesures de sécurité de leurs données, incluant le cryptage et le lieu d’hébergement. Certaines indiquent même correspondre aux normes professionnelles requises au Québec et/ou au Canada. |
Possibilité de sanctions administratives pécuniaires |
|
À compter du 22 septembre 2023, un manquement à une disposition de la Loi 25 pourra s’accompagner de sanctions administratives pécuniaires. La CAI indique toutefois qu’il sera possible de prendre des mesures volontaires pour remédier au manquement ou en atténuer les conséquences. L’important demeure de se mettre en action, de prendre les mesures nécessaires pour protéger les RP, puis de répondre aux demandes de la CAI en agissant de manière raisonnable. |
Principale mesure pour septembre 2024 |
|---|
Droit à la portabilité |
|
La CAI décrit le droit à la portabilité ainsi : « À compter du 22 septembre 2024, si la personne concernée le demande, les organisations auront l’obligation de lui communiquer, dans un format technologique structuré et couramment utilisé, un renseignement personnel informatisé recueilli auprès d’elle. Cette communication pourra aussi se faire à une personne ou à un organisme autorisé à recueillir le renseignement, à la demande de la personne concernée. » Pour les sexologues, cette disposition doit être lue avec les dispositions pertinentes sur l’accès aux dossiers. C’est donc dire que pour une demande conforme aux règles déontologiques, pour un accès au dossier ou une communication à un tiers, l’information devra être en format électronique. À titre de rappel, les règles d’accès sont prévues aux articles 27 à 31 du Code de déontologie et à la page 16 du Guide sur la tenue de dossiers. D’ici septembre 2024, des précisions seront fournies sur le droit à la portabilité. |
Ressources et suivis |
|---|
Voici une liste de ressources à consulter pour la mise en place des mesures et en apprendre davantage sur toutes les dispositions de la Loi 25 :
- L’Espace évolutif de la Commission d’accès à l’information;
- Le Guide Pratique : Application de la loi 25 de Cyber Eco;
- Le Guide de conformité pour la réforme de la Loi sur la protection des renseignements personnels dans le secteur privé du cabinet BLG;
- La formation en ligne « Loi 25 » pour les membres des ordres professionnels du Conseil interprofessionnel du Québec (75 $).
Il est important de se renseigner et de rester à l’affut des changements au cours des prochains mois. Surveillez l’infolettre de l’OPSQ pour les mises à jour importantes.
