Loi 25: pour une meilleure protection de vos renseignements personnels

Une loi qui bonifie vraiment la protection des renseignements personnels 

Disons-le d’emblée, quel que soit le statut de votre conseiller en services financiers – employé d’une institution financière, rattaché à un cabinet ou à un courtier ou encore travailleur autonome –, il est soumis à la loi 25.

« Cette loi peut paraître lourde de conséquences et difficile à appliquer pour les conseillers en services financiers, mais elle est nécessaire pour bien protéger les renseignements personnels des consommateurs », dit Johanne Blanchard, avocate en chef à la direction des affaires corporatives et juridiques de la Chambre de la sécurité financière (CSF). 

En rehaussant les protections offertes par les lois provinciales, la loi 25 fait en sorte que vos renseignements personnels – soit les renseignements permettant de vous identifier directement ou indirectement – sont mieux protégés que jamais. De plus, en imposant d’importantes sanctions financières, elle se veut fort persuasive.

« La loi 25 s’inscrit dans une tendance mondiale qui vise à renforcer la protection des données personnelles et à réglementer leur utilisation », dit Pascale Nguyen, associée opérationnelle chez Sia, une firme spécialisée en gestion des affaires. « Et elle place le Québec parmi les juridictions les plus avancées en matière de protection des données. »

Des renseignements personnels mieux protégés

La loi 25 oblige autant les organisations, tels les institutions financières, les réseaux de courtage, les cabinets de services financiers, etc., que les professionnels indépendants à revoir leurs manières de faire. Car elle contient plusieurs obligations en lien avec la gouvernance. 

Ainsi, pour respecter la loi 25, ils doivent notamment désigner officiellement un responsable des renseignements personnels – il peut s’agir du directeur général, d’un employé ou encore d’une personne à l’externe. « C’est ce responsable qui devra faire la supervision de la conformité », dit Mme Nguyen.

Les organisations et les conseillers en services financiers doivent aussi élaborer un protocole permettant de traiter les incidents de confidentialité ainsi qu’un registre dans lequel ceux-ci seront consignés. « Le protocole doit prévoir les étapes détaillées permettant de gérer les différents types d’incidents, comme les pertes d’appareil, les fuites de données et les cyberattaques », dit Mme Nguyen. Le registre, lui, doit être alimenté avec précision et de manière systématique. 

Enfin, si un incident de confidentialité survient et qu’il est susceptible de créer un risque sérieux, les organisations et les conseillers en services financiers ont l’obligation de le signaler tant à la Commission d’accès à l’information (CAI) qu’au consommateur. « Dans le cas d’un courriel envoyé au mauvais destinataire, ce qui doit être fait dépend de son contenu, précise Mme Nguyen. Mais dans le cas d’une perte d’équipement ou d’une cyberattaque, l’événement doit nécessairement être déclaré. »

Notons qu’à titre préventif, les organisations et les professionnels indépendants sont désormais tenus de procéder à une évaluation des facteurs relatifs à la vie privée dans certaines situations – par exemple, lors du développement ou de la refonte d’un système informatique.

Tout cela n’est pas nécessairement facile, surtout pour les professionnels indépendants. Les deux personnes que nous avons interviewées en conviennent. Se faisant rassurante, M^e Blanchard indique que certaines formations sont données sur la loi 25 et que les sites de la Commission d’accès à l’information et de la Chambre de la sécurité financière comportent beaucoup de renseignements utiles. Si, après la lecture de cet article, vous désirez en savoir plus, vous pouvez vous aussi les consulter. 

Plus de transparence à l’égard du consommateur

Comme la loi 25 oblige les organisations et les professionnels indépendants à être plus clairs à votre égard, ils sont donc tenus de rendre publics le nom et les coordonnées du responsable des renseignements personnels choisi. Ils doivent aussi rédiger et rendre publique la politique de confidentialité qu’ils ont mise en place. Ces renseignements et cette politique doivent être publiés sur le site web de l’organisation ou du professionnel. Mme Nguyen suggère aux consommateurs de demander aux professionnels de leur communiquer directement cette information. Ils devraient pouvoir vous fournir un feuillet explicatif sur le sujet. 

La politique de confidentialité doit faire état des procédures mises en place pour protéger les renseignements personnels à toutes les étapes, soit lors de leur collecte, de leur utilisation, de leur conservation, de leur communication et de leur destruction. Elle doit aussi prévoir des mécanismes d’évaluation des risques en cas d’incident. « Ce faisant, il faut qu’elle mentionne explicitement comment l’évaluation va avoir lieu, indique Pascale Nguyen. Il est important que cela soit fait avant la mise en place d’une activité qui implique des données sensibles ou l’utilisation d’une technologie automatisée. »

Enfin, tout comme le registre des incidents dont nous avons parlé précédemment, la politique de confidentialité doit être écrite de manière à être claire et lisible. « Il est important que les consommateurs sachent exactement ce qui est fait pour protéger leurs renseignements », souligne Mme Nguyen.

La loi 25 vient également encadrer les termes de votre consentement. Ainsi, ce dernier doit être « clair, libre et informé », selon Mme Nguyen, et sollicité pour un but précis – et non pour être utilisé à plusieurs fins. De plus, la loi 25 prévoit qu’une organisation ou une personne qui demande par écrit un consentement doit le faire distinctement dans un document exempt de toute autre information communiquée à la personne concernée.  « Il est important que le consentement ne serve pas à d’autres fins que celle pour laquelle il a été demandé », ajoute M^e Blanchard.

Autre particularité : lorsque le consentement concerne des renseignements personnels sensibles, il doit être fourni par écrit. Selon Mme Nguyen, font notamment partie des renseignements « sensibles » vos données biométriques – dont votre voix et votre photo de passeport –, vos numéros personnels – assurance sociale, permis de conduire, etc. –, votre nom, votre date de naissance et vos coordonnées ainsi que les renseignements portant sur votre situation familiale, vos finances et votre santé.

En vous permettant d’être mieux renseigné quant à la manière dont vos renseignements personnels sont conservés et traités, la loi 25 vous donne davantage de pouvoir. Elle vous procure notamment la possibilité de retirer votre consentement en tout temps, et d’accéder à vos renseignements personnels lorsque vous le désirez. De plus, en vertu du droit à la portabilité, vous recevrez obligatoirement vos renseignements dans un format technologique « structuré couramment utilisé », selon les mots utilisés par la CAI. Une fois vos renseignements en main, vous aurez la possibilité de les faire rectifier ou supprimer. 

Quelques conseils

Pascale Nguyen vous invite à vérifier, sur le site web de l’organisation ou du professionnel avec lequel vous faite affaire, quelles sont les mesures prises pour protéger vos renseignements personnels et à ne pas hésiter à poser des questions. 

Elle suggère également qu’il peut être pertinent pour vous de revoir chaque année, avec votre conseiller en services financiers, le consentement que vous lui avez accordé. « Plusieurs choses peuvent changer à l’intérieur d’une année, prévient-elle. Et il est possible que certains ajustements soient nécessaires. » 

Dans un autre ordre d’idées, elle ajoute qu’il est fort possible que la loi 25 doive être renforcée au fil du temps. Si cela se produit, ce sera pour qu’elle puisse s’adapter aux progrès technologiques comme l’intelligence artificielle et ainsi continuer à protéger vos renseignements personnels quoi qu’il se produise.