La loi 25 sur la protection des renseignements personnels
Informations importantes quant à l’entrée en vigueur des nouvelles dispositions de la Loi 25 sur la protection des renseignements personnels le 22 septembre 2023
Soyez prêt·e·s pour l’arrivée des dispositions relatives à la Loi 25 qui incomberont les administrateurs des organismes communautaires (OC) et des OSBL dès la fin septembre. Ayant été reporté à cette année, les premières dispositions de la Loi sur la protection des renseignements personnels étaient plutôt simples et leur fardeau était principalement symbolique. Toutefois, dès la fin du mois prochain, il est sommé de la part des OC d’être doté d’une politique relative à la protection des renseignements personnels solide et qui n’échappe aucun détail.
La protection des renseignements personnels (RP) étant un enjeu important, personne ne conteste effectivement la pertinence d’une telle loi. Il est plus que primordial que les entreprises qui constituent des dossiers (soumis à des transactions commerciales allant parfois même à l’internationale) avec des informations personnelles et confidentielles d’individus, mettent en place des politiques strictes qui protègent les consommateurs.
Toutefois, les OC et les OSBL se trouvent mis au pied du mur par le gouvernement, avec la mise en place et l’application d’une telle loi. Encore une fois, les dispositions qui entourent cette loi, arrivent tel un fardeau administratif aux organismes n’ayant déjà peu de temps afin d’accomplir leur mission. De plus, il va sans dire que la mise en place d’une telle politique d’envergure nécessite des avis d’experts légaux et informatiques qu’aucun OC ou OSBL ne peut se payer.
Avec l’application des nouvelles obligations du Registraire des entreprises du Québec (REQ), les OC sont ensevelies sous les demandes de rattrapage administratif de toutes sortes. La situation est donc inquiétante, puisque le gouvernement nous promet également des sanctions qui ne font aucun sens pour le milieu communautaire. Qu’en sera-t-il des audits informatiques et des sanctions financières? Avons-nous à nous inquiéter face aux demandes de subvention si l’application de la loi n’est pas conforme en tout point?
Le 16 août 2023 dernier l’équipe du RQ-ACA, ainsi que certains membres du conseil d’administration, ont rencontré le Registraire des entreprises du Québec, afin de porter à leur attention certaines incohérences avec la nouvelle obligation de fournir les pièces d’identités gouvernementales des membres des conseils d’administration des organismes d’ACA. Cette rencontre fait suite à des communications constantes sur ces enjeux du RQ-ACA avec le cabinet de la ministre responsable de la Solidarité sociale et de l’Action communautaire.
Cette nouvelle exigence soulève, en effet, de nombreux enjeux, dont celui de la protection des renseignements personnels, en plus de constituer un frein à la vie associative et à la participation citoyenne. Par exemple, que ferons-nous si un administrateur ou une administratrice refuse de donner sa pièce d’identité par crainte de vol ou d’utilisation des données ou encore avec les personnes qui n’ont pas de carte d’identité gouvernementale (itinérance, réfugié·e·s, sans papier)? Allons-nous les priver de leur droit? Il s’agit, selon nous, d’un important enjeu d’exclusion sociale qui contrevient aux objectifs du PAGAC et du PAGIEPS.
Pour le moment, le Registraire prévoit une période de transition, jusqu’en juin 2024, permettant aux organismes de se conformer. Une lettre confirmant cette information devrait vous être acheminée bientôt par le Registraire. Nous attendons également des réponses quant aux conséquences potentielles en cas de non conformité. Suite à cette première rencontre, le REQ a suggéré des rencontres subséquentes, afin de travailler à des solutions concrètes pour les organismes d’ACA.
Le RQ-ACA, ainsi que la Table des regroupements provinciaux d’organismes communautaires et bénévoles, ont entamé des représentations auprès de la ministre de l’Emploi ainsi que de la ministre responsable de la Solidarité sociale et de l’Action communautaire afin de demander un moratoire, pour les organismes d’ACA, sur l’application de cette nouvelle exigence. L’objectif étant d’unir nos forces et d’utiliser ce temps pour travailler à des solutions afin d’exclure les organismes d’ACA de cette nouvelle obligation.
Si vous vivez des difficultés relatives à cette nouvelle exigence, veuillez nous les transmettre. Nous vous tiendrons informé de tout développement relatif à ce dossier.
La Table des regroupements provinciaux d’organismes communautaires et bénévoles a fait un travail colossal et a mis en place une liste d’outils et des informations qui vous permettront de vous mettre à jour face aux nouvelles dispositions de la loi 25. Rendez-vous sur le site internet pour tout le contenu -> ICI
Est-ce que les OSBL et les OC sont des entreprises privées au sens de la loi et pourquoi?
OUI! Les OSBL sont assujetties aux dispositions de la loi 25 puisqu’ils sont compris comme des entreprises au sens de la loi.
Explication :
Ainsi il est possible de se référer à l’article 1 de la Loi 25 relativement au champ d’application :
- La présente loi a pour objet d’établir, pour l’exercice des droits conférés par les articles 35 à 40 du Code civil en matière de protection des renseignements personnels, des règles particulières à l’égard des renseignements personnels sur autrui qu’une personne recueille, détient, utilise ou communique à des tiers à l’occasion de l’exploitation d’une entreprise au sens de l’article 1525 du Code civil. (…)
Au sens de la loi la notion d’exploitation d’une entreprise, selon les dispositions de l’article 1525 du Code civil du Québec, nous permet de mieux comprendre comment les OSBL ou les organismes communautaires s’intègre à cette définition :
(…) Constitue l’exploitation d’une entreprise l’exercice, par une ou plusieurs personnes, d’une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services.
Quelles sont les nouvelles implications administratives pour les OC et les OSBL?
La loi a été sanctionné en septembre 2022 et les principales dispositions à ce moments étaient les suivantes :
- Nommer une personne responsable de la protection de renseignements personnels et publier ses coordonnées publiquement (sur le site internet de l’organisme par exemple);
- Tenir un registre des incidents de confidentialité. Il semblerait que ces dispositions aient été reportées à septembre 2023, s’ajoutant ainsi à d’autres nouvelles dispositions;
- Établir une politique et des pratiques pour la gouvernance des RP et les publier sur le site de l’organisme;
- Respecter les nouvelles règles pour le consentement à la collecte et à l’utilisation des RP;
- Veiller à détruire les renseignements quand la finalité est accomplie ou les anonymiser; et enfin
- Respecter les nouvelles règles d’utilisation des RP.
Ces nouvelles règles peuvent sembler assez évidentes et concises, mais elles sous-entendent d’instaurer des pratiques spécifiques au domaine du droit et de l’informatique, qui vont au-delà des connaissances générales et qui ne permettent pas de mettre en place correctement les nouvelles dispositions.
Par exemple, l’OC doit procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services. Ainsi, tous les organismes doivent revoir leurs pratiques d’archivage de dossiers concernant leurs employé·e·s ou leurs participant·e·s en plus de devoir instaurer une politique de confidentialité relative à la navigation de leur site internet si de l’information y est collectée à des fins statistiques. Enfin, le Ministère du travail, de l’emploi et de la solidarité sociale tient à mentionner que d’autres obligations peuvent s’ajouter selon le secteur.
Enfin, si le gouvernement veut que l’on se conforme aux nouvelles dispositions en bonne et due forme, les organismes communautaires auront besoin de plus d’accompagnement, ainsi que des formations légales et informatiques. Le RQ-ACA a l’intention de porter à l’attention de la ministre Katéri Champagne-Jourdain et à la ministre Chantale Rouleau l’ensemble des aspects de l’entrée en vigueur de la loi 25.