Qu’est-ce qu’un renseignement personnel au sens de la Loi 25 ?
Tout renseignement qui permet d’identifier une personne physique, directement ou indirectement. Nom, adresse, courriel, numéro de téléphone, numéro d’assurance sociale, adresse IP, identifiant d’appareil, géolocalisation, données biométriques. Les renseignements sensibles (santé, origine, orientation sexuelle, opinions politiques, religion, biométrie, casier judiciaire) bénéficient d’une protection renforcée : consentement explicite et distinct requis.
Consentement et transparence
Le consentement doit être libre, éclairé, spécifique et manifeste. Il doit être donné pour une finalité précise : tu ne peux pas réutiliser des renseignements collectés pour autre chose sans un nouveau consentement. La personne doit pouvoir retirer son consentement aussi facilement qu’elle l’a donné.
Hébergement à l’étranger
Tu peux utiliser un outil hébergé à l’extérieur du Québec, mais tu dois procéder à une évaluation des facteurs relatifs à la vie privée avant transfert, confirmer que le pays offre une protection adéquate, et encadrer le transfert par une entente écrite qui garantit la protection des renseignements. Pour les outils IA hébergés aux États-Unis, la vigilance est particulièrement recommandée.
Droits des personnes
Accès à leurs données, rectification des données inexactes, portabilité (depuis septembre 2024), effacement dans certaines conditions. Tu dois répondre à toute demande dans les 30 jours. Un formulaire standard et une procédure interne documentée facilitent le respect de ce délai.
Incidents et notifications
En cas d’incident de confidentialité à risque sérieux de préjudice, tu dois notifier la Commission d’accès à l’information et les personnes concernées dans les plus brefs délais. Le critère du « préjudice sérieux » dépend de la nature des données, du nombre de personnes touchées, des conséquences probables et de la vraisemblance d’une utilisation malveillante.
Sanctions
Jusqu’à 25 M$ ou 4 % du chiffre d’affaires mondial pour une entreprise, selon le plus élevé. Les sanctions sont rares pour les TPE mais la Commission d’accès peut exiger des mesures correctrices à tout moment, et les poursuites civiles de personnes affectées sont toujours possibles.