La loi 25, c’est l’affaire des ressources humaines

20 septembre 2023

Gabrielle Bourgeois Boucher, CRHA, ECH

La loi 25 a une portée bien plus large qu’on ne le pense généralement. Si les domaines du droit et de la sécurité informatique sont souvent évoqués en premier lieu, il est crucial de ne pas négliger son impact sur les ressources humaines. Les professionnels RH, qui jonglent quotidiennement avec des données personnelles, jouent un rôle central dans la gestion du changement au sein des organisations où ils évoluent.

Qu’est-ce que la loi 25?

La loi 25 réforme l’ensemble des lois québécoises concernant la protection des renseignements personnels (RP). Elle renforce le droit constitutionnel au respect de la vie privée.

Trois dates à retenir pour l’entrée en vigueur progressive des dispositions : les 22 septembre 2022, 2023 et 2024.

Toute organisation collectant, utilisant, conservant ou transmettant au moins un renseignement personnel est concernée par la loi 25, quel que soit son type, son domaine d’activité, son secteur (public ou privé) ou son statut (lucratif ou non lucratif), y compris les travailleurs autonomes.

Qu’est-ce qu’un renseignement personnel (RP)[1]?

Un RP doit concerner un individu et permettre de l’identifier ou de confirmer son identité. Cependant, les données utilisées dans le cadre professionnel sont exclues, telles que l’adresse de courriel ou le téléphone de bureau. La sensibilité des renseignements personnels varie, et plus ils sont sensibles, plus les attentes en matière de vie privée augmentent.

La réflexion sur la façon dont la loi 25 doit être faite en fonction du cycle de vie des renseignements personnels.

Le rôle des professionnels RH

Les professionnels RH traitent quotidiennement des renseignements personnels, dans différents contextes. Ces tâches peuvent inclure la réception de CV, l’accès aux dossiers d’employés, la gestion de dossiers médicaux, disciplinaires ou confidentiels. Assurer l’utilisation et la sécurité appropriées de ces informations est une responsabilité primordiale.

Notre responsabilité

Pratiquement chaque sphère du service du capital humain nécessite une réflexion approfondie afin de garantir la conformité à la loi 25. Cette démarche commence par la collecte minutieuse d’informations et la planification de projets, notamment par la création d’un inventaire détaillé des RP que le service possède. Ainsi, un vaste travail de révision des procédures à la fois officielles et informelles doit être entamé. Il est primordial d’avoir une approche multidisciplinaire. Dans le secteur public, un comité de la protection des renseignements personnels doit être mis sur pied, sauf pour les organismes publics qui employaient 50 salariés ou moins lors de l’année civile précédente. Toutefois, il est avisé, pour les autres organisations, de former un comité ou un groupe de travail afin d’éviter que la conformité ne repose que sur les épaules d’une seule personne.

Politiques et pratiques

Les organisations doivent instaurer des politiques encadrant la gouvernance et la protection des renseignements personnels d’ici le 22 septembre 2023. Ces politiques doivent être proportionnées à leurs activités et approuvées par la personne responsable. Les règles de collecte, d’utilisation et de communication des renseignements personnels ont également évolué. Les professionnels RH doivent repenser leurs pratiques, y compris le processus de recrutement.

Il n’y a pas de liste exhaustive des politiques obligatoires. On doit donc déterminer, selon le contexte, quelles sont les politiques nécessaires pour assurer une bonne protection des RP. Celles-ci doivent notamment prévoir :

L’encadrement applicable à la conservation et à la destruction des RP;
Le rôle et les responsabilités des membres du personnel tout au long du cycle de vie;
Un processus de traitement des plaintes.

Il est de la responsabilité des professionnels RH de s’assurer que ces nouvelles règles sont réalistes, efficaces, comprises et respectées de tous.

Consentement et responsabilités

À partir du 22 septembre 2023, le consentement préalable de la personne est obligatoire pour toute collecte, utilisation, communication ou conservation de ses renseignements personnels.

Lors de la collecte, un nouveau devoir d’information est imposé. Chaque fois que l’on souhaite obtenir un renseignement personnel, il sera obligatoire de s’assurer que la personne a été informée de manière et simple au préalable :

Des fins auxquelles les RP sont recueillis. Ne recueillir que les renseignements nécessaires à ces fins (dotation, assurances collectives, paie, etc.);
Des moyens par lesquels les RP sont recueillis;
Des droits d’accès et de rectification prévus par la loi (Comment faire la demande pour avoir accès à ses informations personnelles et/ou les corriger?);
De son droit de retirer son consentement à la communication ou à l’utilisation des RP recueillis.

De plus, si applicable, il sera également obligatoire d’informer la personne :

Du nom du tiers pour qui la collecte est effectuée (ex. : dans le cas d’un cabinet de recrutement);
Du nom des tiers ou des catégories de tiers à qui il est nécessaire, pour atteindre les fins visées, de communiquer les RP;
De la possibilité que les RP soient communiqués à l’extérieur du Québec (ex. : si vous avez un siège social à l’étranger).

Sur demande, il sera obligatoire d’informer la personne :

Des RP qui ont été recueillis auprès d’elle;
Des catégories de personnes qui ont accès à ces RP au sein de l’organisation;
De la durée de conservation des RP; (ex. : les CV sont-ils conservés dans une banque de candidature? Combien de temps?);
Des coordonnées du responsable de la protection des RP.

Concernant la collecte, le fait qu’une personne accepte de nous transmettre son RP après avoir été dûment informée fait office de consentement. Par exemple, au moment de l’affichage d’un poste, indiquer ces informations dans l’affichage pourrait être une façon de procéder.

Toutefois, dans le cas d’un cabinet de ressources humaines, lorsqu’il agit dans le cadre d’un contrat de service et que le client doit communiquer des RP nécessaires à l’exécution du mandat, le cabinet pourra le faire sans obtenir le consentement de ses employés seulement s’ils ont conclu un contrat énonçant les aspects de protection obligatoires prévus par la loi.

Le fait que le consentement soit maintenant exigé préalablement à chaque utilisation, communication ou conservation de RP nous force à repenser chacune de nos pratiques, notamment concernant les banques de CV.

Plusieurs questions s’imposent

Dans le cadre de la planification, voici quelques idées de questions à se poser :

Est-ce que des formations sont à prévoir?

(ex. : les employés savent-ils détecter un incident de confidentialité? Et que faire si cela survient ou comment répondre à une personne souhaitant déposer une plainte?)

Collectons-nous uniquement les RP nécessaires?
Est-ce que les employés savent qu’il y a dorénavant un registre des incidents de confidentialité? Savent-ils où il se trouve et qui en est responsable? Si un employé déclare un incident de confidentialité qu’il a réalisé, aura-t-il un avis disciplinaire?
Est-ce que certaines modifications de descriptions de postes sont à prévoir?
Est-ce que le processus d’accueil et l’intégration sont à revoir?
Est-ce que la politique de télétravail est à ajuster?
Où sont hébergées les informations personnelles des employés?
Envoyons-nous des RP à un tiers à l’extérieur du Québec (par exemple, un serveur, un logiciel de RH)?

Morale de l’histoire

Un incident de confidentialité correspond à tout accès, à toute utilisation ou à toute communications non autorisées par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection[2]. Ainsi, les incidents de confidentialité ne se déroulent pas seulement par le biais d’un pirate informatique. Ils peuvent également survenir autour de la machine à café, de là toute l’importance du rôle des RH dans le changement des habitudes des employés face aux renseignements personnels.

Il est important de garder en tête qu’une personne prête ses RP et ne les donne pas comme un chèque en blanc. Plusieurs autres sujets sont touchés par les modifications. Il est primordial de se tenir informé et de prendre en main le projet, dès maintenant, si ce n’est déjà fait.

Pour aller plus loin

Contenus additionnels

Liens et ressources externes

Le Guide d’accompagnement pour les ordres professionnels les nouvelles responsabilités des ordres en matière de protection des renseignements personnels du Conseil interprofessionnel du Québec
L’Aide-mémoire concernant la Loi 25 - Protection des renseignements personnels par l’avocat et son équipe du Barreau du Québec
Le site Internet de la Commission d’accès à l’information à l’adresse suivante : Espace évolutif – Modernisation des lois
Le site Internet du Gouvernement du Québec à l’adresse suivante : Protection des renseignements personnels

Gabrielle Bourgeois Boucher, CRHA, ECH Directrice des services-conseils Alliance ressources humaines inc.

Bachelière en administration des affaires, profil marketing, et conseillère en ressources humaines agréée, Gabrielle Bourgeois-Boucher est, de plus, accréditée à titre d’enquêtrice en matière de harcèlement en milieu de travail (ECH).

Toujours à la recherche de nouveaux défis, elle s’est dernièrement spécialisée dans l’interprétation et l’application de la loi 25 dans les milieux de travail. Ainsi, elle est devenue une référence en cette matière à notre cabinet, Alliance ressources humaines inc.

Gabrielle est reconnue pour son dynamisme, ses habiletés communicationnelles et sa capacité à vulgariser les concepts RH. Elle agit à titre de consultante et de coach dans les organisations, dans tous les secteurs d’activités.

Lire plus

Source : VigieRT, septembre 2023

¹	Puisque ce terme revient souvent et afin de faciliter la rédaction et la lecture, « renseignement personnel » sera remplacé par l’acronyme « RP » dans le présent texte.
²	Incident de confidentialité impliquant des renseignements personnels