Politique de confidentialité (Québec — Loi 25)

Une politique de confidentialité québécoise est un document légal obligatoire qui explique comment une organisation collecte, utilise, conserve, partage et protège les renseignements personnels des personnes dans la province de Québec. Elle doit se conformer aux exigences spécifiques et plus strictes de la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, ch. 25), qui a modernisé la loi fondamentale sur la protection de la vie privée, la LPRPSP (RLRQ, ch. P-39.1). La Loi 25 est entrée en vigueur en trois phases entre 2021 et 2023, introduisant d'importantes nouvelles obligations : désignation obligatoire d'un responsable de la protection des renseignements personnels, évaluations des facteurs relatifs à la vie privée (EFVP) avant les transferts transfrontaliers, exigences de consentement explicite, droit à la suppression (droit à l'oubli), droit à la portabilité des données, notification obligatoire des incidents de confidentialité à la Commission d'accès à l'information (CAI) et aux personnes concernées, et sanctions financières importantes.

Le fondement constitutionnel et civil du droit à la vie privée au Québec est particulièrement robuste. L'article 5 de la Charte des droits et libertés de la personne du Québec (RLRQ, ch. C-12) garantit à toute personne le droit au respect de sa vie privée. L'article 35 du Code civil du Québec consacre le droit à la sauvegarde de la réputation et au respect de la vie privée, et l'article 37 C.c.Q. encadre la constitution de dossiers sur autrui. Ces droits fondamentaux constituent le socle sur lequel la LPRPSP et la Loi 25 ont été élaborées, et la politique de confidentialité doit s'y référer expressément.

La Loi 25 a également introduit l'obligation de publication d'une politique de confidentialité claire et accessible sur les sites Web et applications mobiles des organisations opérant au Québec. Les cookies et technologies de traçage sont désormais expressément visés : toute organisation doit informer les utilisateurs de l'utilisation de ces technologies et obtenir leur consentement avant l'activation des témoins non essentiels. La Commission d'accès à l'information (CAI) dispose de pouvoirs d'enquête étendus et peut imposer des sanctions administratives pécuniaires allant jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé.

Vous avez besoin d'une politique de confidentialité québécoise dès que votre organisation collecte, utilise, détient ou communique des renseignements personnels sur des résidents québécois, peu importe où votre organisation est physiquement établie. La Loi 25 s'applique à toutes les organisations du secteur privé opérant au Québec ou traitant des données sur des résidents québécois. Les situations courantes incluent l'exploitation d'un site Web, d'une application mobile ou d'une plateforme de commerce électronique accessible aux utilisateurs québécois, l'exploitation d'un commerce physique qui collecte des renseignements sur ses clients, la gestion d'un service SaaS ou infonuagique utilisé par des entreprises ou consommateurs québécois, la réalisation d'études de marché impliquant des résidents québécois, la gestion de dossiers d'employés travaillant au Québec et l'exploitation de tout programme de fidélisation ou d'abonnement au Québec.

Même les organisations dont le siège social est situé à l'extérieur du Québec — dans une autre province canadienne, aux États-Unis ou à l'étranger — sont tenues de respecter la Loi 25 si elles traitent des renseignements personnels de résidents québécois. Cette application extraterritoriale est analogue à l'approche adoptée par le Règlement général sur la protection des données (RGPD) en Europe, ce qui fait de la Loi 25 l'une des législations les plus progressistes en matière de vie privée en Amérique du Nord. Les organisations qui n'ont pas de présence physique au Québec mais qui ciblent des consommateurs québécois par le biais de publicité ciblée, de commerce électronique ou de services en ligne doivent également se doter d'une politique de confidentialité conforme à la Loi 25.

De plus, une politique de confidentialité conforme à la Loi 25 est également nécessaire lors de la conclusion de contrats de traitement de données avec des sous-traitants : toute organisation qui confie le traitement de renseignements personnels à un tiers doit s'assurer par contrat que ce tiers offre un niveau de protection équivalent, conformément à l'article 18.3 de la LPRPSP. Cette obligation contractuelle de protection en chaîne est un élément central de la conformité à la Loi 25.

Les éléments clés d'une politique de confidentialité conforme à la Loi 25 comprennent la désignation et l'identification obligatoires d'un responsable de la protection des renseignements personnels avec ses coordonnées, conformément à l'article 3.1 de la LPRPSP. La politique doit identifier le fondement légal, en référençant expressément la LPRPSP telle que modifiée par la Loi 25, la LPRPDE fédérale pour les activités interprovinciales, et la Charte québécoise des droits et libertés (art. 5) et le Code civil (art. 35). Une section détaillée sur les catégories de renseignements collectés doit être incluse, avec une attention particulière aux renseignements sensibles. Les finalités de collecte doivent être spécifiques, explicites et légitimes (art. 4 LPRPSP). Les droits individuels doivent être clairement énoncés : accès, rectification, suppression (art. 28.1), portabilité (art. 27.1, en vigueur le 22 septembre 2023) et plainte auprès de la CAI. Les mesures de sécurité et l'obligation de notification des incidents (art. 3.5 LPRPSP) doivent être décrites.

La section sur les témoins (cookies) et les technologies de traçage est désormais incontournable pour toute organisation disposant d'une présence en ligne. La politique doit distinguer les témoins strictement nécessaires (exemptés de consentement) des témoins fonctionnels, analytiques et publicitaires (nécessitant un consentement préalable). Elle doit expliquer comment les utilisateurs peuvent gérer leurs préférences et retirer leur consentement à tout moment, conformément aux lignes directrices de la CAI sur les témoins de connexion.

Enfin, la politique doit comprendre une section sur les transferts de renseignements personnels hors du Québec ou du Canada, avec une description des évaluations des facteurs relatifs à la vie privée (EFVP) effectuées en vertu de l'article 17 de la LPRPSP, et des garanties contractuelles exigées des destinataires étrangers. La date d'entrée en vigueur et la procédure de mise à jour de la politique doivent être clairement indiquées, ainsi que les coordonnées complètes du responsable de la protection des renseignements personnels pour soumettre toute demande d'accès, de rectification, de suppression ou de portabilité.