La Loi 25, pour assurer la protection des renseignements personnels
Depuis le 22 septembre 2022, de nouvelles obligations dans la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) sont entrées en vigueur.
Qu'est-ce que la Loi 25?
Toute personne qui recueille des renseignements personnels au sujet d’une personne concernée doit, lors de la collecte et par la suite sur demande, l’informer notamment :
- des fins auxquelles ces renseignements sont recueillis (par exemple : exécuter des travaux d’agrandissement au domicile du client);
- des moyens par lesquels les renseignements sont recueillis (par exemple : données extraites d’un formulaire, d’une soumission);
- des droits d’accès et de rectification prévus par la loi;
- de son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis.
Il s’agit là des principales exigences à respecter, mais la Loi est beaucoup plus complexe. C’est pourquoi les entreprises doivent mettre en place des processus clairs et précis en ce qui concerne les renseignements personnels qu’elles collectent et ce qu’elles en font. Pour plus informations, rendez-vous sur le site de la Commission d’accès à l’information du Québec.
Une boîte à outils, offerte exclusivement aux membres de l’APCHQ
Nous mettons à votre disposition une boîte à outils pour vous aider à implanter efficacement cette nouvelle réglementation dans votre entreprise.
Exclusif aux membres
Avis d’utilisation de la boite à outils
Dans le cadre de notre mission, qui consiste à soutenir les professionnel·le·s de la construction résidentielle et de la rénovation, nous proposons cette boîte à outils. Notez qu’elle doit toujours être adapté selon le contexte, les besoins de votre organisation ainsi qu’en tenant compte de l’ensemble des parties prenantes. Notez que ce guide sommaire n’a pas de valeur juridique.
Le cas échéant, vous devez toujours vous référer à votre code de déontologie, aux normes professionnelles, ainsi qu’aux lois et règlements en vigueur, et consulter un conseiller ou une conseillère juridique au besoin.
Questions fréquements posées
La Loi 25 s’applique à toute personne qui recueille, détient, utilise ou communique à des tiers des renseignements personnels sur autrui à l’occasion de l’exploitation d’une entreprise, peu importe sa taille.
En conséquence, elle s’applique, notamment, aux entrepreneur·e·s de la construction.
La Loi 25 a pour objectif de renforcer la protection des renseignements personnels d’une personne physique, notamment afin de prévenir et de contrer le vol d’identité, la fraude financière ou une atteinte à la réputation de celle-ci.
Un renseignement personnel, c’est tout renseignement qui concerne une personne physique et qui permet directement ou indirectement de l’identifier.
À titre d’exemple, voici une liste non exhaustive de renseignements personnels, afin de vous permettre de respecter adéquatement les obligations découlant de la Loi 25.
- Fiche d’employés et documents administratifs : Coordonnées, numéro d’employé, spécimen de chèque, nom, adresse complète, numéros de téléphone (fixe et cellulaire), date de naissance, numéro d’assurance sociale (NAS), numéro de la Régie de l’assurance maladie du Québec (RAMQ), courriel, nom de la banque, numéro de compte bancaire, noms et coordonnées des personnes à joindre en cas d’urgence, renseignements médicaux, permis de conduire, passeport et lieu de naissance.
- CV : Nom, adresse complète, numéros de téléphone (fixe et cellulaire), courriel, informations étrangères, etc.
- Validation des diplômes ou certification nécessaire à l’emploi :
- Noms, établissements scolaires, diplômes obtenus, etc.
- Numéro de permis de conduire, numéro de permis d’un ordre professionnel, classe de permis de conduire, restrictions de conduite, documents d’assurance, attestation de formation, code permanent du ministère de l’Éducation, etc.
- Contrat de travail ou lettre d’entente : Nom, titre d’emploi, date d’embauche, salaire, programme de bonification et commissions, banque de vacances, régime de retraite, congés de maladie et congés pour obligations personnelles, toute autre prime, etc.
- Tests et résultats d’examens médicaux : Nom, adresse complète, numéros de téléphone (fixe et cellulaire), date de naissance, NAS, courriel, numéro RAMQ, renseignements médicaux, tests psychométriques, etc.
- Rémunération, retenues, régime de retraite et assurances collectives : Nom, numéro d’employé, adresse complète, numéros de téléphone (fixe et cellulaire), date de naissance, NAS, courriel, nom de la banque, numéro de compte bancaire, salaire, statut fiscal, noms et informations personnelles des personnes à charge, nom et assureur du conjoint, nom et assureur de l’ex-conjoint, montant des retenues, nom de l’ex-conjoint, nom des enfants, saisies légales, etc.
- Relations du travail : Nom, numéro d’employé, mesures disciplinaires, informations salariales, nom des personnes impliquées, nom des témoins, faits reprochés, mesures disciplinaires, etc.
- Santé, sécurité et mieux-être : Formulaire de déclaration d’accident, rapports médicaux, rapports d’expertise médicale, formulaires de la Commission des normes, de l’équité, de la santé et de la sécurité du travail (CNESST), formulaires d’assurances, nom, adresse complète, numéros de téléphone (fixe et cellulaire), date de naissance, NAS, courriel, numéro RAMQ, situation familiale, personne à charge, informations salariales, renseignements médicaux, antécédents médicaux, diagnostics médicaux, limitations fonctionnelles, taille, poids, habitudes de consommation, factures remboursées dans le cadre d’un programme lié au mieux-être, etc.
La réponse est oui. Les renseignements concernant une entreprise constituée en personne morale (ex. : nom, adresse, numéro de téléphone, nature des activités) ne sont pas assujettis à la Loi 25.
De même, depuis le 22 septembre 2023, les renseignements d’une personne qui exerce une fonction au sein d’une entreprise, tels que son nom, son titre, sa fonction, son adresse, son numéro de téléphone et l’adresse de courrier électronique de son lieu de travail ne sont pas assujettis à la Loi 25.
Ces personnes peuvent, notamment, être un·e dirigeant·e, un·e administrateur ou administratrice, ou un·e président·e d’entreprise.
C’est la Commission d’accès à l’information (CAI) qui est chargée d’appliquer la Loi.
