La loi 25 et les RH : les 3 principales procédures à mettre en place
2024-01-15
French
https://www.revuegestion.ca/la-loi-25-et-les-rh-les-3-principales-procedures-a-mettre-en-place
2024-01-16
La loi 25 et les RH : les 3 principales procédures à mettre en place
Technologie , Ressources humaines , Gestion des risques
La loi 25 impose de nouvelles obligations aux organisations en matière de protection des données et renseignements personnels des citoyens. Du travail est à prévoir du côté des services de ressources humaines... Nos explications et conseils pratiques.
Pourquoi cette loi 25 concerne-t-elle particulièrement les services des ressources humaines (RH)? Parce que celles-ci détiennent de nombreux renseignements personnels sur les employés, des informations qui doivent impérativement être protégées.
En soutien au personnel des RH et à la personne responsable de la protection des renseignements personnels qui collaborera avec ce département, voici les trois principales procédures qu’il y a à mettre en place pour respecter les nouvelles dispositions législatives (en complément de notre article «Se conformer à la loi 25 : ce que chaque entreprise doit mettre en place»).
Avant d’en arriver à ces procédures, voyons d’abord ce qu’est un renseignement personnel.
Qu’est-ce qu’un renseignement personnel?
Selon la Commission d’accès à l’information du Québec, «les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Ils sont confidentiels. Sauf exceptions, ils ne peuvent être communiqués sans le consentement de la personne concernée.»
Tableau des principaux renseignements personnels
Renseignements personnels évidents | Renseignements personnels moins évidents |
Nom et prénom | Géolocalisation |
Adresse courriel | Situation familiale |
Date de naissance | Nationalité |
Adresse postale | Renseignements financiers |
Numéro de téléphone | Renseignements médicaux |
Numéro de carte de crédit | Niveau d’éducation |
Numéro d’assurance sociale | Habitudes de consommation |
Numéro de passeport | Numéro de membre |
Procédure d’inventaire des renseignements personnels
Depuis septembre 2022, la loi 25 exige que les entreprises répertorient les renseignements personnels qu’elles détiennent. Ce n’est pas fait de votre côté? Pas de panique! Suivez simplement cette procédure en sept étapes.
- Faites l’inventaire des renseignements personnels.
Dans un fichier Word ou Excel, inscrivez les différents types d’informations personnelles que vous détenez. Créez un fichier ou un onglet (dans le cas d’un fichier Excel), par exemple :
- Direction
- Employés
- Clients
- Évaluez le niveau de confidentialité des renseignements personnels (faible, moyen ou élevé).
- Déterminez les lieux où sont conservés les renseignements personnels (logiciels et applications).
- Réévaluez la collecte des renseignements personnels.
C’est ici qu’il y a lieu de détailler la raison pour laquelle vous collectez chaque donnée, afin de confirmer s’il est nécessaire de la recueillir – et, donc, de la conserver – ou pas.
- Indiquez les délais de conservation.
- Déterminez qui a accès aux renseignements personnels.
- Inscrivez les mesures de sécurité propres aux applications et aux logiciels où sont conservés les renseignements personnels.
Exemple d’un tableau d’inventaire de renseignements personnels :
Employés | ||||||
Type de renseignement | Sensibilité du renseignement personne | Où | Pourquoi ce renseignement? | Délai de conservation | Qui a accès à ce renseignement? | Protection actuelle |
Numéro d’assurance sociale | Élevé | Acomba | Pour les payes | 6 ans après le départ de l’employé | Équipe des ressources humaines | Mot de passe robuste et unique avec double facteur d’identification |
Procédures de conservation, de destruction et d’anonymisation des renseignements personnels
Dans une telle politique, vous devez déterminer le délai de conservation de chaque renseignement collecté et ce qui se passe après ce laps de temps : la destruction ou l’anonymisation.
Il est facile de comprendre en quoi consiste la destruction : vous éliminez le renseignement personnel et vous vous en débarrassez, tout simplement.
L’anonymisation, c’est rendre anonyme un renseignement de la même nature. Pour que celui-ci soit considéré comme «anonymisé» au sens de la loi, il ne doit plus permettre d’identifier directement ou indirectement une personne physique, et ce, de manière irréversible.
Vous devez garder en tête que l’anonymisation doit être réalisée avec l’objectif d’utiliser les renseignements réduits à cet état pour des fins sérieuses et légitimes. Ce choix ne sera donc possible qu’avec une raison qui le justifie.
Par exemple :
Type de renseignement |
Délai de conservation | Après le délai de conservation |
Numéro d’assurance sociale |
7 ans après le départ de l’employé |
Destruction |
Adresse complète | 7 ans après le départ de l’employé |
Anonymisation Exemple : ne conserver que le code postal plutôt que l’adresse complète |
Procédure de gestion du personnel
Le but de cette politique est d’établir une liste de contrôle au sein de l’entreprise pour encadrer l’arrivée, le départ ou le changement de poste d’un employé.
Chaque liste peut prendre la forme d’un tableau, selon les informations utiles à une entreprise.
Voici un exemple de tableau à utiliser pour le départ d’un employé :
Benoit Gauthier, responsable des réseaux sociaux | |
À faire | État |
Rédiger une lettre de remerciements | Fait |
Récupérer les appareils | À faire |
Transférer le numéro de téléphone | Fait |
Transférer l’adresse courriel | Fait |
Révoquer les accès suivants : | |
Courriel | À faire |
À faire | |
À faire | |
À faire |
Note importante : avec la loi 25, il est recommandé d’ajouter une clause au contrat d’embauche qui mentionne qu’à la signature de ce document, l’employé consent à ce que l’entreprise utilise ses renseignements personnels selon la politique de protection des renseignements personnels (politique que le travailleur en question pourra consulter sur le site web de l’entreprise).
Vous connaissez maintenant les bases qui vous permettront de débuter votre processus de mise en conformité aux nouvelles dispositions législatives en matière de protection des renseignements personnels.
Pour en savoir plus et profiter d’un accompagnement
Pour aller plus loin
Lisez aussi notre article «Se conformer à la loi 25 : ce que chaque entreprise doit mettre en place»
Technologie , Ressources humaines , Gestion des risques