La loi 25 impose de nouvelles obligations aux organisations en matière de protection des données et renseignements personnels des citoyens. Du travail est à prévoir du côté des services de ressources humaines... Nos explications et conseils pratiques.                 

Pourquoi cette loi 25 concerne-t-elle particulièrement les services des ressources humaines (RH)? Parce que celles-ci détiennent de nombreux renseignements personnels sur les employés, des informations qui doivent impérativement être protégées.

En soutien au personnel des RH et à la personne responsable de la protection des renseignements personnels qui collaborera avec ce département, voici les trois principales procédures qu’il y a à mettre en place pour respecter les nouvelles dispositions législatives (en complément de notre article «Se conformer à la loi 25 : ce que chaque entreprise doit mettre en place»).

Avant d’en arriver à ces procédures, voyons d’abord ce qu’est un renseignement personnel.

Qu’est-ce qu’un renseignement personnel?

Selon la Commission d’accès à l’information du Québec, «les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Ils sont confidentiels. Sauf exceptions, ils ne peuvent être communiqués sans le consentement de la personne concernée.»

Tableau des principaux renseignements personnels

Renseignements personnels évidents Renseignements personnels moins évidents
    Nom et prénom   Géolocalisation
    Adresse courriel   Situation familiale
    Date de naissance   Nationalité
    Adresse postale   Renseignements financiers
    Numéro de téléphone   Renseignements médicaux
    Numéro de carte de crédit   Niveau d’éducation
    Numéro d’assurance sociale   Habitudes de consommation
    Numéro de passeport   Numéro de membre

 

Procédure d’inventaire des renseignements personnels

Depuis septembre 2022, la loi 25 exige que les entreprises répertorient les renseignements personnels qu’elles détiennent. Ce n’est pas fait de votre côté? Pas de panique! Suivez simplement cette procédure en sept étapes.

  1. Faites l’inventaire des renseignements personnels.

Dans un fichier Word ou Excel, inscrivez les différents types d’informations personnelles que vous détenez. Créez un fichier ou un onglet (dans le cas d’un fichier Excel), par exemple :

  • Direction
  • Employés
  • Clients
  1. Évaluez le niveau de confidentialité des renseignements personnels (faible, moyen ou élevé).
  2. Déterminez les lieux où sont conservés les renseignements personnels (logiciels et applications).
  3. Réévaluez la collecte des renseignements personnels.

C’est ici qu’il y a lieu de détailler la raison pour laquelle vous collectez chaque donnée, afin de confirmer s’il est nécessaire de la recueillir – et, donc, de la conserver – ou pas.

  1. Indiquez les délais de conservation.
  2. Déterminez qui a accès aux renseignements personnels.
  3. Inscrivez les mesures de sécurité propres aux applications et aux logiciels où sont conservés les renseignements personnels.

 

Exemple d’un tableau d’inventaire de renseignements personnels :

Employés            
Type de renseignement Sensibilité du renseignement personne Pourquoi ce renseignement? Délai de conservation Qui a accès à ce renseignement? Protection actuelle
Numéro d’assurance sociale Élevé Acomba Pour les payes 6 ans après le départ de l’employé Équipe des ressources humaines Mot de passe robuste et unique avec double facteur d’identification

 

Procédures de conservation, de destruction et d’anonymisation des renseignements personnels

Dans une telle politique, vous devez déterminer le délai de conservation de chaque renseignement collecté et ce qui se passe après ce laps de temps : la destruction ou l’anonymisation.

Il est facile de comprendre en quoi consiste la destruction : vous éliminez le renseignement personnel et vous vous en débarrassez, tout simplement.

L’anonymisation, c’est rendre anonyme un renseignement de la même nature. Pour que celui-ci soit considéré comme «anonymisé» au sens de la loi, il ne doit plus permettre d’identifier directement ou indirectement une personne physique, et ce, de manière irréversible.

Vous devez garder en tête que l’anonymisation doit être réalisée avec l’objectif d’utiliser les renseignements réduits à cet état pour des fins sérieuses et légitimes. Ce choix ne sera donc possible qu’avec une raison qui le justifie.

Par exemple :

Type de renseignement

 Délai de conservation Après le délai de conservation
Numéro d’assurance sociale

 

7 ans après le départ de l’employé

 

Destruction
Adresse complète 7 ans après le départ de l’employé

Anonymisation

Exemple : ne conserver que le code postal plutôt que l’adresse complète

 

Procédure de gestion du personnel

Le but de cette politique est d’établir une liste de contrôle au sein de l’entreprise pour encadrer l’arrivée, le départ ou le changement de poste d’un employé.

Chaque liste peut prendre la forme d’un tableau, selon les informations utiles à une entreprise.  

Voici un exemple de tableau à utiliser pour le départ d’un employé :

Benoit Gauthier, responsable des réseaux sociaux
À faire État
Rédiger une lettre de remerciements Fait
Récupérer les appareils À faire
Transférer le numéro de téléphone Fait
Transférer l’adresse courriel Fait
Révoquer les accès suivants :  
Courriel
À faire
Facebook À faire
LinkedIn À faire
Instagram À faire

Note importante : avec la loi 25, il est recommandé d’ajouter une clause au contrat d’embauche qui mentionne qu’à la signature de ce document, l’employé consent à ce que l’entreprise utilise ses renseignements personnels selon la politique de protection des renseignements personnels (politique que le travailleur en question pourra consulter sur le site web de l’entreprise).

Vous connaissez maintenant les bases qui vous permettront de débuter votre processus de mise en conformité aux nouvelles dispositions législatives en matière de protection des renseignements personnels.

Pour en savoir plus et profiter d’un accompagnement

www.cy-clic.com

Pour aller plus loin

Lisez aussi notre article «Se conformer à la loi 25 : ce que chaque entreprise doit mettre en place»