Checklist de conformité à loi 25 pour dossier d’employés

La Loi 25 modernise en profondeur la protection des renseignements personnels au Québec. Elle s’applique à toutes les organisations, qu’elles soient publiques ou privées, dès qu’elles collectent, utilisent, conservent ou communiquent des informations permettant d’identifier une personne.

Son objectif est simple, protéger la vie privée en imposant des obligations plus strictes. Concrètement, la loi exige des organisations une plus grande transparence, l’obtention d’un consentement clair lorsque nécessaire, la mise en place de mesures de sécurité solides et la nomination d’un responsable de la protection des renseignements personnels.

Dans un contexte RH ou de gestion d’employés, la Loi 25 sert à renforcer la sécurité des dossiers, clarifier les responsabilités internes et réduire les risques juridiques ou réputationnels liés à un incident de confidentialité. Elle exige aussi que les flux de données, y compris ceux qui transitent via des outils numériques, soient encadrés et proportionnés.

La Loi 25 couvre tout renseignement qui permet directement ou indirectement d’identifier un employé. Cela inclut notamment :

• Nom, prénom, adresse, numéro de téléphone, courriel.
• Date de naissance, numéro d’assurance sociale, numéro de permis de conduire ou d’assurance maladie.
• Dossiers d’embauche, CV, évaluations, mesures disciplinaires.
• Informations bancaires pour la paie.
• Données de connexion ou métadonnées d’utilisation si l’entreprise utilise des outils numériques internes.
• Certains renseignements de santé liés au travail, lorsque permis et strictement nécessaires.

L’employeur doit s’assurer que ces renseignements sont collectés uniquement pour des fins légitimes, protégés adéquatement et accessibles seulement aux personnes autorisées. Les dossiers de santé restent encadrés par des lois spécifiques, ce qui limite encore plus leur accès.

Pour se conformer, un employeur doit :

1. Identifier et inventorier toutes les informations personnelles collectées.
2. Limiter la collecte aux renseignements strictement nécessaires.
3. Sécuriser les données avec des mesures techniques et organisationnelles adaptées.
4. Obtenir un consentement éclairé lorsque requis et informer les employés de l’usage de leurs données.
5. Nommer un responsable de la protection des renseignements personnels et publier ses coordonnées.
6. Mettre en place des pratiques de conservation et de destruction claires.
7. Former et sensibiliser les personnes qui manipulent ces informations.

Ces étapes permettent de réduire les risques juridiques et de protéger la vie privée des employés.

Les organisations qui ne respectent pas la Loi 25 s’exposent à des conséquences importantes.

• Sanctions financières : La loi prévoit des amendes pouvant atteindre plusieurs millions de dollars selon la nature et la gravité des infractions. Ces sanctions augmentent lorsqu’il y a négligence ou manquement répété.
• Responsabilité civile : Un employé peut exercer un recours si la mauvaise gestion de ses renseignements cause un préjudice, surtout en cas d’incident de confidentialité.
• Impacts opérationnels et réputationnels : En plus des coûts juridiques, les atteintes à la vie privée peuvent éroder la confiance des employés, fragiliser le climat interne et nuire à la réputation de l’organisation.

L’organisme qui surveille le tout au Québec, soit la Commission d’accès à l’information (CAI), peut exiger que l’entreprise corrige ses pratiques, par exemple en renforçant sa sécurité, en mettant à jour ses politiques ou en formant son personnel. En bref, elle peut obliger l’organisation à faire les changements nécessaires pour devenir conforme.