9. Actions à poser pour la conformité à la Loi 25 (renseignements personnels)

9.1 Récapitulatif des changements législatifs relatifs à la protection des renseignements personnels

Voici les actions essentielles à poser, dans le cadre des activités de courtage immobilier, pour se conformer aux obligations en matière de la protection des renseignements personnels introduites par la Loi 25¹.

22 septembre 2022

► Désigner le Responsable de la protection des renseignements personnels et publier ses coordonnées sur le site Internet de l’agence ou du courtier exerçant à son compte.

► Gérer les incidents de confidentialité et tenir un registre des incidents de confidentialité.

• Mettre en place des mesures de sécurité pour prévenir ou limiter les conséquences d’un incident de confidentialité, par exemple :
  • faire l’inventaire des renseignements personnels détenus et évaluer leur sensibilité.
  • gérer les accès physique et informatique aux renseignements personnels détenus.
  • former le personnel.
  • établir des politiques et des directives internes pour assurer la confidentialité et l’intégrité des renseignements personnels.
  • assurer la destruction sécurisée des renseignements personnels en conformité avec les délais prévus par la loi.
  • établir des méthodes uniformisées de classement.
• Prévoir un plan de réponse et des directives internes en cas de survenance d’un incident de confidentialité.

22 septembre 2023

► Établir des politiques et des pratiques en matière de protection des renseignements personnels et publier sur le site Internet de l’information détaillée au sujet de ces politiques

• Faire l’inventaire des renseignements personnels détenus et évaluer leur sensibilité.
• Prévoir les rôles des membres du personnel impliqués dans le traitement des renseignements personnels.

► Établir les formules de consentement à la cueillette des renseignements personnels conformes à la loi

• Obtenir un consentement valide pour toutes les fins spécifiques pour lesquelles le renseignement personnel est recueilli.
• Présenter la demande de consentement distinctement des autres informations fournies (par exemple, sur une page distincte).
• Sur la formule de consentement, fournir les informations obligatoires prévues par la loi.
   

► Prévoir des bandeaux « cookies » sur le site Internet, le cas échéant.

► Publier une politique de confidentialité sur le site Internet.

► Prévoir une procédure interne de traitement des plaintes concernant la gestion des renseignements personnels

22 septembre 2024

► Prévoir que vos systèmes informatiques permettent de communiquer à la personne concernée un renseignement personnel la concernant dans un format technologique structuré et couramment utilisé.

¹ Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (LQ 2021, c. 25)

▲ Haut de page

9.1 Récapitulatif des changements législatifs à la protection des renseignements personnels

Voici les principaux changements introduits par la Loi 25 susceptibles d’avoir un impact sur la pratique du courtage immobilier.

22 septembre 2022

► Désignation d’un responsable de la protection des renseignements personnels au sein de l’agence

► Obligation de gérer et de dénoncer les incidents de confidentialité

• Procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques.

22 septembre 2023

► Obligation d'adopter des règles de gouvernance relatives à la protection des renseignements personnels, notamment une politique de confidentialité.

• Nouvelles informations obligatoires à divulguer lors de la cueillette des renseignements personnels, notamment quant au profilage (les « cookies »).
• Obligation de déterminer préalablement les fins spécifiques pour lesquelles la cueillette, des renseignements personnels est effectuée.
• Obligation de présenter la demande de consentement de façon distincte de toutes les autres informations communiquées et de fournir à la personne concernée les informations prescrites par la loi.

► Obligation de prêter assistance pour aider à la personne concernée de comprendre la portée du consentement.

• Caractère public des renseignements personnels qui concernent l’exercice d’une fonction au sein d’une agence par ses courtiers et ses employés, tels que leur nom, titre et fonction, de même que les adresses postale et électronique et le numéro de téléphone de leur lieu de travail.
• Obligation de procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) :
  • De tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation de services électroniques impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
  • Avant de communiquer des renseignements personnels sans le consentement des personnes concernées à l’extérieur du Québec (par exemple, l’hébergement des renseignements personnels sur les serveurs situés à l’extérieur du Québec).

► Obligation de détruire les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis ont été atteintes, sous réserve des délais prévus par la loi¹.

► Interdiction de communiquer des listes nominatives sans le consentement des clients et ajout d'un droit de refus à l'utilisation des renseignements personnels à des fins de prospection commerciale.

► Augmentation considérable des amendes pénales imposées par la Commission d’accès à l’information (CAI) et ajout des sanctions administratives pécuniaires.

NOTE : Une ÉFVP consiste essentiellement à i) évaluer la conformité du projet au regard des lois sur la protection des renseignements personnels; ii) identifier les risques du projet sur la vie privée des personnes concernées; iii) mettre en place des mesures pour éviter ces risques ou les réduire.

¹ Art. 17 du Règlement sur les dossiers, livres et registres, la comptabilité en fidéicommis et l’inspection des courtiers et des agences (c. C-73.2, r. 4 : « 17. Le titulaire de permis doit conserver les registres et les dossiers pendant au moins 6 ans suivant leur fermeture définitive. À moins qu’ils ne constituent un élément de preuve dans le cadre d’une poursuite civile, disciplinaire, pénale ou criminelle, ces registres et ces dossiers peuvent par la suite être détruits. »

22 septembre 2024

► Droit de l’individu à la portabilité de ses données, soit le droit d’obtenir auprès d’une entreprise les renseignements personnels informatisés qu’il lui a fournis, dans un format technologique structuré et couramment utilisé¹. Ce droit permet à une personne d’avoir le meilleur contrôle sur ses renseignements personnels. 

Les renseignements personnels en format papier ne sont pas visés par ce droit. Ne sont pas visés non plus les renseignements créés à partir des renseignements fournis par l’individu (par exemple, un profil créé à partir de l’analyse des activités d’une personne sur le Web). La personne peut également demander à l’entreprise de communiquer ses renseignements informatisés à un tiers de son choix. Le gouvernement du Québec considère que le format est « structuré et couramment utilisé » lorsque les logiciels d’usage courant peuvent facilement reconnaître et extraire les informations qui y sont contenues (par exemple, les formats ouverts de type CSV, XML ou JSON). Un format difficile à traiter, comme une image ou un PDF, n’est pas considéré comme étant « structuré et couramment utilisé »².

¹ Art. 3.3 de la Loi sur le secteur privé.
² www.quebec.ca, Accès aux renseignements personnels.
 

▲ Haut de page