Contenu à ignorer

LOI 25

PROTECTION DES RENSEIGNEMENTS PERSONNELS

 

 

Protection des renseignements personnels en copropriété : implications pour le gestionnaire

Avec l’entrée en vigueur progressive de la Loi 25, amorcée en septembre 2022 et finalisée en septembre 2024, les gestionnaires de copropriété doivent désormais répondre à des exigences renforcées en matière de protection des renseignements personnels. La loi impose des obligations de transparence, de sécurité et de responsabilité, sous peine de sanctions financières et administratives. Il est donc essentiel pour les gestionnaires d’adopter des mesures concrètes pour protéger les renseignements des copropriétaires et se conformer aux nouvelles règles.

1. Désignation d’un responsable de la protection des renseignements personnels (RPRP)

Toute organisation doit désigner une personne responsable de la protection des renseignements personnels. Par défaut, il s’agit du plus haut dirigeant (ex. président du syndicat), mais ce rôle peut être délégué à une autre personne compétente (par exemple, le gestionnaire).

Implication pour le gestionnaire :
Le gestionnaire ou le syndicat doit désigner formellement un RPRP, et publier ses coordonnées sur demande. Cette personne veille à la conformité des pratiques, coordonne les actions et agit comme point de contact avec la CAI.

2. Obtenir un consentement éclairé

Le gestionnaire de copropriété doit obtenir le consentement manifeste, libre et éclairé des copropriétaires avant de collecter, utiliser ou communiquer leurs renseignements personnels. Ce consentement peut être implicite, lorsque la collecte est manifestement nécessaire à la gestion du dossier (ex. traitement des charges, appels de fonds).

Implication pour le gestionnaire :

  • Informer les copropriétaires des types de données collectées, des fins d’utilisation et de la durée de conservation.

  • Documenter le consentement (écrit ou implicite), et prévoir des mécanismes de révision périodique.

  • Expliquer clairement les droits des personnes (accès, rectification, retrait du consentement).

3. Limitation de la collecte des données (principe de minimisation)

La loi impose de ne collecter que les renseignements strictement nécessaires à la finalité poursuivie.

Implication pour le gestionnaire :

  • Ne pas collecter d’informations superflues (ex. données médicales ou familiales, sauf exception justifiée).

  • Réviser périodiquement les formulaires, processus et fichiers pour s’assurer de leur conformité.

4. Sécurité des renseignements personnels

Les gestionnaires doivent mettre en place des mesures de sécurité proportionnées à la sensibilité des données pour prévenir les pertes, accès non autorisés ou fuites.

Implication pour le gestionnaire :

  • Sécuriser les données électroniques (ex. pare-feu, chiffrement, gestion des accès).

  • Protéger les documents physiques (armoires verrouillées, accès restreint).

  • Prévoir des procédures de destruction sécurisée des données devenues inutiles.

5. Droit d’accès, de rectification et de retrait du consentement

Les copropriétaires peuvent demander à consulter leurs renseignements personnels, les faire corriger ou retirer leur consentement (dans la mesure où cela est possible légalement).

Implication pour le gestionnaire :

  • Mettre en place un processus clair de demande d’accès ou de modification.

  • Répondre dans un délai raisonnable, généralement 30 jours.

  • Conserver un registre des demandes reçues et des actions prises.

6. Conservation limitée et suppression des données

Les renseignements personnels doivent être conservés uniquement pour la durée nécessaire aux fins prévues. Au-delà, ils doivent être détruits ou anonymisés.

Implication pour le gestionnaire :

  • Définir une politique de conservation selon le type de document (ex. 7 ans pour documents comptables).

  • Établir un calendrier de suppression automatisée ou manuelle.

  • S’assurer que la destruction est complète (papier broyé, fichiers supprimés de manière sécurisée).

7. Notification en cas d’incident de confidentialité

Tout incident présentant un risque de préjudice sérieux (ex. fuite de données) doit être déclaré à la Commission d’accès à l’information (CAI) et aux personnes concernées, dans un délai raisonnable (idéalement sous 72 heures).

Implication pour le gestionnaire :

  • Prévoir un protocole clair de détection, d’analyse et de réponse aux incidents.

  • Tenir un registre de tous les incidents, même mineurs.

  • Documenter les mesures prises pour limiter les impacts et prévenir la répétition.

8. Évaluation des facteurs relatifs à la vie privée (ÉFVP)

Avant de mettre en œuvre un projet technologique impliquant des données personnelles (ex. caméras de surveillance, nouvelle plateforme de gestion), une ÉFVP peut être requise.

Implication pour le gestionnaire :

  • Évaluer les risques pour la vie privée avant d’adopter un nouveau système.

  • Adapter le projet pour atténuer ces risques.

  • Conserver un rapport d’évaluation documentant les décisions prises.

9. Documentation et reddition de comptes (principe de responsabilité)

La Loi 25 impose de documenter les pratiques de gestion des données et de démontrer leur conformité en cas de vérification.

Implication pour le gestionnaire :

  • Élaborer une politique de confidentialité.

  • Tenir à jour les registres de consentement, de conservation, d’incidents, etc.

  • Prévoir des formations pour les employés ou collaborateurs concernés.

Conclusion

La Loi 25 impose aux gestionnaires de copropriété un nouveau standard de rigueur dans la gestion des renseignements personnels. Au-delà de la conformité légale, elle représente une occasion de renforcer la confiance des copropriétaires et de professionnaliser la gestion interne.

Une bonne gouvernance des données personnelles passe par des outils adaptés, des politiques claires, et une culture organisationnelle axée sur la transparence, la sécurité, et le respect de la vie privée.