5 mai 2023

Loi 25 : Protection des renseignements personnels en copropriété

Loi 25 : Protection des renseignements personnels en copropriété

La protection des données personnelles est devenue une préoccupation majeure dans notre société. Avec l'entrée en vigueur de la loi 25 au Québec, les syndicats de copropriété doivent désormais respecter des obligations strictes en matière de protection des données personnelles de leurs copropriétaires et occupants.

Il est donc crucial que votre syndicat soit prêt à faire face à ces nouvelles exigences. Avez-vous mis en place les mesures nécessaires pour assurer la protection des données personnelles ? Avez-vous révisé vos politiques de confidentialité en vue de ces nouvelles réglementations ?

Cet article vise à vous accompagner dans la compréhension et la préparation de ces nouvelles règlementations.

Qu’est-ce qu’un renseignement personnel ?

Selon la définition donnée par la loi, tout renseignement permettant d'identifier directement ou indirectement une personne physique est considérée comme étant un renseignement personnel. Cela inclut des informations telles que le nom, le prénom, l'adresse physique et courriel, la date de naissance, le numéro de compte, etc.

Comment est-ce que la loi 25 impacte le syndicat de copropriété ?

La loi 25 a un impact significatif sur les syndicats de copropriété en matière de protection des données personnelles. Elle impose des obligations strictes quant à la collecte, la conservation, la communication et la sécurité des données personnelles des copropriétaires et des occupants.

Le syndicat doit s'assurer de protéger les données personnelles en mettant en place des mesures de sécurité appropriées. Il doit également réviser ses politiques de confidentialité et obtenir le consentement éclairé des copropriétaires et occupants pour la collecte et le traitement de leurs données personnelles.

En vertu de l'article 1070 de la loi sur la copropriété, « le syndicat est tenu de tenir à la disposition des copropriétaires un registre contenant le nom et l'adresse de chaque copropriétaire et de chaque locataire, les procès-verbaux des assemblées générales des copropriétaires et du conseil d’administration, ainsi que les états financiers ». Ces informations personnelles doivent donc être recueillies, mais les syndicats doivent quand même respecter les obligations de la loi 25.

En ce sens, le syndicat peut conserver le nom et l’adresse puisqu’il s’agit d’information publiée publiquement. Ces informations ne sont donc pas considérées confidentielles. Cependant, si le syndicat souhaite collecter d'autres informations, telles que des coordonnées bancaires, courriels ou des numéros de téléphone, qui ne sont pas obligatoires en vertu de la loi, le consentement de la personne concernée est requis.

 

Notion de consentement

Toute collecte ou traitement de renseignement repose sur le consentement. Sans celui-ci, l’action de collecter serait considérée inappropriées ou illégales.

Non seulement la personne doit consentir à la collecte ou le traitement de leur information, celle qui donne ses renseignements doit aussi être informée des fins visées par sa collecte. Les finalités pour lesquelles ses informations ont été recueillis ne peuvent être changées, modifiées ou altérées en cours de route sans avoir obtenu l’accord de la personne. Elle doit aussi être informée de son droit de retirer son consentement à tout moment.

 

Obligations du syndicat  

La Loi 25 a débuté sa première phase le 22 septembre 2022, et elle impose certaines obligations aux entités concernées.

Parmi ces obligations, il y a trois exigences importantes à noter par le syndicat :

1. L’obligation de désigner un responsable de la protection des renseignements personnels (RPRP).

2. L’obligation de notifier la Commission d'accès à l'information et les personnes concernées en cas d'incident de confidentialité présentant un risque de préjudice sérieux pour ces dernières.

3. Répondre, par écrit, dans un délai de 30 jours, à une personne qui fait une demande d’exercer ses droits par rapport à ses renseignements personnels. Par exemple, un copropriétaire peut demander l’accès aux renseignements personnels qui sont conservés par le syndicat ainsi que demander que les informations non-obligatoires au registre (nom et adresse postale) soient limitées à ce qui est nécessaire.

Il est à noter qu’il y aura des phases subséquentes à la loi 25. Ces phases porteront sur d'autres aspects de la gouvernance et de la gestion des données sensibles. Il sera important pour votre syndicat de demeurer à l’affût de ces nouvelles exigences.

  

Quelles sont les responsabilités du Responsable de la protection des renseignements personnels ?

Le responsable de la protection des renseignements personnels (LPRPSP) doit obligatoirement être désigné par le syndicat afin d'assurer le respect et la mise en œuvre de laLPRPSP.

Le RPRP est le point de contact principal avec la Commission d'accès à l'information et en l'absence de désignation, la personne ayant la plus haute autorité devient automatiquement RPRP.  Dans le cas d’un syndicat de copropriété, le Président deviendrait, de facto, le LPRPSP.

Notez que cette fonction peut être déléguée à un membre du conseil d’administration, mais il est recommandé que la personne nommée ait une connaissance approfondie du syndicat, des renseignements personnels qui y sont recueillis et du traitement qui en est fait. Le RPRP est chargé de veiller à ce que les obligations en vertu de la protection des renseignements soient respectées et mises en œuvre.

 

Quoi faire s’il y a une fuite de données personnelles ?

En cas de violation de données personnelles, les syndicats de copropriété doivent en informer sans délai le Commissariat à la protection de la vie privée du Québec ainsi que les membres concernés. La notification doit comprendre une description de la nature de la violation, des mesures prises pour y remédier et des recommandations pour les personnes concernées.

 

Notion de responsabilité envers des tierces parties

Les syndicats de copropriété peuvent également être tenus responsables de la violation de données personnelles commise par un sous-traitant. Dans ce cas, ils doivent s'assurer que leurs sous-traitants respectent également les obligations de la loi 25 en matière de protection des données personnelles. Rappelez-vous que :

  • Les syndicats de copropriété doivent choisir soigneusement leurs sous-traitants et s'assurer qu'ils respectent les obligations de la loi 25 en matière de protection des données personnelles.
  • Ils doivent également inclure des clauses spécifiques dans les contrats avec les sous-traitants, les engageant à respecter les obligations de la loi 25 en matière de protection des données personnelles.
  • En cas de violation de données personnelles commise par un sous-traitant, les syndicats de copropriété peuvent être tenus responsables et doivent être en mesure de prouver qu'ils ont pris les mesures nécessaires pour prévenir la violation

Cet article ne contient pas une liste exhaustive des changements à venir pour les syndicats de copropriété, mais vise à donner un aperçu des modifications qui pourraient avoir un impact significatif sur les pratiques en tant qu'administrateurs de votre copropriété. Pour toute question sur la façon dont ces dispositions s’appliquent à votre syndicat de copropriété, nous vous invitons à consulter la Commission d’accès à l’information.

L'Équipe Regisco

Consultez nos articles .

Demande d'information

Merci! Nous avons bien reçu votre demande.
Oops! Something went wrong while submitting the form.