Impacts de la Loi 25 sur les RH : entrevue avec CODE3

  • Post category:Articles Kolegz
  • Reading time:20 mins read

On a posé 11 questions entourant la Loi 25 d’un point de vue d’une professionnelle en ressources humaines à Jacques Berger, Directeur général de la coopérative spécialisée en TI CODE3. Jacques est un client de Kolegz depuis de nombreuses années. Nous le remercions pour sa confiance et ses réponses riches et généreuses!

Cliquez sur une question pour lire la réponse

  1. Peux-tu nous vulgariser la Loi 25 en quelques mots?
  2. Quels sont les impacts sur les références?
  3. Quelles sont les meilleures pratiques à adopter pour les références?
  4. Les entrées en vigueur de cette loi ont été morcelées en plusieurs étapes. Peux-tu nous les expliquer brièvement ainsi que leur date?
  5. Qu’en est-il de la Loi anti-pourriels?
  6. Qu’en est-il des entreprises qui utilisent le remarketing pour cibler des candidats?
  7. Comment peut-on s’assurer d’être bien conforme à la Loi 25 dans son recrutement?
  8. Dans les moments-clés de l’expérience employé, sur quoi faut-il être vigilant?
  9. Pour les clients qui ont un fournisseur de SIRH (système intégré de ressources humaines) et/ou ATS (Applicant Tracking System), quelles sont les questions à lui poser pour s’assurer qu’il est bien conforme à la Loi 25?
  10. En cas d’incident, qui est responsable? Le fournisseur de SIRH/ATS ou l’employeur?
  11. Outre les SIRH/ATS, y a-t-il d’autres outils avec lesquels il faut être particulièrement vigilant?

1. Peux-tu nous vulgariser la Loi 25 en quelques mots? De manière concrète, comment impacte-t-elle les pratiques de ressources humaines?

La Loi 25 sert à définir ce qui est considéré comme un renseignement personnel et elle encadre également ce qu’il est permis de faire avec ces renseignements. En résumé, on balise l’information que l’on conserve, qui doit y avoir accès, à qui on peut la communiquer et combien de temps on doit la garder.

De manière concrète, ça impacte toutes les pratiques RH, car les données RH contiennent des renseignements personnels qui sont soumis à cette loi. Tout comme les noms, prénoms et adresses courriels, les données de salaire, les résultats d’évaluation de performance, un plan de développement ou encore un  CV sont des renseignements personnels à protéger.

Le plus critique au niveau des RH, c’est de s’assurer qu’uniquement les gens ayant besoin de ces données pour leurs fonctions y aient accès. Fini le temps où l’on pouvait passer le CV d’un candidat à une équipe au complet pour en discuter. Les données RH sont moins souvent communiquées en dehors de l’entreprise, mais si c’est le cas, la loi explique quand un consentement est nécessaire.

Une autre pratique directement touchée par la Loi 25 et qui peut concerner tous les employés, notamment les gestionnaires, c’est le processus de référencement. Par exemple, si je suis l’ancien gestionnaire d’un employé de CODE3 et qu’il cite mes coordonnées dans son processus d’embauche avec une autre entreprise, je dois, en tant que référence, demander un consentement explicite à l’ancien employé avant de parler avec l’employeur potentiel.

2. En général, les références apparaissent soit d’emblée sur le CV, ou bien on y lit la mention « Référence sur demande ». Dans ce dernier cas, le futur employeur demande une liste de références à son candidat. Dans ces deux cas de figure, n’y a-t-il pas « consentement tacite » du candidat? Demander une liste de références au candidat ou la lire sur un CV n’est-il pas suffisant? Faut-il une preuve écrite qu’il nous autorise à contacter ses références?

Question complexe, alors un cas pratique s’impose! Imaginons un scénario avec les personnages suivants :

  • Amélie : Recruteuse dans une firme informatique
  • Yasmine : Candidate
  • Jacques : Ex-employeur de Yasmine, référence de Yasmine

Yasmine peut donner son CV à Amélie en mentionnant Jacques comme référence (avec courriel et numéro de téléphone). Yasmine est une personne, pas une entreprise du secteur privé, la Loi 25 ne s’applique pas à elle directement.

En recevant le CV de Yasmine, Amélie a maintenant les données personnelles de Yasmine, mais aussi celles de Jacques. Si Amélie se fait voler une version imprimée du CV, elle doit communiquer l’incident à Yasmine et Jacques (et au gouvernement). Amélie ne peut pas donner le CV à une collègue dans une autre firme sans le consentement de Yasmine et Jacques.

Si Jacques n’était pas consentant à servir de référence pour Yasmine, ce n’est pas une violation de la Loi 25, car Yasmine n’est pas une entreprise.

Par contre, si Amélie appelle Jacques pour avoir des détails sur Yasmine, c’est évident ici que Yasmine consent à ce que Jacques réponde aux questions d’Amélie. Là où c’est délicat, c’est si Jacques n’est pas au courant qu’il est la référence de Yasmine. On s’entend, Yasmine ne devrait pas utiliser et communiquer les informations de Jacques sans son accord, mais ça arrive très souvent. Ceci n’est pas une violation de la Loi 25 mais c’est moralement discutable quand même.

3. Et si, en tant que référence, on reçoit un appel ou une demande par courriel de référence, quelles sont les meilleures pratiques à adopter?

Si Jacques reçoit un appel d’Amélie et qu’il ne sait pas qu’il est la référence de Yasmine, le bon comportement ici serait qu’il contacte Yasmine pour lui demander son accord avant de répondre à Amélie. Jacques doit avoir ce consentement car il représente une entreprise.

4. Les entrées en vigueur de cette loi ont été morcelées en plusieurs étapes. Peux-tu nous les expliquer brièvement ainsi que leur date?

C’est morcelé, je crois, dans le but de rendre la loi plus facile à adopter graduellement, même si à l’évidence, un effort supplémentaire dans la communication de cette loi serait nécessaire. Elle s’applique à toutes les entreprises du Québec, mais beaucoup d’entrepreneurs ne connaissent pas l’existence de cette loi malheureusement.

Voici donc un récapitulatif des dates clés d’entrée en vigueur :

22 septembre 2022 : Depuis septembre dernier, la loi est en application et les incidents d’atteintes à la confidentialité doivent être communiqués aux personnes concernées et au gouvernement. Une personne désignée doit être responsable de la confidentialité des données dans chaque entreprise au Québec. Il y a de nouvelles règles sur le consentement dans les cas d’échanges de données entre organisation.

22 septembre 2023 : Le plus gros de la Loi 25 se passera en septembre prochain :

  • Il faut une politique de gouvernance pour les renseignements personnels (qui peut être rédigée par des firmes spécialisées telles que CODE3).
  • Il faut aussi communiquer cette politique à l’interne comme à l’externe (par exemple en la publiant sur son site web).
  • Il y a de nouvelles règles sur le consentement des individus sur leurs renseignements personnels.
  • Les données doivent être détruites ou anonymisées après l’atteinte de leur objectif.
  • Il y a de nouvelles règles sur l’utilisation des renseignements personnels et les droits d’accès.

22 septembre 2024 : Le dernier point c’est la portabilité. Il faut être capable d’exporter les données d’une personne dans un format lisible par un humain.

À titre de référence, ce guide est fantastique.

5. Dans certaines conversations avec nos clients sur la Loi 25, on nous reparle parfois de la loi anti-pourriels qui entoure le consentement des utilisateurs pour les envois massifs de sollicitation commerciale. Y a-t-il des liens entre ces deux lois?

Ce sont des choses différentes. Pour les courriels, c’est une règle contre le spam. On doit pouvoir se retirer des envois de sollicitation massif. La Loi 25 viendrait plutôt encadrer l’échange des listes de courriels entre les organisations. Ça deviendrait interdit de vendre une liste courriels sans consentement explicite de toutes les personnes dans la liste.

6. Toujours au niveau marketing RH, qu’en est-il des entreprises qui utilisent le remarketing pour cibler des candidats (envoi de publicité aux visiteurs du site web ou à ceux qui ont consulté les offres d’emploi par exemple)?

Au niveau TI, ces fonctionnalités utilisent souvent des traceurs ou de la géolocalisation et ces deux fonctionnalités doivent être activées seulement avec le consentement de la personne. En effet, maintenant, il faut demander la permission avant de savoir d’où provient une personne. Ceci aura un impact important en marketing chez les utilisateurs de Google Analytics.

7. Comment peut-on s’assurer d’être bien conforme à la Loi 25 dans son recrutement (stockage d’informations personnelles lors du dépôt de candidature, entrevues et échanges avec les candidats, signature du contrat et de l’offre d’emploi, etc.)?

Pour les données RH, les plus grands enjeux sont l’accès aux documents et la destruction de ceux-ci. Une procédure devrait exister encadrant les différents types de documents RH (et autres) et les moments-clés auxquels les détruire (par exemple, détruire un CV un an après la candidature ou le dossier d’anciens employés sept ans après leur départ). Dans le temps où cette information reste stockée, il faut aussi contrôler qui peut accéder à ces documents.

Avoir une pile de CV imprimés sur son bureau accessible à tous, ça ne fonctionne plus! Un CV imprimé ne doit pas être jeté au recyclage ou à la poubelle non plus, il doit être déchiqueté… et c’est encore mieux s’il n’est jamais imprimé!

Il est à noter que la Loi 25 ne précise pas de durée de stockage des informations. Il revient à l’entreprise d’en décider et de le préciser dans ses politiques.

Par exemple, si l’entreprise garde un CV dans sa banque pendant 3 ans, le candidat doit être au courant avant de donner son CV. Il donne ainsi son CV en connaissance de cause, donc il consent à la durée de stockage de l’information. Pour le dossier d’un ancien employé, j’ai mis sept ans dans l’exemple ci-dessus juste à cause des impôts, mais ce n’est pas une exigence de la Loi 25.

Si on veut garder les données éternellement, alors il faut le préciser aussi, mais personnellement je ne prendrais pas ce risque.

La chose importante à comprendre avec cette loi c’est qu’on a intérêt à conserver le moins de données personnelles possibles dans le temps. Plus on conserve des données, plus c’est risqué.

8. Dans les moments-clés suivants de l’expérience employé, sur quoi faut-il être vigilant pour s’assurer d’être conforme à la Loi 25 :

  • Stockage des informations personnelles dans un à plusieurs logiciels reliés aux RH

Le stockage doit être fait dans une plateforme qui permet de gérer l’accès à l’information ou avec un mécanisme d’authentification qui permet de contrôler à qui on donne accès à la plateforme. On évite d’avoir un seul compte partagé dans toute l’équipe, car ces comptes sont plus difficiles à gérer quand une personne de l’équipe quitte l’entreprise.

Il faut aussi s’assurer que le fournisseur qui gère la plateforme ou la compagnie qui développe la plateforme ait une politique de confidentialité qui est aussi ou plus sévère que la vôtre.

Une attention particulière à la localisation des données : si l’hébergement des données sort du Québec ou du Canada, la Loi 25 s’applique quand même.

  • Annonce nominative concernant un ou plusieurs employé(s) sur les réseaux sociaux

Ici, c’est plutôt un avocat qui pourrait nous dire si annoncer qu’une personne travaille dans une entreprise est considéré comme un renseignement personnel ou non. Si oui, le consentement de l’employé sera nécessaire. Mais on s’entend, ce genre d’annonce devrait toujours être publiée avec le consentement du principal intéressé.

  • Nouveau contrat à signer suite à un changement de poste

Aucun impact à ce niveau. C’est plutôt qui aura accès à ce contrat dans les années à venir qui serait l’élément à définir.

9. Pour les clients qui ont un fournisseur de SIRH (système intégré de ressources humaines) et/ou ATS (Applicant Tracking System), quelles sont les questions à lui poser pour s’assurer qu’il est bien conforme à la Loi 25?

Idéalement, il n’y aurait pas de question à poser car tout devrait être spécifié dans son contrat de service. Ce qu’il faut vérifier c’est :

  • Est-ce qu’ils utilisent, accèdent, partagent, vendent les données qu’on met dans la plateforme?
  • Après combien de temps les données sont supprimées après la fin du contrat, incluant la présence des données dans les copies de sauvegarde?

Et si on veut faire une analyse de risques plus poussée, c’est de demander si les divers professionnels (informaticiens, programmeurs, administrateurs réseau, testeurs) ont accès aux données de production. Cette question va faire trembler plusieurs fournisseurs.

10. En cas d’incident, qui est responsable? Le fournisseur de SIRH/ATS ou l’employeur?

Ça, c’est la question à 1 million de dollars! Officiellement, on ne sait pas encore. Il va falloir attendre que quelques cas se retrouvent devant les tribunaux et qu’on observe comment la jurisprudence va se construire.

Par contre, une chose certaine, c’est que les gens concernés par l’incident doivent être avisés et c’est possible que votre fournisseur ne prenne pas la responsabilité de contacter les personnes touchées par un incident. Quoi qu’il en soit, les entreprises devront aviser les personnes concernées et ce ne sera pas l’idéal pour leur image. Donc, peu importe qui est responsable et qui recevra la contravention au final. Si ce sont les données de l’entreprise, si ce sont ses utilisateurs, c’est elle qui recevra le backlash et sera directement impactée par l’incident.

11. Outre les SIRH/ATS, y a-t-il d’autres outils avec lesquels il faut être particulièrement vigilant (Intranet, paie, REER/RVER, chats d’entreprise (Slack, Teams, Zoom), LMS, etc.)?

Toutes ces réponses. Plus il y a de renseignements personnels dans un système, plus c’est à risque. Il existe un risque avec tous les logiciels et outils que les entreprises utilisent. Le risque associé à un logiciel peut être très variable d’une compagnie à l’autre. Là encore, CODE3 accompagne ses clients à comprendre les risques associés à chaque logiciel et à adopter la politique la plus adaptée selon sa réalité. La démarche peut prendre de quelques jours à quelques semaines, mais on encourage les entreprises à ne pas attendre le rush de septembre pour s’y mettre!

Description de CODE3

CODE3 est une coopérative de solidarité offrant des services complets en gestion des technologies de l’information :

  • Développement de logiciels
  • Gestion de parc informatique
  • Accompagnement en TI et gouvernance
  • Formations

Ses valeurs fondamentales, qui guident son approche client et ses RH sont l’honnêteté, la transparence et l’équité.

Note : Kolegz n’offre pas de conseils légaux. Cet article contient des réponses aux questions fréquemment posées par nos clients dans le but de les outiller avec les nouveaux changements qu’engendrent la Loi 25.

Rédigé par : Amélie Laurent

Besoin d’aide pour communiquer vos nouvelles politiques aux employés?

Prendre rendez-vous
Découvrir nos services
Étiquettes : , , ,