La Loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels (le projet de loi 64) a reçu la sanction royale le 22 septembre 2021 et apportera des changements importants à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec. La loi qui en résulte est la Loi 25 : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
Sommaire
Nouvelles obligations pour les entreprises qui traitent des renseignements personnels
Ce projet de loi représente un changement d’étape pour la façon dont les entreprises du Québec vont collecter et gérer les données personnelles. Inspiré par le RGPD de l’Union européenne, le projet de loi propose une protection maximale des données en introduisant de nouvelles normes en matière de droit à la protection des renseignements personnels.
Que faut-il savoir ?
Voici quelques-unes des dispositions qui auront probablement une forte incidence sur les entreprises opérant au Québec.
Septembre 2022
À compter du 22 septembre 2022, une première série de modifications aux lois sur la protection des renseignements personnels entreront en vigueur.
Principales modifications :
- Obligation d’exercer la fonction de responsable de la protection des renseignements personnels ou de la déléguer par écrit à une autre personne et de publier les coordonnées du responsable.
- Obligation de former un comité sur l’accès à l’information et la protection des renseignements personnels.
- Obligation d’aviser la Commission et la personne concernée de tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice et de tenir un registre devant être fourni à la Commission sur demande.
Septembre 2023
À compter du 22 septembre 2023, la majorité des modifications aux lois sur la protection des renseignements personnels entreront en vigueur.
Principales modifications :
- Obligation de mettre en œuvre des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier des informations détaillées au sujet de celles-ci.
- Nouvelles obligations de transparence comme de publier une politique de confidentialité rédigée en des termes simples et clairs si vous recueillez par un moyen technologique des renseignements personnels et aviser les personnes concernées de ses mises à jour.
- Anonymisation des renseignements personnels.
- Droit à la désindexation (ou droit à l’effacement ou à l’oubli).
- Nouvelles conditions entourant la collecte de renseignements personnels concernant un mineur de moins de 14 ans.
- Obligation de prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public.
- Possibilité pour la Commission d’imposer des sanctions pénales.
Septembre 2024
À compter du 22 septembre 2024, le droit à la portabilité sera la toute dernière disposition à entrer en vigueur, tant dans le secteur public que dans le secteur privé.
- Droit à la portabilité : si la personne concernée le demande, les organisations auront l’obligation de lui communiquer, dans un format technologique structuré et couramment utilisé, un renseignement personnel informatisé recueilli auprès d’elle. Cette communication pourra aussi se faire à une personne ou à un organisme autorisé à recueillir le renseignement, à la demande de la personne concernée.
Votre organisation est-elle prête pour ces changements ?
Commencez dès maintenant à planifier les prochaines étapes. Confiez à une personne (un membre de votre équipe ou un expert externe) la tâche d’identifier les changements qui seront requis au sein de votre organisation pour vous conformer à la nouvelle loi, les ressources dont vous aurez besoin pour y arriver et les processus que vous devez suivre. Altitude peut également vous aider à mettre à jour et à publier vos politiques de confidentialité sur votre site web. N’hésitez pas à nous joindre pour en savoir plus.
Source : Commission d’accès à l’information du Québec
- Poursuivez votre lecture pour découvrir 8 conseils pour renforcer la cybersécurité en entreprise.
