In English

Loi 25 modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé : êtes-vous prêt ?

juillet 31, 2023

La Loi 25, intitulée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, marque un tournant important dans la protection des renseignements personnels au Québec. Cette Loi prévoit une entrée en vigueur progressive de ses dispositions jusqu’en septembre 2024.

Elle établit un cadre législatif clair et robuste pour le traitement des renseignements personnels par les entreprises privées en introduisant de nouvelles mesures de protection et en renforçant les droits des individus en matière de confidentialité de leurs données personnelles.

À titre d’entreprise, êtes-vous conforme ?

Les premières dispositions de la Loi 25 sont entrées en vigueur le 22 septembre dernier ; elles prévoient, pour toutes les entreprises privées du Québec, des nouvelles obligations. Ainsi, depuis septembre 2022, vous devez avoir nommé un responsable de la protection des renseignements personnels et divulgué son nom et ses coordonnées clairement sur votre site web. Puis, vous devez également être prêt à agir en cas d’incident de confidentialité, selon une procédure que vous devez établir à l’interne et qui peut impliquer l’intervention de la Commission d’accès à l’information (CAI). Vous devez également tenir un registre des incidents qui surviennent dans l’entreprise, registre qui pourra être consulté à tout moment par la CAI.

Êtes-vous prêt pour 2023 ?

Le 22 septembre 2023, les nouvelles obligations prévues à la Loi 25, pour la plupart, entreront en vigueur. En voici quelques-unes.

Mise en place de politiques en matière de protection des renseignements personnels

Il sera obligatoire de mettre en place diverses politiques relatives au traitement des renseignements personnels, lesquelles devront être rédigées en termes clairs et précis. Il faudra également les rendre disponibles sur le site web de l’entreprise. La Loi 25 exige plusieurs politiques qui viendront encadrer le cycle de vie des renseignements personnels dans l’entreprise, de la conservation à la destruction des renseignements.

De plus, il faudra prévoir des politiques sur les rôles et les responsabilités des membres du personnel de l’entreprise tout au long du cycle de vie des renseignements, sur le processus de traitement des plaintes relatives à la protection de ces renseignements ainsi que sur les mesures mises en place pour protéger ces renseignements.

Évaluation des facteurs relatifs à la vie privée

La Loi prévoit maintenant l’obligation pour les entreprises de procéder à une évaluation des facteurs relatifs à la vie privée lors de projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction des renseignements personnels.

Transparence et obligation d’information préalable au consentement

Les entreprises auront une obligation de transparence lors de la collecte des renseignements personnels et devront informer la personne :

  1. Des fins auxquelles les renseignements personnels sont recueillis ;
  2. Des moyens par lesquels les renseignements personnels
    sont recueillis ;
  3. Des droits d’accès et de rectification prévus par la Loi ;
  4. Du droit pour la personne de retirer son consentement à la communication ou à l’utilisation
    des renseignements recueillis ;

Exigence de consentement

La Loi apporte certaines précisions concernant la forme du consentement, les critères de validités ainsi que les exigences dans l’obtention spécifique des renseignements auprès des mineurs.

D’abord, pour tous, le consentement doit être manifeste, libre et éclairé, et il doit être donné à des fins spécifiques et être demandé à chacune de ces fins, en termes simples et clairs.

Il doit également être demandé par écrit et présentée distinctement de tout autre information communiquée à l’individu.

Pour ce qui est des mineurs, le consentement des personnes de moins de 14 ans doit être donné par le titulaire de l’autorité parentale, tandis que celui des personnes de 14 ans ou plus peut être donné par le mineur lui-même.

Destruction de renseignements personnels

Il est obligatoire de détruire des renseignements personnels lorsque la finalité de leur collecte a été accomplie. S’il existe une raison légitime de les conserver, l’organisation doit les anonymiser.

Droit à l’oubli

Les organisations doivent accommoder les personnes qui souhaitent se prévaloir de leur droit consistant à faire cesser la diffusion de leurs renseignements personnels, ou de désindexer ou réindexer un hyperlien rattaché à leur nom permettant d’accéder à ce renseignement.

Cette nouvelle Loi peut être un véritable casse-tête pour les entreprises qui doivent s’y assujettir. Il est toutefois essentiel de se familiariser avec les dispositions de cette loi et de mettre en place les mesures nécessaires pour se conformer aux nouvelles exigences en matière de protection des renseignements personnels.

Pour les membres de la CCAQ, nous vous invitons à consulter les divers outils que nous avons développés et qui sont offerts sur notre site web. N’hésitez pas à communiquer avec l’équipe juridique de la CCAQ.

À propos de Julia Labrecque-Saliba

Me Julia Labrecque-Saliba est conseillère juridique à la CCAQ. On peut la joindre par courriel au jsaliba@ccaq.com

Articles liés
Share via
Facebook
Twitter
LinkedIn
Mix
Pinterest
Tumblr
Skype
Buffer
Pocket
VKontakte
Parler
Xing
Reddit
Flipboard
MySpace
Delicious
Amazon
Digg
Evernote
Blogger
LiveJournal
Baidu
MeWe
NewsVine
Yummly
Yahoo
WhatsApp
Viber
SMS
Telegram
Facebook Messenger
Like
Email
Print
Copy Link
Copy link
CopyCopied