6 minute read
L'opinion juridique : Protection des renseignements personnels
Septembre 2023 : Entrée en vigueur de la deuxième phase d’obligations de la Loi 25. Êtes-vous prêts?
Au Québec, toute entreprise ou organisation privée qui recueille, traite ou communique des renseignements personnels est visée par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c 25. (Loi 25).
Cette nouvelle loi rend obligatoire la mise en place de mesures en matière de renseignements personnels et les entreprises sont tenues de s’y conformer en respectant rigoureusement le calendrier de sa mise en application. Que l’entreprise emploie une ou cinquante personnes ou que son chiffre d’affaires soit de 20 000 $ ou 20 000 000 $, elle est assujettie au champ d’application de cette loi.
Afin de permettre aux organisations de se conformer aux exigences de la Loi 25 et ainsi mettre en place ces changements majeurs, il est prévu que cette dernière entrera graduellement en vigueur selon trois phases qui s’échelonneront sur trois années, soit de septembre 2022 à septembre 2024.
Qu’est-ce qu’un renseignement personnel?
La Loi 25 définit un renseignement personnel comme tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. Par exemple, un nom, une date de naissance, une adresse postale, une adresse courriel, un numéro d’assurance sociale ainsi que des informations bancaires peuvent constituer des renseignements personnels. Il est important de garder à l’esprit que certains renseignements personnels, de par leur nature, sont plus sensibles que d’autres et doivent bénéficier d’une protection accrue en matière de sécurité.
Le 22 SEPTEMBRE 2022 entrait en vigueur la PREMIÈRE PHASE d’application de la Loi 25
En vertu des dispositions de la Loi 25 qui sont entrées en vigueur le 22 septembre 2022, ceux qui exploitent une entreprise au Québec recueillant, traitant ou communiquant des renseignements personnels, devaient, entre autres, obligatoirement :
Désigner, au sein de leur entreprise, une personne responsable de la protection des renseignements personnels qui supervisera le traitement de ceux-ci. Il est prévu qu’en l’absence de désignation expresse d’une telle personne, ce rôle revient par défaut au chef de la direction de l’entreprise;
Aviser la Commission d’accès à l’information, de même que les personnes concernées, de tout incident de confidentialité, y compris les brèches de données ainsi que l’accès, l’utilisation et la divulgation non autorisés de renseignements personnels; et
Tenir un registre de tous les incidents de confidentialité.
Le 22 SEPTEMBRE 2023 entrera en vigueur la DEUXIÈME PHASE d’application de la Loi 25
La majeure partie des modifications apportées par la Loi 25 prendront effet le 22 septembre 2023. Voici donc un aperçu de certains points qui devront être mis en place au sein des entreprises visées par la loi :
Élaborer un cadre de gouvernance en matière de protection des renseignements personnels;
Développer un processus de traitement des plaintes liées à la protection des renseignements personnels;
Rendre public les éléments clés de la gouvernance encadrant la protection des renseignements personnels;
Développer une politique et un processus d’évaluation des facteurs relatifs à la vie privée pour le traitement des renseignements personnels;
Développer un processus de cueillette du consentement pour recueillir, détenir, utiliser ou communiquer des renseignements personnels;
Détruire ou rendre anonyme les renseignements personnels en conformité avec les principes édictés par la loi;
Évaluer les risques en matière de vie privée lors de certaines utilisations et communications de renseignements personnels.
Alors, si vous êtes propriétaire d’une entreprise visée par la Loi 25, il y a lieu de vous questionner rapidement quant à votre conformité à ces prochaines modifications législatives car l’échéance du 22 septembre 2023 arrivera rapidement.
Le 22 SEPTEMBRE 2024 entrera en vigueur la TROISIÈME ET DERNIÈRE PHASE d’application de la Loi 25
Le 22 septembre 2024, nous arriverons à la fin du processus d’application de la Loi 25 et cette dernière imposera alors :
D’avoir mis en place des mesures facilitant le droit à la portabilité des données. En d’autres mots, si un individu vous demande d’avoir accès à ses données personnelles, il doit pouvoir y avoir accès et ce, dans un format simple et compréhensible.
Les entreprises assujetties doivent donc être intégralement conformes et prêtes en date du 22 septembre 2024. Pourquoi attendre jusqu’en 2024 pour se conformer à cette obligation? Profitez donc de l’implantation de la deuxième phase pour vous conformer immédiatement à la troisième, et par la même occasion, vous libérez de ce souci.
Sanctions administratives et pénales
C’est la Commission d’accès à l’information du Québec (CAI) qui est l’organisme provincial désigné afin d’assurer l’application de la Loi 25.
La loi confère à la CAI des pouvoirs d’application étendus qui lui permettent d’imposer des sanctions administratives pécuniaires au secteur privé dans le cas d’un large éventail d’infractions à cette dernière. De plus, la Loi confère à la CAI l’autorité d’intenter une poursuite pénale pour une infraction à la Loi.
En guise d’exemple, une organisation qui omet de signaler un incident de confidentialité à la CAI ou à toute personne concernée, pourrait s’exposer à des sanctions et amendes pénales et à des sanctions administratives pécuniaires sans précédent, pouvant atteindre plusieurs millions de dollars. Ces sanctions seront proportionnelles, notamment, à la gravité du manquement et à la capacité de payer de l’entreprise. La Loi prévoit également l’octroi de dommages-intérêts punitifs pour les atteintes qui causent un préjudice et qui sont intentionnelles ou résultent d’une faute lourde.
Conclusion
La Loi 25 réforme en profondeur le droit québécois en matière de protection de la vie privée et elle impose des obligations considérables à ceux qui exploitent une entreprise au Québec. Il est important de se conformer à ces obligations sous peine de sanctions sévères et de poursuites civiles potentielles. Il faut prendre au sérieux cette démarche de modernisation de la cueillette, du traitement et de la communication de renseignements personnels au sein de votre entreprise et prendre le temps de bien comprendre les enjeux de sécurité que cette loi vise à régulariser. Les entreprises assujetties à la Loi 25 doivent sans délai concevoir et formuler un plan d’implantation de mesures qui assureront leur conformité aux nouvelles exigences législatives.
Si vous êtes concernés par l’entrée en vigueur de cette loi et par sa complexe mise en application, n’hésitez pas à demander de l’aide auprès de professionnels lors de vos démarches d’implantation et de conformité.
Me François Boisvert - Conseiller juridique, AMVOQ
