La deuxième phase d’application de la Loi sur la protection des renseignements personnels dans le secteur privé au Québec (loi 25) est à nos portes! Nous avons fait le tri des ressources les plus intéressantes pour démystifier cette fameuse loi et anticiper concrètement les changements à venir.
La loi 25, c’est quoi?
On aime bien le résumé concocté par Raymond Chabot Grant Thornton :
« La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, aussi appelée loi 25, vise à protéger la population québécoise en responsabilisant les entreprises quant aux informations personnelles qu’elles détiennent.
Raymond Chabot Grant Thornton
Une partie des nouvelles dispositions législatives de la loi 25 sont entrées en vigueur le 22 septembre 2022. D’autres dispositions prendront effet en septembre 2023 et 2024, dont l’obligation de mettre en œuvre une politique encadrant la gouvernance des renseignements personnels.
La Commission d’accès à l’information du Québec est l’organisme responsable de surveiller l’application de la loi 25. En cas de non-respect de la loi, la Commission peut imposer des sanctions importantes, s’élevant jusqu’à 25 millions de dollars ou à 4 % du chiffre d’affaires mondial de l’entreprise. »
Pour en savoir plus : Loi 25 | Quels sont ses impacts sur votre entreprise? (rcgt.com)
Au Québec, l’application de cette loi se fait en trois phases sur une période de trois ans.
Première phase – En vigueur depuis septembre 2022
Pour un aperçu complet des obligations qui sont devenues obligatoires depuis le 22 septembre 2022, nous vous recommandons la lecture de cet article du gouvernement du Québec : Loi 25 – Nouvelles dispositions protégeant la vie privée des Québécois -(quebec.ca)
Résumé des exigences :
- Nominer un individu dédié responsable de la protection des informations personnelles. Les coordonnées de cette personne doivent être facilement disponibles sur le site web de l’entreprise.
- Maintenir un registre complet de tous les incidents impliquant des violations de confidentialité. Informer à la fois la Commission et toute personne touchée par des incidents qui pourraient poser de graves risques.
- Les nouvelles régulations dictent aussi comment les entreprises et les entités publiques devraient gérer la communication des informations personnelles sans consentement à des fins commerciales.
- Les entités publiques sont désormais tenues de créer un comité d’accès à l’information et de protection des données personnelles.
Deuxième phase – En vigueur depuis septembre 2023
Inutile de vous perdre dans les méandres du web. Ce guide pratique de la Commission d’accès à l’information du Québec synthétise et clarifie les nouvelles responsabilités et obligations avec quelques exemples de pratiques à adopter pour garantir votre conformité : Vers la conformité à la Loi sur le privé – (gouv.qc.ca)
Résumé des exigences :
- Tenir un inventaire à jour des informations détenues par l’entreprise et une définition des rôles du personnel.
- Identifier et évaluer les risques de vos activités pour la vie privée et mettre en place des stratégies pour atténuer ces risques.
- Mettre en place des mécanismes pour obtenir un consentement valide, présenter clairement les demandes de consentement et fournir les informations requises aux individus.
- Informer les individus de toute prise de décision automatisée et de l’utilisation de technologies d’identification ou de profilage.
- Publier les politiques et pratiques en matière de données personnelles et le traitement les demandes et plaintes.
Troisième phase – En vigueur en septembre 2024
À surveiller pour connaître les autres dispositions de la loi qui entreront en vigueur en 2024.
Guides pratiques pour une transition réussie vers la conformité
Guide pratique : Application de la Loi 25 | cyber eco
Conseils pour les entreprises concernant la Loi 25 | Assurances Bernier & filles
Loi 25 au Québec : votre organisation est-elle bien préparée? | MNP
Trousse d’aide gratuite pour se conformer à la Loi 25 | LesAffaires.com
Balados exclusifs pour nos membres
Notre experte, Milie Perreault-Favreau de Raymond Chabot Grant Thornton, a développé deux balados indispensables sur ce sujet. Dans le premier, elle fait la lumière sur l’essence et les grands thèmes de la loi 25. Dans le deuxième, elle répond aux questions de nos membres.
