La protection des renseignements personnels, ça vous concerne!
Publié le
Dernière mise à jour : 4 octobre 2023
Peu importe votre champ d’exercices, vos activités professionnelles vous amènent à traiter au quotidien une grande variété de documents confidentiels, incluant des renseignements personnels. Les courriels échangés, les dossiers, les rapports et documents préparés ou auxquels vous avez accès en sont chargés, et ce, quelle que soit la fonction que vous occupez. Votre équipement de travail tels que les portables, les tablettes et les cellulaires constitue d’ailleurs une importante banque de renseignements personnels.
La perte de données personnelles, qu’elle soit fortuite ou qu’elle fasse suite à un acte malveillant, constitue un risque contre lequel aucune entreprise n’est immunisée.
Pour minimiser le risque d’un incident de sécurité et ses conséquences, des règles strictes en matière de protection des renseignements personnels ont été adoptées afin de mieux protéger ces renseignements et leur utilisation.
Entrée en vigueur de la Loi 25
En septembre 2021, une importante réforme des lois encadrant la protection des renseignements personnels et l’accès à l’information a été adoptée par l’Assemblée nationale du Québec. Précurseur au Canada, le projet de loi 64 (ou comme il se nomme aujourd’hui, la Loi 25 ou Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) impose aux organisations la mise en place de nouvelles mesures visant à assurer une protection accrue des renseignements personnels. L’entrée en vigueur de la loi a commencé en septembre 2022 et s’échelonne sur trois années.
Outre les sanctions qui pourraient découler d’un non-respect de la loi, une perte de données sensibles peut être lourde de conséquences.
Obligations à compter de septembre 2022
Les obligations suivantes sont effectives à partir du 22 septembre 2022 :
- Nommer un responsable de la protection des renseignements personnels au sein de l’organisation et publier ses coordonnées
- Mettre en place et déployer un plan de gestion des incidents de confidentialité.
- Constituer un registre des incidents de confidentialité qui devra être communiqué à la Commission d’accès à l’information (CAI) sur demande.
- Divulguer toute banque de caractéristiques ou de mesures biométriques à la CAI au moins 60 jours avant sa mise en service; également, divulguer la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques.
En plus du respect de ces obligations, il est fortement recommandé d’avoir un inventaire des renseignements personnels que votre organisation recueille et conserve et des lignes directrices sur leur utilisation.
Obligations à compter de septembre 2023
Les obligations suivantes sont effectives à partir du 22 septembre 2023, soit notamment :
- Établir des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier en termes simples et clairs de l’information détaillée sur celles-ci.
- Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) dans le cadre de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels et avant de communiquer des renseignements personnels à l’extérieur du Québec.
- Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels.
- Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi.
Obligations à compter de septembre 2024
Le 22 septembre 2024, le droit à la portabilité sera la dernière disposition à entrer en vigueur.
Ressources
Informez-vous et assurez-vous de vous conformer aux nouvelles exigences! Pour plus d’informations sur l'ensemble des obligations en vigueur, des pistes d’actions et des bonnes pratiques, nous vous invitons à consulter ces ressources :
Espace évolutif de la Commission d'accès à l'information >
Guide de la Commission d’accès à l’information pour le secteur privé >
Aide-mémoire concernant la Loi 25 offert par le Barreau du Québec >