La protection des renseignements personnels, ça vous concerne!
Publié le
Peu importe votre champ d’exercices, vos activités professionnelles vous amènent à traiter au quotidien une grande variété de documents confidentiels, incluant des renseignements personnels. Les courriels échangés, les dossiers, les rapports et documents préparés ou auxquels vous avez accès en sont chargés, et ce, quelle que soit la fonction que vous occupez. Votre équipement de travail tels que les portables, les tablettes et les cellulaires constitue d’ailleurs une importante banque de renseignements personnels.
La perte de données personnelles, qu’elle soit fortuite ou qu’elle fasse suite à un acte malveillant, constitue un risque contre lequel aucune entreprise n’est immunisée.
Pour minimiser le risque d’un incident de sécurité et ses conséquences, des règles strictes en matière de protection des renseignements personnels ont été adoptées afin de mieux protéger ces renseignements et leur utilisation.
Entrée en vigueur de la Loi 25
En septembre 2021, une importante réforme des lois encadrant la protection des renseignements personnels et l’accès à l’information a été adoptée par l’Assemblée nationale du Québec. Précurseur au Canada, le projet de loi 64 (ou comme il se nomme aujourd’hui, la Loi 25 ou Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) impose aux organisations la mise en place de nouvelles mesures visant à assurer une protection accrue des renseignements personnels. L’entrée en vigueur de la loi commencera en septembre 2022 et s’échelonnera sur trois années.
Outre les sanctions qui pourraient découler d’un non-respect de la loi, une perte de données sensibles peut être lourde de conséquences.
Obligations à compter de septembre 2022
Les obligations suivantes seront effectives à partir du 22 septembre prochain :
- Nommer un responsable de la protection des renseignements personnels au sein de l’organisation et publier ses coordonnées
- Mettre en place et déployer un plan de gestion des incidents de confidentialité.
- Constituer un registre des incidents de confidentialité qui devra être communiqué à la Commission d’accès à l’information (CAI) sur demande.
- Divulguer toute banque de caractéristiques ou de mesures biométriques à la CAI au moins 60 jours avant sa mise en service; également, divulguer la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques.
En plus du respect de ces obligations, il est fortement recommandé d’avoir un inventaire des renseignements personnels que votre organisation recueille et conserve et des lignes directrices sur leur utilisation.
D’autres dispositions de la loi entreront en vigueur en 2023 et 2024. Le moment venu, nous vous informerons des changements à venir.
Ressources
Vous souhaitez en savoir davantage sur la Loi 25? Nous vous invitons à consulter l’Espace Évolutif de la Commission d’accès à l’information qui y est entièrement consacré.
Des formations sont aussi données sur le sujet, notamment par le Conseil Interprofessionnel du Québec.
Informez-vous et assurez-vous de vous conformer aux nouvelles exigences!