Loi 25 - Premières responsabilités et obligations en vigueur depuis septembre, 2022
Le projet de loi 64 adopté par l’Assemble Nationale apporte des modifications importantes à la Loi sur la protection des renseignements personnels dans le secteur privé (« la Loi sur le privé »). Ces modifications et les obligations qu’elles apportent entreront en vigueur progressivement en 2022, 2023 et 2024.
La Commission d’accès à l’information du Québec (« la Commission ») est responsable de l’application de la Loi sur le privé.
Ces nouvelles obligations visent toutes les organisations québécoises, qu’elles soient privées ou publiques, et qu’elles soient ou non à but lucratif.
Le Responsable de la protection des renseignements personnels
Les premières dispositions du Projet de loi 64 sont entrées en vigueur au Québec en septembre 2022. À cet effet, le gouvernement a de-facto identifié l’individu le plus haut placé de chaque organisation ou entreprise québécoise comme étant responsable de la protection des renseignements personnels (« RP ») au sein de cette organisation.
Pour en savoir plus sur la nature de ces renseignements, consultez l’article:
Qu’entend-on par « renseignements personnels ».
Dispositions entrées en vigueur le 22 septembre 2022
En plus de respecter vos obligations actuelles en matière de protection des renseignements personnels (« RP »), depuis le 22 septembre 2022, chaque organisation québécoise doit notamment :
- Désigner une personne responsable de la protection des RP au sein de l’organisation;
- Prendre des mesures spécifiques en cas d’incident de confidentialité;
- Respecter le nouvel encadrement concernant l’utilisation des RP;
- Procéder à une évaluation du risque avant de partager les RP à des fins de recherche;
- Divulguer préalablement à la Commission l’utilisation de mesures biométriques.
Nous expliquerons plus loin en quoi consiste chacune de ces obligations.
Les obligations du Responsable de la protection des renseignements personnels
Il incombe au responsable de la protection des RP d’assurer la conformité de l’organisation ou entreprise aux nouvelles dispositions de la Loi sur le privé. Bien que ces responsabilités soient nombreuses et dépassent le cadre des obligations énumérées ci-dessus, nous nous concentrerons ici sur les dispositions entrées en vigueur depuis le 22 septembre 2022.
Désigner une personne responsable de la protection des RP au sein de votre organisation
Chaque organisation doit désigner un individu responsable de la protection des renseignements personnels (le responsable). Tel que nous l’avons déjà mentionné, le gouvernement du Québec a déjà identifié le membre le plus haut placé de chaque organisation comme responsable de la protection des RP. L’organisation peut toutefois désigner officiellement un autre individu pour remplir ce rôle. Dans ce cas, il n’est pas nécessaire d’aviser la Commission.
Il est par contre essentiel de publier le titre et les coordonnées du responsable sur le site internet de l’organisation ou, si elle n’a pas de site, de les rendre accessibles par tout autre moyen approprié.
Prendre des mesures spécifiques en cas d’incident de confidentialité
Un incident de confidentialité est un événement susceptible de compromettre la confidentialité des renseignements personnels détenus par une organisation. Cette définition vise les renseignements personnels permettant d’identifier un client, un partenaire ou un membre du personnel de l’organisation.
Pour en savoir plus sur la nature de ces renseignements, consultez l’article
Qu’entend-on par « renseignements personnels ».
Un incident de confidentialité implique généralement la perte ou le vol des RP des individus visés. Un tel incident peut avoir des conséquences désastreuses tant pour l’organisation que pour les individus dont les renseignements personnels seraient compromis.
En cas d’incident, l’organisation a l’obligation de prendre des mesures spécifiques afin de mitiger l’impact sur les individus visés. L’organisation doit notamment :
- Divulguer l’incident à la Commission;
- Aviser si nécessaire les individus dont les RP auraient été compromis;
- Analyser les circonstances qui ont mené à l’incident et identifier les mesures à prendre pour mitiger l’impact de l’incident et pour éviter qu’un tel incident ne se reproduise
Respecter le nouvel encadrement concernant l’utilisation des RP
Les modifications à la Loi sur le privé apportent des précisions sur la nature des renseignements personnels qui peuvent être recueillis par les organisations et sur les circonstances dans lesquelles ces renseignements peuvent être recueillis.
La loi prévoit aussi, entre autres, que l’organisation doit divulguer aux individus visés chaque utilisation qu’elle compte faire de leurs renseignements personnels, et obtenir, dans chaque cas, leur consentement à l’utilisation de leurs RP. Ces dispositions n’entrent toutefois pas en vigueur avant 2023.
Procéder à une évaluation du risque avant de partager les RP à des fins de recherche
Dans certains cas, une organisation ou entreprises peut partager avec des tiers les renseignements personnels qu’elle recueille ou qu’elle détient, et ce à des fins de recherche. Si c’est le cas au sein de votre organisation, le responsable de la protection des RP doit procéder à une analyse afin d’identifier les risques potentiels associés à cette pratique eu égard à la protection des RP visés.
Il est ici particulièrement important de bien connaître les partenaires qui pourraient avoir accès aux renseignements personnels détenus par l’organisation. Par exemple, un commerçant qui utilise une solution infonuagique de point de vente devrait passer en revue les conditions d’utilisation de ce service. De tels partenaires utilisent fréquemment les renseignements personnels recueillis par leur logiciel à des fins de recherche, et incluent dans les conditions d’utilisation une clause à cet effet. En plus d’analyser l’usage ainsi fait des RP par le fournisseur, vous pourriez devoir le divulguer aux individus concernés, qu’ils soient clients, partenaires ou employés de l’organisation.
Divulguer préalablement à la Commission l’utilisation de mesures biométriques
Cette obligation s’applique rarement aux clients d’une entreprise, mais elle peut être plus commune dans les cas des employés ou des partenaires et/ou sous-traitants d’une organisation qui utiliserait, par exemple, des données biométriques pour accorder l’accès à ses locaux ou à ses équipements.
En résumé
Un des changements les plus importants apportés à la Loi sur le privé par le Projet de loi 64 est la désignation d’un responsable de la protection des renseignements personnels au sein de chaque organisation ou entreprise québécoise. Cette obligation est assortie d’un bon nombre de responsabilités eu égard aux renseignements personnels recueillis et détenus par l’organisation.
Le responsable de la protection des renseignements personnels doit par conséquent être en mesure d’élaborer des politiques internes d’utilisation des renseignements personnels et d’en assurer le respect au sein de l’organisation. Ceci requiert une connaissance complète des mécanismes de l’organisation et des technologies qui les soutiennent.
CLIQUEZ LE BOUTON CI-DESSOUS POUR OBTENIR DÈS MAINTENANT UNE CONSULTATION GRATUITE::
NEXOP - Conseil en gestion
NEXOP soutient depuis 2005 les organisations et les PME dans la gestion, la gouvernance et la protection de leurs actifs informationnels et technologiques. NEXOP offre des services professionels en gestion/gouvernance des données, en gestion de risque, en sécurité de l'information, migration infonuagique, transformation numérique, gestion/gouvernance des T.I., et en gestion de projet/portefeuille.