Soyez prêts à l’entrée en vigueur des nouvelles exigences de la loi sur la protection des renseignements personnels dans le secteur privé
Modernisation des dispositions législatives en matière de protection des renseignements personnels
Le 21 septembre 2021, le gouvernement du Québec a fait adopter son projet de Loi no 64 modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), laquelle a, eu pour effet de modifier la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé .
L’objectif de cette modernisation est de resserrer les lois régissant la protection des renseignements personnels afin de réduire les risques de fuites de données et de mettre en place les mesures appropriées pour l’utilisation, la conservation et la communication de ces renseignements.
Les nouvelles exigences de la Loi 25 s’appliquent aux entreprises et organisations du secteur privé. Les technologues professionnels qui exploitent une entreprise doivent donc s’y conformer.
Il y aura trois phases de mise en vigueur des nouvelles dispositions de la Loi 25 au cours des trois prochaines années. Afin de vous aider à vous préparer pour vous y conformer, L’OTPQ a élaboré un portrait détaillé (Loi25-OTPQ-vf.pdf) des nouvelles exigences de la Loi.
En bref, voici un résumé des nouvelles exigences pour chacune des trois phases d’entrée en vigueur :
PREMIÈRE PHASE: NOUVELLES EXIGENCES À COMPTER DU 22 SEPTEMBRE 2022
- Obligation de nommer un responsable de la protection des renseignements personnels en la personne qui détient la plus haute autorité dans l’entreprise et publication de ses coordonnées;
- Obligation de tenir un registre d’incidents de confidentialité et d’aviser à la Commission d’accès à l’information en cas de préjudice sérieux ;
- Nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée, à des fins d’étude, de recherche ou de production de statistiques ou dans le cadre d’une opération commerciale;
- Obligation de divulguer à la Commission d’accès à l’information la création de toute banque de caractéristiques ou de mesures biométriques que vous utilisez dans le cadre de vos activités professionnelles afin d’identifier ou de confirmer l’identité d’une personne.
DEUXIÈME PHASE: NOUVELLES EXIGENCES À COMPTER DU 22 SEPTEMBRE 2023
- Obligation d’établir et de mettre en œuvre des politiques et des pratiques encadrant la gouvernance des renseignements personnels et de publier les informations détaillées au sujet de celles-ci;
- Nouvelles obligations de transparence, notamment celle de publier une politique de confidentialité rédigée en des termes simples et clairs si vous recueillez par un moyen technologique des renseignements personnels ;
- Nécessité d’adapter votre contrat de service professionnel pour l’obtention d’un consentement valable de la part du client qui doit être demandé à des fins spécifiques, en des termes simples et clairs;
- Obligation de réaliser une évaluation des facteurs relatifs à la vie privée dans certaines situations, comme lors d’un projet d’acquisition, de développement et de refonte d’un système de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels;
- Obligation de détruire ou d’anonymiser les renseignements personnels aux dossiers une fois les services professionnels accomplis sous réserve des règles de la tenue de vos dossiers professionnels
TROISIÈME PHASE: NOUVELLES EXIGENCES À COMPTER DU 22 SEPTEMBRE 2024
- Droit à la portabilité des données: obligation de s’assurer que les solutions technologiques utilisées pour l’exercice de la profession permettront au professionnel de reprendre ses données dans un format technologique structuré et de remettre au client qui en formulera la demande ses renseignements personnels dans un format technologique structuré.
Pour en savoir plus sur la Loi 25, consultez les informations diffusées par la Commission d’accès à l’information (notez que les références au projet de loi 64 sont des références à la Loi 25)