L’exploitation, la collecte et l’utilisation de données qui constituent des renseignements personnels sont de plus en plus utilisées dans le monde, notamment grâce à l’intelligence artificielle qui facilite grandement ce processus, et sont souvent essentielles à l’exploitation d’une entreprise.
Les lois actuelles sur la protection des renseignements personnels applicables au Québec étaient à certains égards désuètes aux évolutions technologiques et en comparaison à certaines autres lois applicables dans d’autres juridictions du monde (comme le Règlement général sur la protection des données dans l’Union européenne), et dans cette optique, le Québec est la première province canadienne à moderniser son régime de protection des renseignements personnels afin de l’adapter aux réalités actuelles.
Qu’est-ce que la Loi 25
C’est ainsi que la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi 25 ») a été adoptée le 22 septembre 2021. Elle modifie plusieurs lois actuellement en vigueur au Québec, dont la Loi concernant le cadre juridique des technologies de l’information, la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé.
Entrée en vigueur de Loi 25
Elle entrera en vigueur graduellement du 22 septembre 2022 au 22 septembre 2024. Ainsi, durant cette période, les entreprises privées et les organismes publics faisant affaire au Québec feront face à de nouvelles obligations et auront de nouveaux droits concernant la protection des renseignements personnels.
Ces entreprises et organismes devront s’assurer de mettre à jour leurs politiques, pratiques et processus afin d’éviter des contraventions qui pourraient être considérables (par exemple, en cas de contravention, une entreprise pourrait faire face à des amendes allant de 15 000 $ à 25 millions, ou à un montant de 4 % du chiffre d’affaires de cette entreprise).
À quoi sert la Loi 25 ?
Elle modernise de façon générale l’encadrement applicable à la protection des renseignements personnels recueillis par une personne qui exploite une entreprise au Québec, dans le but notamment d’augmenter la confiance des citoyennes et des citoyens envers les entreprises et de soutenir l’innovation responsable qui tient compte du droit à la vie privée des individus.
Pour ne donner que quelques exemples, la Loi 25 accomplit ces objectifs en introduisant des règles concernant le traitement d’incidents affectant la confidentialité de renseignements personnels, des obligations de transparence en lien avec la gouvernance à l’égard des renseignements personnels, ainsi que de nouvelles exigences relatives au consentement à la collecte, à l’utilisation et à la communication de renseignements personnels.
Quelles sont les nouvelles obligations qui entrent en vigueur à partir du 22 septembre 2022 ?
- Désigner un responsable de la protection des renseignements personnels qui veillera au respect de la Loi, dont le titre et les coordonnées devront être rendus disponibles au public (par exemple, sur le site Web de l’entreprise). À défaut de telle désignation, le responsable sera la personne ayant la plus haute autorité dans l’entreprise.
- Mettre en place un plan de gestion des incidents et des procédures à suivre en cas d’incidents de confidentialité. L’incident peut faire référence aux accès non autorisés par la loi, la perte, les communications non autorisées par la loi, et toute autre atteinte à la protection de renseignements personnels.
- Bâtir un registre des incidents de confidentialité où seront inscrits tous les incidents, même ceux ne présentant pas un risque de préjudice sérieux, ainsi qu’un processus de notification.
- Divulguer avec diligence tout incident de confidentialité qui présente un risque qu’un préjudice sérieux soit causé à la Commission d’accès à l’information et à toute personne dont un renseignement personnel est concerné par l’incident.
Est-ce que Cyberimpact est conforme à la Loi 25 ?
Cyberimpact s’assure que ses activités se conforment en tout temps aux lois applicables à la protection des renseignements personnels dans toutes les juridictions où elle a des activités, ce qui inclut les nouvelles dispositions de la Loi 25 lorsqu’elles entreront graduellement en vigueur.
Nous prenons à cœur la protection des renseignements personnels et des autres données qui nous sont confiées par nos clients et partenaires. Pour toute question à cet égard, nous vous invitons à consulter notre Politique de respect de la vie privée ou à nous contacter.
Conseils pour se conformer à la Loi 25 ?
Nous vous conseillons de vous familiariser rapidement avec la nouvelle loi afin de vous assurer que votre entreprise sera en mesure d’apporter les changements nécessaires pour s’y conformer avant son entrée en vigueur. Plusieurs ressources pertinentes sont rendues disponibles au public en ligne au sujet de la Loi 25, dont cet aide-mémoire qui vulgarise les éléments à mettre en place sur les trois années à venir.
Qu’en est-il de la loi LPRPDE ?
La Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE », ou « PIPEDA » en anglais) est une loi fédérale canadienne qui régit la collecte, l’utilisation et la communication de renseignements personnels dans le cadre d’activités commerciales au Canada.
La LPRPDE s’applique au travers du Canada, sauf au Québec, en Colombie-Britannique et en Alberta, étant donné que ces provinces ont adopté des lois qui sont jugées « essentiellement similaires à la LPRPDE » (la LPRPDE continue toutefois de s’appliquer aux entreprises de compétence fédérale établies dans ces provinces, comme les banques et les aéroports).
Le projet de loi C-27 (Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois) est présentement en étude par le gouvernement canadien, lequel remplacerait la LPRPDE par un cadre juridique mieux adapté au cadre technologique actuel.
Au moment de publier cet article, ce nouveau projet de loi est toujours en seconde lecture à la Chambre des communes, et donc n’a pas encore été sanctionné. Nous vous conseillons de rester à l’affût de la progression de ce projet de loi C-27 qui aura, lui aussi, des répercussions sur les droits et obligations de votre entreprise en lien avec l’exploitation, la collecte et l’utilisation de données qui constituent des renseignements personnels.
* Les informations fournies dans cet article ne constituent pas des avis juridiques. Nous vous invitons à consulter un conseiller légal pour toute question afférente aux lois sur les renseignements personnels. Cet article vous est fourni à titre informatif seulement, sans garantie quelconque de qualité, d’exactitude ou d’intégralité des informations qui y figurent.