Résumé pour les entreprises de la loi 64 sur la protection des renseignements personnels

06/07/2022

Partagez cet article

Le 21 septembre 2021 dernier, le projet de loi no 64 est adopté à l’unanimité par l’Assemblée nationale du Québec. Le lendemain, soit le 22 septembre, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels est officiellement sanctionnée. Quelle est cette loi au juste? Que devront faire les entreprises québécoises (et les organismes publics, par ailleurs) d’ici cette date afin d’être en règle? Pour quand doivent-ils s’exécuter? On répond à ces questions dans cet article de blogue.

Qu’est-ce que la Loi sur la protection des renseignements personnels?

La Loi sur la protection des renseignements personnels est le petit nom (pas si court) que l’on donnera ici à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Comme son appellation complète le suggère, elle se veut une mise à jour de l’encadrement légal concernant les renseignements personnels. Inspirée du Règlement général sur la protection des données (RGPD) instituée par l’Union européenne, elle prend en considération le contexte numérique qui est à présent le nôtre. Elle apporte ainsi des modifications à plusieurs lois préexistantes, dont :

C’est la Commission d’accès à l’information (CAI) du Québec qui doit s’assurer de l’implémentation et du respect de la nouvelle Loi.

Pour être prêt le moment venu, voici quelques actions que vous devez poser en tant que compagnie ou organisme.

Nominer un responsable de la protection des renseignements personnels

Chaque entreprise et organisme doit sélectionner un responsable de la protection des renseignements personnels. Si aucune personne n’est formellement désignée, le rôle est assuré par l’individu ayant la plus haute autorité au sein de l’organisation.

Dans le cadre de sa fonction, le responsable de la protection des renseignements personnels doit notamment :

  • Approuver les règles liées à la protection des renseignements personnels;
  • Effectuer une évaluation des facteurs relatifs à la vie privée pour tout projet nécessitant la collecte de renseignements personnels;
  • Informer sur demande la personne concernée par la collecte de ses droits et lui expliquer les règles encadrant le tout;
  • Tenir un registre des incidents de confidentialité et, le cas échéant, informer la CAI et la personne concernée.

Informer les personnes concernées pour obtenir un consentement éclairé

La nouvelle Loi sur la protection des renseignements personnels insiste sur le fait que vous devez obtenir un consentement donné « de façon express ». Pour obtenir un tel consentement, vous devez informer - avant la collecte et sur demande - les personnes concernées de leurs droits :

  • Le droit d’accès à l’information récoltée les concernant;
  • Le droit de rectification de la teneur du renseignement collecté;
  • Le droit de retirer leur consentement et d’exiger que cessent l’utilisation et/ou la diffusion des renseignements les concernant.

Vous devez également leur indiquer le pourquoi et le comment de votre démarche.

  • Pourquoi

Pour quelle raison récoltez-vous les données de la personne concernée? Quelle utilisation ferez-vous de ses renseignements personnels? Cela signifie que vous ne pouvez pas utiliser une donnée pour une raison autre que celle indiquée lors de la collecte initiale. 

  • Comment 

Par quel moyen les données sont-elles récoltées?  Par exemple, quelle technologie (logiciels, plateformes, outils en ligne, etc.) employez-vous pour ce faire? Le cas échéant, comment les gens peuvent-ils désactiver les fonctions de cette technologie qui permettent de les identifier, de les localiser ou de dresser un profil.

Publier vos règles encadrant la gouvernance des renseignements personnels

En plus d’informer les individus sur demande et au moment de la collecte de données, vous devez publier vos règles encadrant la gouvernance des renseignements personnels. Cela inclut :

  • Le titre et les coordonnées du responsable de la protection des renseignements personnels;
  • Votre politique de confidentialité;
  • Vos règles et procédures en matière de collecte, d’utilisation, de communication, de conservation et de destruction de données;
  • Votre processus de traitement des plaintes et des incidents de confidentialité.

Vous aurez compris que, si vous n’avez pas encore de règles formelles pour toutes ces choses, vous avez à mettre le tout par écrit, et ce, « dans un langage clair et simple ». Elles doivent, par ailleurs, être approuvées par la CAI. Cette dernière publiera des directives afin de soutenir les entreprises et les organismes dans le processus.

Quand les modifications sur la protection de renseignements personnels entrent-elles en vigueur?

La Loi sur la protection des renseignements personnels doit être appliquée par la Commission d’accès à l’information en trois phases, pour trois années consécutives.

Phase 1 : 2022

Les premières modifications doivent entrer en vigueur le 22 septembre 2022. À partir de cette date, les entreprises et les organismes auront pour obligation d’avertir la CAI des incidents de confidentialité. Ils devront également avoir désigné un responsable de la protection des renseignements personnels.

Phase 2 : 2023

Le 22 septembre 2023, la majorité des changements apportés par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels entrent en vigueur. Il s’agit de plus ou moins toutes les modifications, à l’exception de celles à venir en phase 3, mentionnées ci-dessous.

Phase 3 : 2024

La dernière phase de la Loi, applicable le 22 septembre 2024, vise finalement l’établissement des obligations relatives au droit à la portabilité des données (par exemple, la communication des informations dans un format déterminé à la personne concernée).

Des amendes et des sanctions pénales sont prévues pour les organisations qui ne se conformeront pas à la Loi sur la protection des renseignements personnels en temps et en heure.

Mettez à jour votre site Web pour être en règle

Si votre entreprise ou votre organisme dispose d’un site Web, la Loi sur la protection des renseignements personnels indique expressément que vous devez y publier vos règles en la matière. C’est là qu’X-trait communications, agence de visibilité urbaine offrant des services de conception et d’hébergement Web, intervient. On peut vous aider à ajouter des pages pour vos politiques et implémenter des formulaires et autres outils pour obtenir le consentement de vos utilisateurs lors de la collecte d’informations, par exemple pour votre marketing par courriel ou vos outils de suivi tels que Google Analytics 4. Communiquez avec nous pour discuter de votre transition légale et de ses implications.

Contactez-nous

X-Trait

228-A, rue Champlain
Saint-Jean-sur-Richelieu (Qc)
J3B 6V8
514-360-2455

[email protected]

Termes et conditionsPolitique de confidentialité
Pandia Badge 1
facebooklinkedininstagram linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram