Le 21 septembre 2021 dernier, le projet de loi no 64 est adopté à l’unanimité par l’Assemblée nationale du Québec. Le lendemain, soit le 22 septembre, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels est officiellement sanctionnée. Quelle est cette loi au juste? Que devront faire les entreprises québécoises (et les organismes publics, par ailleurs) d’ici cette date afin d’être en règle? Pour quand doivent-ils s’exécuter? On répond à ces questions dans cet article de blogue.
La Loi sur la protection des renseignements personnels est le petit nom (pas si court) que l’on donnera ici à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Comme son appellation complète le suggère, elle se veut une mise à jour de l’encadrement légal concernant les renseignements personnels. Inspirée du Règlement général sur la protection des données (RGPD) instituée par l’Union européenne, elle prend en considération le contexte numérique qui est à présent le nôtre. Elle apporte ainsi des modifications à plusieurs lois préexistantes, dont :
C’est la Commission d’accès à l’information (CAI) du Québec qui doit s’assurer de l’implémentation et du respect de la nouvelle Loi.
Pour être prêt le moment venu, voici quelques actions que vous devez poser en tant que compagnie ou organisme.
Chaque entreprise et organisme doit sélectionner un responsable de la protection des renseignements personnels. Si aucune personne n’est formellement désignée, le rôle est assuré par l’individu ayant la plus haute autorité au sein de l’organisation.
Dans le cadre de sa fonction, le responsable de la protection des renseignements personnels doit notamment :
La nouvelle Loi sur la protection des renseignements personnels insiste sur le fait que vous devez obtenir un consentement donné « de façon express ». Pour obtenir un tel consentement, vous devez informer - avant la collecte et sur demande - les personnes concernées de leurs droits :
Vous devez également leur indiquer le pourquoi et le comment de votre démarche.
Pour quelle raison récoltez-vous les données de la personne concernée? Quelle utilisation ferez-vous de ses renseignements personnels? Cela signifie que vous ne pouvez pas utiliser une donnée pour une raison autre que celle indiquée lors de la collecte initiale.
Par quel moyen les données sont-elles récoltées? Par exemple, quelle technologie (logiciels, plateformes, outils en ligne, etc.) employez-vous pour ce faire? Le cas échéant, comment les gens peuvent-ils désactiver les fonctions de cette technologie qui permettent de les identifier, de les localiser ou de dresser un profil.
En plus d’informer les individus sur demande et au moment de la collecte de données, vous devez publier vos règles encadrant la gouvernance des renseignements personnels. Cela inclut :
Vous aurez compris que, si vous n’avez pas encore de règles formelles pour toutes ces choses, vous avez à mettre le tout par écrit, et ce, « dans un langage clair et simple ». Elles doivent, par ailleurs, être approuvées par la CAI. Cette dernière publiera des directives afin de soutenir les entreprises et les organismes dans le processus.
La Loi sur la protection des renseignements personnels doit être appliquée par la Commission d’accès à l’information en trois phases, pour trois années consécutives.
Les premières modifications doivent entrer en vigueur le 22 septembre 2022. À partir de cette date, les entreprises et les organismes auront pour obligation d’avertir la CAI des incidents de confidentialité. Ils devront également avoir désigné un responsable de la protection des renseignements personnels.
Le 22 septembre 2023, la majorité des changements apportés par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels entrent en vigueur. Il s’agit de plus ou moins toutes les modifications, à l’exception de celles à venir en phase 3, mentionnées ci-dessous.
La dernière phase de la Loi, applicable le 22 septembre 2024, vise finalement l’établissement des obligations relatives au droit à la portabilité des données (par exemple, la communication des informations dans un format déterminé à la personne concernée).
Des amendes et des sanctions pénales sont prévues pour les organisations qui ne se conformeront pas à la Loi sur la protection des renseignements personnels en temps et en heure.
Si votre entreprise ou votre organisme dispose d’un site Web, la Loi sur la protection des renseignements personnels indique expressément que vous devez y publier vos règles en la matière. C’est là qu’X-trait communications, agence de visibilité urbaine offrant des services de conception et d’hébergement Web, intervient. On peut vous aider à ajouter des pages pour vos politiques et implémenter des formulaires et autres outils pour obtenir le consentement de vos utilisateurs lors de la collecte d’informations, par exemple pour votre marketing par courriel ou vos outils de suivi tels que Google Analytics 4. Communiquez avec nous pour discuter de votre transition légale et de ses implications.