La loi 25 sur la protection des renseignements personnels, anciennement projet de loi 64, est entrée progressivement en vigueur au Québec à compter de l’automne 2022. Qu’est-ce que cette réforme veut dire pour une entreprise comme la vôtre? Nous avons recueilli l’avis d’un spécialiste en la matière, Me Erwan Jonchères du cabinet Satoshi Legal, afin de vous outiller sur la question.
La loi 25 en bref
La loi 25, ou Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est née de la volonté du Gouvernement québécois de renforcer et de moderniser ses mécanismes de protection des renseignements personnels. Pourquoi? Tout simplement pour mieux protéger la population!
Les nouvelles règles audacieuses exigeront de tous les organismes publics et entreprises exerçant une activité au Québec une plus grande transparence en ce qui a trait à la cueillette et au partage des renseignements personnels et permettront aux personnes utilisatrices de conserver un meilleur contrôle sur leurs informations.
Voici 5 choses à retenir sur son application.
1. L’importance du consentement explicite est renforcée
Toute entreprise doit indiquer clairement à sa clientèle quels renseignements personnels elle souhaite collecter et obtenir leur consentement avant de le faire.
De plus, celle-ci devra divulguer l’identité des tiers à qui elle transmet les informations recueillies et, surtout, permettre aux individus de demander la modification ou la suppression des renseignements.
2. Une personne responsable de la protection des renseignements personnels doit être nommée
Oui, au sein de toutes les entreprises. Même si votre organisation n’a que deux personnes employées. Le ou la responsable de la protection des renseignements personnels, ou RPRP, devient la personne-ressource en matière de conformité à la loi.
Celle-ci est responsable de la création de politiques, de pratiques de gouvernance et de tous les processus entourant la protection des renseignements personnels. S’agit-il d’un rôle complexe? Oui, mais surtout d’un rôle essentiel et obligatoire. Vous pouvez en apprendre davantage à ce sujet juste ici.
Le 22 septembre 2022, toutes personnes à la tête d’entreprise sont devenues par défaut RPRP, mais le rôle peut être délégué à quelqu'un qui s’y connaît mieux dans le domaine.
3. Les incidents de confidentialité doivent être gérés et déclarés
Toute fuite ou perte de renseignements personnels – aussi minime soit-elle – doit être tenue dans un registre et transmise à la Commission d’accès à l’information.
Si, selon cette dernière, il y a risque de préjudice grave, votre entreprise sera aussi dans l’obligation d’informer les personnes concernées par l’incident.
4. Les sanctions prévues feront mal, mais…
Selon la gravité de l’offense, les amendes peuvent aller jusqu’à 25 millions $ ou 4 % du chiffre d’affaires mondial. Aïe!
Cependant, n’oubliez pas qu’une entreprise qui a à cœur la protection des renseignements personnels a beaucoup plus de chance de gagner la confiance de ses utilisateurs et utilisatrices.
5. Se préparer à la loi 25
Selon Me Erwan Jonchères, le meilleur moyen pour les organisations de bien appliquer ces changements est d’effectuer un audit de leurs pratiques liées aux renseignements personnels.
« Quels sont les renseignements personnels que vous collectez? Par quels moyens? Qui les traite? Comment les utilisez-vous? À qui sont-ils transférés? Cartographiez le flux des renseignements pour obtenir une meilleure vision globale. », conseille-t-il.
Pour tout savoir sur la loi 25 et les mesures à prendre pour bien parer votre entreprise, consultez le site officiel de la Commission d’accès à l’information du Québec.