Adopté en septembre 2021, le projet de loi 64 sur la protection des renseignements personnels entrera progressivement en vigueur au Québec à compter de l’automne 2022. Qu’est-ce que cette réforme veut dire pour une entreprise comme la vôtre? Nous avons recueilli l’avis d’un spécialiste en la matière, Me Erwan Jonchères du cabinet Lex Start Avocats, afin de vous outiller sur la question.
La loi 64 en bref
La loi 64 est née de la volonté du Gouvernement québécois de renforcer et de moderniser ses mécanismes de protection des renseignements personnels. Pourquoi? Tout simplement pour mieux protéger ses citoyens et citoyennes! Les nouvelles règles audacieuses exigeront de tous les organismes publics et entreprises exerçant une activité au Québec une plus grande transparence en ce qui a trait à la cueillette et au partage des renseignements personnels et permettront aux utilisateurs de conserver un meilleur contrôle sur leurs informations.
Voici 6 choses à retenir sur son application
1. L’application est prévue en trois phases
Heureusement, cela veut dire que les entreprises pourront s’adapter graduellement à leurs nouvelles obligations. Mais, attention : les premiers changements entreront en vigueur le 22 septembre 2022. Les phases suivantes sont prévues pour septembre 2023 et 2024. Nous présentons ici ce qui vous attend cet automne.
2. L’importance du consentement explicite sera renforcée
Toute entreprise devra indiquer clairement à ses utilisateurs quels renseignements personnels elle souhaite collecter et obtenir leur consentement avant de le faire. De plus, celle-ci devra divulguer l’identité des tiers à qui elle transmet les informations recueillies et, surtout, permettre aux individus de demander la modification ou la suppression des renseignements.
3. Un responsable de la protection des renseignements personnels sera nommé au sein de toutes les entreprises
Oui, toutes. Même si votre organisation n’a que deux employés. Le responsable de la protection des renseignements personnels, ou RPRP, deviendra la personne-ressource en matière de conformité à la loi. Celui-ci sera responsable de la création de politiques, de pratiques de gouvernance et de tous les processus entourant la protection des renseignements personnels. S’agit-il d’un rôle complexe? Oui, mais surtout d’un rôle essentiel et obligatoire. Vous pouvez en apprendre davantage à ce sujet juste ici.
Le 22 septembre 2022, tous les chefs d’entreprise deviendront par défaut RPRP, mais le rôle peut être délégué à une personne qui s’y connaît mieux dans le domaine.
4. Les incidents de confidentialité devront être gérés et déclarés
Toute fuite ou perte de renseignements personnels – aussi minime soit-elle – devra être tenue dans un registre et transmise à la Commission d’accès à l’information. Si, selon cette dernière, il y a risque de préjudice grave, votre entreprise sera aussi dans l’obligation d’informer les personnes concernées par l’incident.
5. Les sanctions prévues feront mal, mais…
Selon la gravité de l’offense, les amendes pourront aller jusqu’à 25 millions $ ou 4 % du chiffre d’affaires mondial. Aïe! Cependant, n’oubliez pas qu’une entreprise qui a à cœur la protection des renseignements personnels a beaucoup plus de chance de gagner la confiance de ses utilisateurs.
6. Se préparer à l’application de la loi 64
Selon Me Erwan Jonchères, le meilleur moyen pour les organisations de se préparer aux changements est d’effectuer un audit de leurs pratiques liées aux renseignements personnels. « Quels sont les renseignements personnels que vous collectez? Par quels moyens? Qui les traite? Comment les utilisez-vous? À qui sont-ils transférés? Cartographiez le flux des renseignements pour obtenir une meilleure vision globale. », conseille-t-il.
Pour tout savoir sur la loi 64 et les mesures à prendre pour bien parer votre entreprise aux trois phases de son application, consultez le site officiel de la Commission d’accès à l’information du Québec.