Connaissez-vous vos obligations en matière de protection des renseignements personnels?

En vigueur depuis le 22 septembre 2022, la Loi 25 sur la protection des renseignements personnels dans le secteur privé vise toutes les entreprises, petites ou grosses. Votre organisation est-elle prête?

Cette loi québécoise modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, est du même ordre que le Règlement général sur la protection des données en Europe mieux connu sous le nom RGDP (ou GDPR en anglais).

Elle a pour objectif d’offrir un cadre de protection des renseignements personnels détenus par les entreprises. Elle s’applique à l’égard des renseignements personnels qu’une entreprise recueille, détient, utilise, communique à des tiers, conserve ou détruit, et ce, quelle que soit la nature du support et la forme sous laquelle les renseignements personnels sont détenus, à savoir écrite, graphique, sonore, visuelle, informatisée ou autre.

Un renseignement personnel, c’est quoi?

• Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier directement ou indirectement. Ils sont confidentiels.
• Sauf exception, ils ne peuvent être communiqués ou utilisés sans le consentement de la personne concernée.

Une entreprise qui recueille, détient, utilise, communique à des tiers, conserve ou détruit des renseignements personnels a plusieurs obligations à respecter en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé).

Votre entreprise rencontre-t-elle ses nouvelles obligations?

En plus de respecter les obligations préexistantes en matière de protection des renseignements personnels, depuis le 22 septembre 2022, vous devez notamment :

1. Désigner une personne responsable de la protection des renseignements personnels
2. En cas d’incident de confidentialité impliquant un renseignement personnel :
   a. prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent;
   b. aviser la Commission el la personne concernée si l’incident présente un risque de préjudice sérieux;
   c. tenir un registre des incidents dont une copie devra être transmise à la Commission à sa demande;
3. Respecter le nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale;
4. Procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques;
5. Divulguer préalablement à la Commission la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques.

En plus de respecter les obligations préexistantes en matière de protection des renseignements personnels, à partir du 22 septembre 2023, les organisations privées devront, entre autres :

1. Avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels
2. Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels
3. Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi
4. Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l’oubli)

De plus, selon la nature et l’étendue de vos activités commerciales, d’autres obligations peuvent exister en matière de protection des renseignements personnels.

Pour en apprendre davantage sur vos obligations en matière de protection des renseignements personnel et les actions à prendre pour vous y conformer, visitez https://necando.com/loi-25/.

À propos de Necando Solutions

Necando aide les organisations nord-américaines à tirer avantage de leurs données. Nous travaillons continuellement avec des organismes gouvernementaux et des clients œuvrant dans les secteurs de la finance, du transport, etc. C’est cette expérience étoffée, jumelée au portefeuille de solutions de données d’IBM sont ce que nous sommes fiers de fournir à nos clients.