La Loi 25 du Québec, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
La Loi 25, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adoptée le 21 septembre 2021. Une partie des nouvelles dispositions législatives sont en vigueur depuis le 22 septembre 2022. Les autres nouvelles obligations entreront en vigueur le 22 septembre 2023 et le 22 septembre 2024.
Les modifications résultant de la Loi 25 favorisent la transparence des organismes publics, des partis politiques provinciaux ainsi que des entreprises. Elle assure globalement un meilleur contrôle des citoyens sur leurs renseignements personnels et des mesures assurent une meilleure protection de leur vie privée.
Voici les obligations en vigueur depuis le 22 septembre 2022 :
Reconnaissance
- De la responsabilité des organismes publics de protéger les renseignements personnels qu’ils détiennent
- De l’autonomie de la personne responsable de l’accès à l’information et de la protection des renseignements personnels
- De l’imputabilité de la personne ayant la plus haute autorité au sein de l’organisme public
Organisme public
- Mettre en place un processus de traitement d’un incident de confidentialité impliquant un renseignement personnel
- Appliquer la nouvelle procédure de communication de renseignements personnels à des fins d’étude, de recherche ou de production de statistiques
- Mettre en place un comité sur l’accès à l’information et la protection des renseignements personnels
Commission d’accès à l’information
- Élaborer des lignes directrices pour faciliter l’application de la Loi
Deux nouvelles obligations de la Loi 25 s’appliquent déjà aux entreprises, soit la nomination d’un responsable de la protection des renseignements personnels ainsi que le signalement des incidents de confidentialité.
La principale responsabilité du responsable de la protection des renseignements personnels est qu’il s’assure que l’entreprise respecte et mette en œuvre la Loi sur la protection des renseignements personnels dans le secteur privé. Cela peut comprendre la mise en place de mesures facilitant le droit à la portabilité des données, la gestion des incidents de confidentialité ainsi que le processus de notification ainsi que la mise en place de politiques et de pratiques encadrant la gouvernance des renseignements personnels au sein de l’entreprise. Dans l’optique où une entreprise ne nomine pas de responsable, ce sera la personne ayant la plus haute autorité dans l’entreprise qui occupera la fonction. Il est possible pour cette dernière de déléguer la fonction par écrit.
Pour ce qui est du signalement des incidents de confidentialité, les entreprises devront aviser la Commission d’accès à l’information et les personnes concernées de tout incident de confidentialité présentant un risque de préjudice sérieux impliquant des renseignements personnels. Une atteinte à la protection des renseignements personnels présente un risque sérieux selon notamment le niveau de sensibilité des renseignements personnels, les conséquences de leur utilisation et la probabilité de leur utilisation à des fins préjudiciables.
Conclusion
Les objectifs de la Loi 25, notamment pour les entreprises, sont de rehausser la protection des renseignements personnels détenus par les entreprises, d’augmenter la confiance des citoyennes et des citoyens envers les entreprises et de soutenir l’innovation en tenant compte des nouvelles technologies. Les obligations de la Loi entreront en vigueur progressivement jusqu’en 2024 et en cas de non-respect de la Loi, la Commission d’accès à l’information pourra imposer des sanctions qui pourraient s’élever jusqu’à 25 M$ ou 4% du chiffre d’affaires mondial de la compagnie, proportionnellement à la gravité du manquement et la capacité de payer de l’entreprise.
Le gouvernement du Québec veut continuer à trouver des moyens pour améliorer la protection des renseignements personnels des Québécois et va continuer d’étudier les possibilités d’ajouter des mesures pour s’en assurer. Parmi celles-ci, il serait possible que des ajouts soient faits à la loi 25 qui donneraient plus de pouvoirs au ministère de la cybersécurité et du numérique (MCN). Celui-ci pourrait demander des comptes des organismes privés et publics.
La première séance de la 43e législature à l’Assemblée nationale aura lieu le mardi 29 novembre 2022. Il pourrait être possible de constater dans les premières semaines ce que le gouvernement fera pour assurer une meilleure protection des données privées des Québécois.
Sources :
- https://www.quebec.ca/gouvernement/ministeres-et-organismes/institutions-democratique-acces-information-laicite/acces-documents-protection-renseignements-personnels/pl64-modernisation-de-la-protection-des-renseignements-personnels
- https://www.assnat.qc.ca/fr/travaux-parlementaires/projets-loi/projet-loi-64-42-1.html?appelant=MC
- https://mondata.ai/apprendre/article/loi-25-quoi-faire-maintenant/
- https://cdn-contenu.quebec.ca/cdn-contenu/adm/min/conseil-executif/publications-adm/sairid/protection-renseignements-personnels-loi-64-entreprises.pdf?1636985344
