Le 22 septembre 2023 marque l’entrée en vigueur d’une nouvelle vague de dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le privé ») mises en place par la Loi 25. La Loi 25, émanant du projet de loi 64 et adoptée en 2021, a mis en œuvre une importante réforme des principes en matière de protection des renseignements personnels au Québec.
La Loi sur le privé vise toute entreprise privée au Québec qui recueille, utilise ou communique des renseignements personnels. Vos pratiques en matière de protection des renseignements personnels sont-elles conformes? Cette question est cardinale puisqu’une entreprise peut se voir attribuer de sévères sanctions pénales en cas de non-conformité.
En effet, une entreprise qui contrevient à la loi s’expose désormais à des sanctions administratives pécuniaires allant jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’exercice précédent et à des amendes allant jusqu’à 25 000 000 $ ou 4 % du chiffre d’affaires mondial de l’exercice précédent.
Les obligations suivantes doivent donc être respectées depuis le 22 septembre 2023.
Vous devez disposer d’une politique de confidentialité et la publier sur votre site internet. Vous devez également avoir publié des informations détaillées au sujet de vos politiques et de vos pratiques en matière de protection des renseignements personnels, dont :
Vos politiques et vos pratiques relativement à la protection des renseignements personnels doivent notamment tenir compte des nouvelles exigences quant au consentement de la personne concernée à la collecte, à l’utilisation et à la communication de ses renseignements personnels.
Une entreprise doit désormais effectuer une EFVP afin d’entamer un projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la destruction ou la conservation de renseignements personnels. Votre responsable de la protection des renseignements personnels doit être consulté·e dès le début du projet et peut proposer des mesures de protection des renseignements personnels.
L’EFVP doit être proportionnelle à : i) la sensibilité des renseignements personnels concernés; ii) la finalité de l’utilisation des renseignements personnels concernés; iii) la quantité de renseignements personnels concernés et iv) la répartition et le support des renseignements personnels concernés.
Sauf exception, une entreprise doit obtenir le consentement de la personne concernée afin de communiquer ses renseignements personnels.
Afin de les communiquer à l’extérieur du Québec, l’entreprise doit désormais également effectuer une EFVP tenant notamment compte de la sensibilité des renseignements personnels, de la finalité de leur utilisation et des mesures de protection, y compris celles qui sont contractuelles, dont les renseignements bénéficieraient.
La communication peut avoir lieu si l’EFVP démontre que les renseignements bénéficieraient d’une protection adéquate. La communication de renseignements personnels à l’extérieur du Québec doit faire l’objet d’une entente écrite tenant notamment compte des résultats de l’EFVP et des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluation.
Ces obligations s’appliquent aussi lorsque l’entreprise confie la tâche de recueillir, d’utiliser ou de communiquer des renseignements personnels à une entreprise à l’extérieur du Québec, par exemple lorsque votre entreprise fait affaire avec un fournisseur de services en infonuagique situé dans une autre province.
Si votre entreprise utilise des renseignements personnels afin de rendre une décision fondée exclusivement sur leur traitement automatisé, assurez-vous d’en informer la personne concernée au plus tard au moment où vous lui communiquer cette décision. Assurez-vous également de lui transmettre l’ensemble de l’information nécessaire en vertu de la loi, sur demande.
Si votre entreprise recueille des renseignements personnels en ayant recours à une technologie comprenant des fonctions permettant d’identifier la personne, de la localiser ou d’effectuer un profilage, il y a eu lieu de revoir vos pratiques et vos politiques à cet effet afin de vous assurer que la personne concernée soit préalablement informée du recours à une telle technologie et des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage.
Assurez-vous également que votre entreprise se conforme aux nouvelles dispositions en vigueur depuis le 22 septembre 2022, dont celles concernant les incidents de confidentialité et le ou la responsable de la protection des renseignements personnels. Ces dispositions, visées par la première vague d’entrées en vigueur, font l’objet d’un article distinct accessible ici : Nouvelle loi québécoise sur la protection des renseignements personnels : Une liste de contrôle pour être prêt le 22 septembre 2022.
Nous sommes disponibles pour vous aider à vous conformer aux exigences relativement à la protection des renseignements personnels, notamment pour :
Si vous avez des questions concernant cette nouvelle loi et les changements qui seront requis au sein de votre entreprise pour vous y conformer, n’hésitez pas à communiquer avec Alexandra Quigley, Audrey Nardini ou un autre membre du groupe Cybersécurité et protection de la vie privée et des renseignements personnels de Dentons.
Les courriels non sollicités et les autres renseignements envoyés à Dentons ne seront pas considérés comme confidentiels, pourraient être communiqués à des tiers ou ne pas obtenir de réponse et ne créent pas de relation avocat client. Si vous n’êtes pas un client de Dentons, vous ne devriez pas nous envoyer de renseignements confidentiels.
Ce contenu est disponible en anglais seulement. S'il vous plaît cliquer sur Continuer ci-dessous pour lire cela en anglais.
Vous quittez maintenant le site Web de Dentons. Vous serez redirigé vers le site Web de $redirectingsite en anglais. Pour continuer, cliquez sur « Continuer ».
Vous quittez maintenant le site Web de Dentons. Vous serez redirigé vers le site Web de Beijing Dacheng Law Offices, LLP. Pour continuer, cliquez sur « Continuer ».