L’application de la Loi 25 - Loi sur la protection des renseignements personnels dans le secteur privé, a débuté le 22 septembre 2022 et impose aux entreprises plusieurs dispositions protégeant les renseignements personnels.
Parmi les dispositions exigibles par la loi, et depuis septembre 2022, les entreprises doivent avoir, entre autres, désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Internet de l'entreprise, tenir un registre de tous les incidents et prendre rapidement des mesures afin de diminuer le risque qu'un préjudice soit causé aux personnes concernées.
Vous pouvez consulter notre article précédent pour obtenir le détail des dispositions
ici .
2E PHASE DE MISE EN PLACE : DATE BUTOIR LE 22 SEPTEMBRE 2023
De nombreuses obligations entreront en vigueur dès le 22 septembre prochain. Vu l’ampleur des dispositions à prendre, les entreprises devraient se pencher dès maintenant sur leur mise en place :
1- Avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié
2- Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec
3- Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels
4- Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi
5- Respecter vos nouvelles obligations d’information et de transparence envers les citoyens
6- Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée (exercice d’un mandat ou exécution d’un contrat de service ou d’entreprise)
7- Respecter les nouvelles règles de communication des renseignements personnels à l'extérieur du Québec
8- Respecter les nouvelles règles d’utilisation des renseignements personnels
9- Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public
10- Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur
11- Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l'oubli)
12- Respecter les nouvelles règles de communication des renseignements personnels facilitant le processus de deuil
Rappelons que les modifications apportées par la Loi 25 entrent progressivement en vigueur sur une période de trois ans, jusqu'en 2024.
