2024-06-06
Loi 25 – Dernier droit avant le 22 septembre 2024
6 juin 2024
Alors que la période estivale approche à grands pas, le CTAQ rappelle leurs obligations aux entreprises en ce qui a trait aux dispositions de la loi 25, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
Depuis son adoption en 2021, cette loi exige de toutes les entreprises l’élaboration d’un « plan de contingence » en ce qui a trait à la gestion des données personnelles en leur possession.
Des blocs d’obligations sont exigées à la date anniversaire de l’adoption de cette loi. Les éléments dans la liste ci-bas ne sont pas exhaustifs.
Depuis le 22 septembre 2022
• Désigner une personne responsable de la protection des renseignements personnels.
• En cas d’incident de confidentialité impliquant un renseignement personnel:
1. Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées, et pour éviter que des incidents semblables ne se reproduisent;
2. Aviser la Commission d’accès à l’information du Québec (CAI) et la personne concernée
3. Tenir un registre des incidents, dont une copie devra être transmise à la Commission à sa demande.
• Procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche, ou de production de statistiques.
Depuis le 22 septembre 2023
• Élaborer une Politique sur les pratiques encadrant la gouvernance de l’entreprise en matière de protection des renseignements personnels.
Cette politique devra notamment prévoir :
1. Des règles de conservation et de destruction des renseignements personnels
2. Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels
3. Un processus de traitement des plaintes relatives à la protection des renseignements personnels.
• Obtenir, au préalable, le consentement libre et éclairé de la personne visée pour recueillir, communiquer et utiliser ses renseignements personnels et respecter les nouvelles règles de consentement.
• Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les rendre anonymes pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi.
• Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de transmettre des renseignements personnels à l’extérieur du Québec.
• Obligation de prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité d’un produit ou d’un service technologique offert au public*.
*Cette disposition ne s’appliquera pas aux paramètres de confidentialité d’un témoin de connexion.
Et finalement, à partir du 22 septembre 2024 :
• Répondre aux demandes de portabilité des renseignements personnels, à savoir de transmettre, à la demande d’une personne concernée, ses renseignements personnels.
De nombreuses ressources, membres du CTAQ, peuvent vous accompagner.
Documents
Nous vous transmettons aussi un arbre de décision élaboré par le Barreau du Québec qui vous permettra d’arriver à la date butoir du 22 septembre 2024 pleinement préparé.
À titre de référence, vous pouvez consulter le site de la Commission de l’accès à l’information, responsable de la gestion de l’application de cette loi.
Événement en vedette
Événement annuel
Cocktail à l'Assemblée nationale
06 mai 2025
En présentiel
