Loi 25, le numérique, les cookies et comment s’y préparer? (Partie 1)
Deux de mes clients me demandent de regarder attentivement la question de la loi 25 et de leur faire des recommandations. La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels a été modifiée et elle change les obligations des organisations en ce qui a trait à Loi sur la protection des renseignements personnels dans le secteur privé.
Dans LeDevoir :
Aussi appelée loi 25 ou projet de loi 64, cette nouvelle loi, sanctionnée par l’Assemblée nationale le 22 septembre 2021 après 15 mois de travaux, introduit une série de nouvelles obligations. Par exemple, le conseil d’administration d’une entreprise québécoise devra nommer un responsable des renseignements personnels. Une entreprise coupable d’avoir manqué à ses obligations devra acquitter des amendes allant de 15 000 dollars à 25 millions de dollars, et jusqu’à 4 % de son chiffre d’affaires mondial — et le double en cas de récidive.
« Avec cette loi, le Québec s’est rapproché du système européen et son Règlement général sur la protection des données [RGPD] », note Selena Lu. Elle cite notamment l’introduction du concept de droit à l’oubli, qui permettra à une personne d’exiger le retrait de certaines informations et de certains hyperliens.
Cette loi a déterminé certains jalons afin de donner le temps et de permettre aux organisations de s’adapter aux nouvelles réalités de protection des données. Vous avez déjà un premier jalon qui a été établi en septembre 2022 et les deux autres moments seront en septembre 2023 et septembre 2024.
Selon le résumé qu’en a publié la Commission d’accès à l’information du Québec dans son AIDE-MÉMOIRE – Nouvelles responsabilités des entreprises, pistes d’action et bonnes pratiques, vous devez déjà :
1- Désigner une personne responsable de la protection des renseignements personnels et publier le titre et les coordonnées du responsable sur le site Internet de l’entreprise ou, si elle n’a pas de site, les rendre accessibles par tout autre moyen approprié.
2- En cas d’incident de confidentialité impliquant un renseignement personnel :
a. prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent;
b. aviser la Commission et la personne concernée si l’incident présente un risque de préjudice sérieux;
c. tenir un registre des incidents dont une copie devra être transmise à la Commission à sa demande;
3- Respecter le nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale;
4- Procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques;
5- Divulguer préalablement à la Commission la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques.
À partir de septembre prochain, en plus des obligations déjà citées, vous devrez aussi :
1- Avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié;
2- Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec;
3- Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels;
4- Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi;
5- Respecter vos nouvelles obligations d’information et de transparence envers les citoyens;
6- Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée (exercice d’un mandat ou exécution d’un contrat de service ou d’entreprise);
7- Respecter les nouvelles règles de communication des renseignements personnels à l’extérieur du Québec;
8- Respecter les nouvelles règles d’utilisation des renseignements personnels;
9- révoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public;
10- Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur;
11- Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l’oubli);
12- Respecter les nouvelles règles de communication des renseignements personnels facilitant le processus de deuil.
Finalement, en septembre 2024, vous devrez :
Répondre aux demandes de portabilité des renseignements personnels.
Article publié le vendredi, 2 juin 2023 sous les rubriques cybersécurité et Droit et Internet.
