À partir du 22 septembre 2023, plusieurs obligations entreront en vigueur dans la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) en raison des effets de la Loi modernisant les dispositions législatives en matière de protection des renseignements personnels (L.Q., 2021, c. 25, appelée la Loi 25).
Parmi celles-ci se trouve l’obligation pour toute personne qui exploite une entreprise d’élaborer des politiques et des pratiques encadrant sa gouvernance à l’égard des renseignements personnels afin d’assurer une saine gestion de ceux-ci[1]. Mais qu’en est-il au juste?
Ces politiques et pratiques doivent prévoir un encadrement relatif à la cueillette, la détention, l’utilisation, la conservation, l’anonymisation, la destruction et la communication des renseignements personnels à un tiers. Elles doivent également prévoir des modalités et conditions visant la conservation et la destruction des renseignements personnels, indiquer les rôles et les responsabilités des membres de l’entreprise, et ce, tout au long du cycle de vie des renseignements, et établir un processus de traitement des plaintes relatives à la protection de ceux-ci.
Par ailleurs, ces politiques et pratiques doivent être proportionnées, c’est-à-dire tenir compte de la nature et de l’importance des activités de l’entreprise. Autrement dit, elles doivent être propres à celle-ci. L’utilisation de modèles sans effectuer les adaptations nécessaires n’est pas recommandée. De plus, elles devront être approuvées par le ou la responsable de la protection des renseignements personnels. Mentionnons que des informations quant aux politiques et pratiques devront être rédigées en termes simples et clairs afin d’être publiées sur le site Internet de l’entreprise. Si celle-ci n’a pas de site, elles devront être rendues accessibles par tout autre moyen approprié.
Si vous avez des questions concernant la protection des renseignements personnels, nous vous invitons à communiquer avec les Services juridiques de l’APCHQ aux numéros suivants : 438 315-6888 ou 1 800 468-8160.
Pour en connaître davantage au sujet de la protection des renseignements personnels, vous pouvez consulter les articles suivants :
La protection des renseignements personnels : êtes-vous prêt à faire face à vos obligations?
Quels sont les types de renseignements prévus par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels?
Serez-vous prêt à exercer la fonction de responsable de la protection des renseignements personnels?
Quels sont les critères à respecter avant de collecter un renseignement personnel?
Quelles sont vos obligations lorsqu’un incident de confidentialité présente un risque de préjudice sérieux?
Registre des incidents de confidentialité : quels renseignements doit-il contenir?
Dois-je procéder à une évaluation des facteurs relatifs à la vie privée?
Loi 25 : obligation d’information en matière de renseignements personnels
Loi 25 : consentement et exceptions
Quelles sont les conditions pour communiquer un renseignement personnel sans le consentement de la personne concernée dans le cadre d’un mandat ou contrat?
Loi 25 : la politique de confidentialité
[1] Art. 3.2 de la Loi 25.