La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après « Loi ») qui été sanctionnée le 22 septembre 2021 a pour objectif de moderniser le cadre législatif en lien avec la protection des renseignements personnels pour l’adapter à notre réalité d’aujourd’hui. L’entrée en vigueur de ces dispositions s’échelonnera sur une période de trois (3) années. Nous nous attarderons dans cette chronique aux principaux changements qui entreront en vigueur dès le 22 septembre 2022.
Tout d’abord, il convient de préciser que cette Loi vise notamment toutes les entreprises faisant affaire au Québec, et ce, peu importe leur taille. Elle concerne les renseignements personnels sur autrui que l’entreprise recueille, détient, utilise ou communique à des tiers à l’occasion de l’exercice de ses activités.
Voici un aperçu des mesures qui doivent être mises en place avant le 22 septembre 2022.
Nomination d’un responsable de la protection des renseignements personnels
Premièrement, un responsable de la protection des renseignements personnels doit être nommé. À cet effet, la Loi prévoit que la personne qui détient la plus haute autorité au sein d’une entreprise exercera la fonction de responsable de la protection des renseignements personnels. Cette fonction peut être déléguée par écrit, en tout ou en partie, à toute autre personne. L’entreprise doit rendre accessible au public par tout moyen le nom et les coordonnées de ce responsable. Cette personne sera redevable envers la Commission d’accès à l’information (ci-après « CAI »). Celle-ci est l’organisme qui a pour fonction d’administrer la Loi et notamment, vérifier ainsi que contrôler son application.
Les incidents de confidentialité et la tenue d’un registre
Deuxièmement, la Loi prévoit que la personne qui exploite une entreprise doit prendre les mesures nécessaires pour éviter qu’un incident de confidentialité se produise. Un incident de confidentialité peut se manifester de plusieurs façons: l’accès non autorisé par la Loi à un renseignement personnel, l’utilisation non autorisée par la Loi d’un renseignement personnel, la communication non autorisée par la Loi d’un renseignement personnel et la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement. Dans un tel contexte, un registre des incidents de confidentialité devra être tenu par l’entreprise et communiqué à la CAI sur demande.
Par ailleurs, tout incident de confidentialité impliquant un renseignement personnel présentant un risque de préjudice sérieux devra être dénoncé à la CAI ainsi qu’à la personne concernée, si les circonstances s’y prêtent. Le risque de préjudice sérieux s’évaluera en fonction du contexte, de la nature et de la quantité des renseignements personnels concernés par l’incident. À cet effet, une entreprise doit tenir compte de la sensibilité des renseignements, des conséquences appréhendées de leur utilisation et de la probabilité qu’ils soient utilisés à des fins préjudiciables. Par exemple, l’accès illégal à des renseignements personnels visant des centaines, voire des milliers de personnes impliquant l’accès à des numéros de carte de crédit et de débit constitue un risque de préjudice sérieux.
La communication de renseignements personnels pour des fins d’étude, de recherche ou de production de statistiques
Troisièmement, toute entreprise devra respecter le nouvel encadrement pour la communication des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques, dans la mesure ou une évaluation des facteurs relatifs à la vie privée sera effectuée.
Conclusion
Ces nouvelles obligations exigeront la mise en place de mesures et pratiques de sécurité adéquates pour prévenir la survenance d’incidents de confidentialité et les déceler rapidement et de manière efficace. Nous vous suggérons de vous préparer à respecter ces nouvelles obligations qui s’imposeront à toutes les entreprises dès le 22 septembre prochain.
Si vous avez des questions concernant la protection des renseignements personnels, nous vous invitons à communiquer avec les Services juridiques de l’APCHQ aux numéros suivants : 438 315-6888 ou 1 800 468-8160.
Pour en connaître davantage au sujet de la protection des renseignements personnels, vous pouvez consulter les articles suivants :
Quels sont les types de renseignements prévus par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels?
Serez-vous prêt à exercer la fonction de responsable de la protection des renseignements personnels?
Quels sont les critères à respecter avant de collecter un renseignement personnel?
Quelles sont vos obligations lorsqu’un incident de confidentialité présente un risque de préjudice sérieux?
Registre des incidents de confidentialité : quels renseignements doit-il contenir?
Dois-je adopter des politiques et des pratiques en matière de protection des renseignements personnels?
Dois-je procéder à une évaluation des facteurs relatifs à la vie privée?
Loi 25 : obligation d’information en matière de renseignements personnels
Loi 25 : consentement et exceptions