La Loi 25 redéfinit la protection des renseignements personnels au Québec. Découvrez les implications de la Loi 25, une réforme majeure entrée en vigueur le 22 septembre dernier, redéfinissant les normes de protection des renseignements personnels au Québec.
Quelques informations en rafale
- Nom : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, aussi appelée Loi 25.
- Entrée en vigueur : 22 septembre 2023
- Historique : Les modifications apportées par la Loi 25 entrent progressivement en vigueur depuis 2022 et s’échelonnent sur une période de trois ans, soit jusqu’en 2024.
- Contexte : Cette réforme modernise les règles protégeant les renseignements personnels au Québec afin qu’elles soient mieux adaptées aux nouveaux défis posés par l’environnement numérique et technologique actuel.
La Loi 25 introduit des obligations clés pour les entreprises, y compris la désignation d’une personne responsable de la protection des renseignements personnels, la gestion proactive des incidents de confidentialité, la divulgation des vérifications biométriques à la Commission, et le respect d’un nouveau cadre de communication de renseignements personnels.
Les principales nouvelles obligations
En plus de respecter les obligations actuelles en matière de protection des renseignements personnels, les entreprises doivent notamment :
- Désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Internet de l’entreprise;
- En cas d’incident de confidentialité, tenir un registre de tous les incidents et prendre rapidement des mesures afin de diminuer le risque qu’un préjudice soit causé aux personnes concernées. Une entreprise doit aussi aviser la Commission et les personnes concernées de tout incident présentant un risque sérieux de préjudice;
- Divulguer préalablement à la Commission la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques;
- Respecter le nouvel encadrement applicable à la communication de renseignements personnels sans le consentement de la personne concernée dans le cadre d’une transaction commerciale ou encore à des fins d’étude, de recherche ou de productions de statistiques.
En plus de ces obligations, les organismes publics devront aussi former un comité sur l’accès à l’information et la protection des renseignements personnels.
Prendre action dans votre organisation
Si cela n’est pas déjà fait, il vaudrait la peine de réaliser un audit complet des processus et des outils de votre organisation afin d’être conforme à la nouvelle Loi 25 qui contient de nombreux éléments.
Quant à votre site web, il s’agit d’établir différents processus et de rendre disponibles des informations particulières aux usagers pour leur garantir une qualité dans le traitement de leurs données personnelles, à savoir mais sans s’y restreindre :
- Un système de gestion des du consentement pour l’utilisation des cookies
- Un processus de demande de retrait des informations personnelles
- L’affichage des documents légaux requis comme les politiques d’utilisation du site et de gestion des données personnelles
Pour en savoir plus
Notre équipe d’experts est disponible pour vous accompagner dans l’adaptation de votre site web et de vos processus d’affaires pour garantir la conformité à la Loi 25 du Québec ainsi qu’aux autres lois d’autres juridictions telles que GDPR.