Certaines dispositions de la « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels » (autrefois le projet de loi 64) entreront en vigueur dans un peu plus d’un mois, le 22 septembre. Votre entreprise sera-t-elle prête à s’y conformer ?
Sanctionnée le 22 septembre 2021, cette loi va apporter des modifications importantes aux lois sur la protection des renseignements personnels. Elle a pour objectif d’offrir un meilleur contrôle aux citoyens sur leurs renseignements personnels et elle modernise le cadre législatif pour l’adapter à la réalité technologique d’aujourd’hui.
Plusieurs nouveautés s’ajouteront aux dispositions actuelles de la « Loi sur la protection des renseignements personnels dans le secteur privé », qui prévoit déjà que toute personne exploitant une entreprise doit prendre les mesures nécessaires pour respecter ses obligations en cette matière.
Parmi ces mesures :
- Répondre avec diligence aux demandes d’accès aux renseignements personnels, motiver tout refus et informer le requérant des recours offerts devant la Commission d’accès à l’information.
- Informer, préalablement à la collecte de renseignements personnels, les personnes concernées des finalités de la collecte, de l’utilisation qui sera faite des renseignements et des personnes qui y auront accès et prendre les mesures de sécurité propre à assurer la protection des renseignements personnels.
- Veiller à ce que la personne à qui vous communiquez ou confiez des renseignements personnels, à l’extérieur de la province, assure un niveau de protection équivalent à celui que vous êtes tenus de respecter.
L’entrée en vigueur des nouvelles dispositions de la nouvelle loi s’échelonnent sur trois ans, le 22 septembre de chaque année jusqu’en 2024, donnant ainsi amplement de temps aux entreprises visées pour s’y préparer. C’est la Commission d’accès à l’information du Québec (CAI) qui est chargée de veiller à l’application de la loi.
Nouvelles dispositions pour 2022
Voici un aperçu des nouvelles dispositions qui entrent en vigueur cette année :
- Obligation d’exercer la fonction de responsable de la protection des renseignements personnels ou de la déléguer par écrit à une autre personne et de publier les coordonnées du responsable.
- Obligation de former un comité sur l’accès à l’information et la protection des renseignements personnels.
- Obligation d’aviser la CAI et la personne concernée de tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice et de tenir un registre devant être fourni à la Commission sur demande.
- Obligation de divulguer toute banque de caractéristiques ou de mesures biométriques à la CAI au moins 60 jours avant sa mise en service.
- Obligation de divulguer la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques.
Un nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques ou dans le cadre d’une transaction commerciale est également prévu dès le 22 septembre 2022 de même que des modifications aux pouvoirs, fonctions et rôles de la CAI. Parmi ces modifications, on retrouve l’ajout d’une nouvelle vice-présidence et le pouvoir d’élaborer des lignes directrices.
