Loi 25 / Bill 64 - La protection de la vie privée change au Québec : Êtes-vous prêts ?

Lois et règlements
6 octobre
/
7 min de lecture
Une nouvelle loi améliorée sur la protection des données est récemment entrée en vigueur au Québec afin de protéger les informations privées des Québécois. D'autres lois seront adoptées en septembre 2023 et en septembre 2024.
Loi25_Bill64_assemblee_nationale_photo_Enrique_Hoyos_Pexels

La loi 25 (anciennement projet de loi 64) s'applique non seulement aux entreprises du Québec, mais aussi à toute personne faisant des affaires avec des Québécois, de sorte que la portée et l'impact de cette nouvelle loi sont vastes. Le Québec a été la première province à se doter d'une législation sur la protection de la vie privée au début des années 1990, mais la loi n'avait pas beaucoup de mordant - jusqu'à maintenant. Cette nouvelle loi permet de : 

"Loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels."

Le projet de loi devient officiellement une loi lorsqu'il reçoit la sanction du lieutenant-gouverneur. Le projet de loi 64 a achevé son passage en loi lorsqu'il a reçu la sanction officielle le 22 septembre 2021. À ce moment-là, il est devenu la Loi sur la modernisation de la législation sur la protection de la vie privée - également connue sous le nom de projet de loi 64. 

Le projet de loi 64 est similaire à la législation générale de l'UE sur la protection des données (GDPR) qui est sortie en 2018, mais il diffère de son homologue européen sur un aspect crucial : la responsabilité.

Le GDPR et le projet de loi 64 du Québec exigent tous deux que les organisations désignent un responsable de la protection de la vie privée (DPO) qui est chargé de la mise en œuvre et du respect de la loi. Ses coordonnées doivent être publiées publiquement sur votre site web ou mises à disposition par d'autres moyens. Le projet de loi 64 va un peu plus loin que le GDPR en plaçant la responsabilité directement auprès du PDG ou du conseil d'administration des décideurs :

"La personne exerçant la plus haute autorité au sein de l'organisme public (PDG) veille à l'application et au respect de la présente loi. Ces fonctions peuvent être déléguées par écrit à un membre de l'organisme public ou de son conseil d'administration, selon le cas, ou à un membre du personnel de direction."

Qu'est-ce que cela signifie exactement ?

Le projet de loi 64 introduit de nouveaux outils d'application et, à l'instar de la législation canadienne anti-spam (CASL) publiée en 2014, il prévoit des amendes élevées en cas de violation. 

Nouvelles sanctions administratives pécuniaires :

À partir du 22 septembre 2022, il sera obligatoire de signaler tout "incident de confidentialité". Le projet de loi 64 introduit l'obligation pour les entités des secteurs public et privé de signaler les incidents à la fois à la Commission d'accès à l'information (CAI) et aux personnes dont les données sont affectées lorsque l'incident " présente un risque de préjudice grave ". Les entités des secteurs public et privé seront tenues de notifier la Commission d'accès à l'information (CAI) et toute personne dont les données sont affectées par un incident de sécurité des données qui " présente un risque de préjudice grave ", ainsi que de tenir un registre de ces incidents de confidentialité pendant cinq ans après la date ou l'heure à laquelle l'entreprise a eu connaissance de l'incident.

La CAI devrait continuer à publier des conseils et des informations sur la conformité au cours des trois prochaines années, au fur et à mesure que les dispositions entreront en vigueur.

Consentement 

Le consentement est également intégré dans cette nouvelle loi et est considéré comme la clé de voûte de la Loi sur le secteur privé. Cette partie entrera en vigueur en septembre 2023 et exigera le consentement avant la collecte, l'utilisation ou la communication de renseignements personnels. Les organismes et entreprises publics doivent demander le consentement de la personne concernée séparément de toute autre information fournie à la personne et il doit être donné expressément pour certaines utilisations ou divulgations de renseignements personnels sensibles. 

Il existe également une nouvelle règle concernant le traitement des données relatives aux enfants : le consentement de la personne titulaire de l'autorité parentale doit être obtenu pour collecter, utiliser et divulguer des informations personnelles concernant un mineur de moins de 14 ans.

Avez-vous actuellement des informations personnelles de mineurs de moins de 14 ans sur vos serveurs ? C'est le moment de le découvrir et d'obtenir le consentement approprié avant qu'il ne soit trop tard. Il s'agit d'un contenu informatif et vous devez obtenir les informations appropriées et soutenir la manière dont il s'applique à votre entreprise.

Gouvernance

Le projet de loi 64 du Québec exige également que des évaluations des facteurs relatifs à la vie privée (EFVP) soient réalisées à partir du 22 septembre 2023.

" Les organisations doivent procéder à une évaluation des incidences sur la vie privée pour tout projet d'acquisition, de développement ou de refonte d'un système d'information ou d'un système de prestation de services électroniques impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels ".

Aux fins d'une telle évaluation, l'organisme public doit consulter son comité d'accès à l'information et de protection des renseignements personnels dès le début du projet.

L'organisme public doit également s'assurer que le projet permet de communiquer les renseignements personnels informatisés recueillis auprès de la personne concernée dans un format technologique structuré et couramment utilisé.

La réalisation d'une évaluation de l'impact sur la vie privée en vertu de la présente loi doit être proportionnelle à la sensibilité des informations concernées, aux fins pour lesquelles elles doivent être utilisées, à la quantité et à la distribution des informations et au support sur lequel elles sont stockées."

Externalisation / Transferts de données hors du Québec

Des exigences accrues sont imposées aux entreprises qui souhaitent transférer des renseignements personnels à l'extérieur de la province de Québec. Les transferts ne seront autorisés que vers des juridictions offrant une " protection adéquate ", à évaluer qui " reconnaissent généralement les principes relatifs à la protection des renseignements personnels. "

Avant de communiquer des renseignements personnels à l'extérieur du Québec, " l'organisme public doit procéder à une évaluation des facteurs liés à la vie privée. Il doit notamment tenir compte de ce qui suit :

(1) la sensibilité de l'information ;
(2) les fins auxquelles elle doit être utilisée ;
(3) les mesures de protection qui s'y appliqueraient ; et
(4) le cadre juridique applicable dans l'État dans lequel l'information serait divulguée

Droits individuels

Semblable à l'exigence dite du "droit à l'oubli" qui existe en vertu de l'article 17 du GDPR, le projet de loi 64 comprend un "droit à l'effacement" (ou droit à la désindexation) qui entre en vigueur en septembre 2023 et exige que les personnes qui demandent aux organisations de cesser de diffuser leurs informations personnelles privées soient effacées. 

Le projet de loi 64 sera mis en œuvre sur une période de trois ans, la prochaine série de dispositions devant être ajoutée en septembre 2023 :  

  • L'obligation pour les organisations d'établir et de mettre en œuvre des politiques de gouvernance des données
  • Obligation d'effectuer des évaluations des incidences sur la vie privée (EIVP) pour les activités de traitement qui impliquent la collecte, l'utilisation, la communication, la conservation ou l'élimination de renseignements personnels, ou lors de la communication de renseignements personnels à l'extérieur du Québec.
  • L'obligation d'informer les personnes concernées de l'utilisation de technologies de prise de décision et de profilage automatisées.
  • Exigences renforcées en matière de consentement, notamment un consentement clair, libre et éclairé dans un but et un délai précis

Ligne du temps

Source : McMillan

22 septembre 2022

  • Désignez un responsable de la protection de la vie privée (si vous ne l'avez pas déjà fait pour le GDPR).  
  • Élaborer un plan d'intervention complet en cas de violation des données  
  • Familiarisez-vous avec les obligations liées à la divulgation d'informations personnelles dans le cadre d'une transaction commerciale. 

22 septembre 2023

  • Développez votre cadre de protection de la vie privée / mettez à jour votre politique de protection de la vie privée en ligne.  
  • Développer un système d'évaluation des incidences sur la vie privée.  
  • Examiner/mettre en œuvre les contrats avec les prestataires de services tiers. ◻ Évaluez vos protections physiques, organisationnelles et technologiques.  
  • Examinez votre couverture d'assurance.  
  • Familiarisez-vous avec les nouvelles exigences et exceptions en matière de consentement.  
  • Mettez à jour vos formulaires de consentement / mettez en place un système de gestion du consentement.  
  • Connaître vos obligations de transparence (y compris pour le suivi et le profilage).  
  • Mettre en œuvre la confidentialité par défaut.  
  • Révisez et mettez à jour vos calendriers de conservation.  
  • Examinez votre processus d'anonymisation des données (le cas échéant).  
  • Préparer les avis et le langage explicatif pour la prise de décision automatisée. 

22 septembre 2024

  • Assurez-vous que vos systèmes de gestion des données permettent l'extraction et le transfert des données. 

Qu'il s'agisse de la législation canadienne anti-spam (CASL), du Règlement général sur la protection des données (RGPD ) de l'UE ou du projet de loi 64 du Québec, tous ces textes ont eu un impact direct sur la confidentialité des données dans le monde entier. Il ne fait aucun doute dans mon esprit que nous nous dirigeons vers un contrôle accru des personnes sur leurs informations personnelles identifiables (IPI), ce qui est une bonne chose.

Vous voulez en savoir plus ?

Voici un aperçu des principales obligations qui sont entrées en vigueur le 22 septembre 2022. Serez-vous prêts ? Le compte à rebours a commencé ! Les informations complètes de la CAI se trouvent sur le site des Nouvelles obligations des entreprises en matière de protection de la vie privée.  

Partagez ceci

Lien texte
Il s'agit d'un texte à l'intérieur d'un bloc div.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.