Qu’est-ce que la loi 25?
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, aussi appelée loi 25, vise à protéger la population québécoise en responsabilisant les entreprises quant aux informations personnelles qu’elles détiennent.
Une partie des nouvelles dispositions législatives de la loi 25 sont entrées en vigueur le 22 septembre 2022. D’autres dispositions prendront effet en septembre 2023 et 2024, dont l’obligation de mettre en œuvre une politique encadrant la gouvernance des renseignements personnels.
La Commission d’accès à l’information du Québec est l’organisme responsable de surveiller l’application de la loi 25. En cas de non-respect de la loi, la Commission peut imposer des sanctions importantes, s’élevant jusqu’à 25 millions de dollars ou à 4 % du chiffre d’affaires mondial de l’entreprise.
Quelles sont les obligations des entreprises privées en vertu de la loi 25?
Depuis le 22 septembre 2022, la loi 25 impose certaines responsabilités aux entreprises privées québécoises, peu importe leur taille.
Désigner un responsable de la protection des renseignements personnels
Ainsi, il est obligatoire de désigner un responsable de la protection des renseignements personnels au sein de votre entreprise. La loi prévoit que ce rôle revient à la personne ayant la plus haute autorité dans l’organisation. Toutefois, cette fonction peut être déléguée, en tout ou en partie, à une autre personne. Peu importe de qui il s’agit, le titre du responsable et ses coordonnées doivent être publiés sur le site web de votre entreprise.
Tenir un registre des incidents de confidentialité
Il est également nécessaire de tenir un registre des incidents de confidentialité. Vous devez être en mesure de fournir une copie de ce registre à la Commission d’accès à l’information si elle vous le demande. De plus, s’il survient un incident présentant un risque sérieux de préjudice, vous êtes tenu d’en aviser la Commission ainsi que les personnes concernées.
Transettre des renseignements à certaines conditions
Finalement, de nouvelles règles vous permettent, à certaines conditions, de communiquer des renseignements personnels sans le consentement de la personne concernée lors de la conclusion d’une transaction commerciale. Assurez-vous que le fournisseur à qui vous communiquez ces renseignements respecte les obligations prévues par la loi.
Pour obtenir une description détaillée de vos obligations actuelles et de celles à venir, consultez cet aide-mémoire de la Commission d’accès à l’information.
Pourquoi adopter un programme de gouvernance de l’information?
À partir du 22 septembre 2023, de nouvelles dispositions de la loi 25 vont entrer en vigueur. Parmi celles-ci : l’obligation d’avoir établi des politiques et des pratiques en matière de gouvernance des renseignements personnels.
Au-delà du respect des obligations légales, la création d’un programme de gouvernance de l’information comporte plusieurs avantages pour une entreprise. En voici quelques-uns.
Définir clairement les responsabilités et obligations de chacun
Ce programme de gouvernance de l’information vise à s’assurer que les responsabilités et les obligations de chacun en matière de protection des renseignements personnels sont clairement définies et comprises par tous.
Mieux protéger les informations qui circulent
Il contribue à protéger les informations qui circulent dans l’entreprise en les rendant accessibles uniquement aux personnes qui en ont besoin.
Réagir avec efficacité
Il est un outil pour réagir rapidement si un incident de confidentialité a lieu malgré les moyens de prévention en place.
Démontrer la diligence de votre entreprise
Ce programme sert aussi à attester que l’entreprise a agi avec diligence si un incident de confidentialité présentant un risque sérieux de préjudice survient.
Un incident de confidentialité peut non seulement entraîner des frais élevés pour votre entreprise, mais il peut aussi entacher votre réputation ou compromettre votre rentabilité. C’est pourquoi il est important de vous doter d’un plan de gouvernance de l’information qui protège adéquatement votre organisation.
Pour lire l'article complet : https://www.rcgt.com/fr/nos-conseils/loi-25-quels-impacts-entreprises/
