Droit des affaires

Loi 25 et renseignements confidentiels dans l’entreprise privée

Écrit par Mathieu Therrien - 27 octobre 2022

Voici les détails concernant la loi 25, soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

À compter du 22 septembre 2022, par défaut, toutes les sociétés privées québécoises ont maintenant une personne responsable de la protection des renseignements personnels.

Il s’agit par définition de « la personne ayant la plus haute autorité dans l’entreprise », donc le PDG, ou le propriétaire.

Le rôle de cette personne peut être délégué par la société, par écrit. À cet effet, une résolution pourrait être pertinente. En théorie, ça pourrait aussi être délégué à l’externe, mais si la personne à l’externe se trouvait à l’extérieur du Québec ou du Canada, cela poserait certaines difficultés techniques additionnelles.

Notamment, les obligations suivantes sont maintenant en vigueur :

Investir de la responsabilité de la protection des renseignements personnels la personne qui détient la plus haute autorité dans l’entreprise et publier ses coordonnées.
Mettre en place et déployer un plan de gestion des incidents de confidentialité. Par incident de confidentialité, on entend l’accès, l’utilisation ou la communication non autorisés par la loi d’un renseignement personnel, la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Constituer un registre des incidents de confidentialité qui devra être communiqué à la Commission d’accès à l’information (CAI) sur demande. L’organisation est tenue de divulguer tout incident menaçant la confidentialité de données confidentielles ou une cyberattaque. Toutes les personnes potentiellement touchées par la faille de sécurité devront donc être avisées de même que la CAI si un risque de préjudice sérieux est relié à l’incident touchant les renseignements personnels.
Divulguer toute banque de caractéristiques ou de mesures biométriques à la CAI au moins 60 jours avant sa mise en service; également, divulguer la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques.

Si vous souhaitez en savoir plus, nous vous invitons à consulter les ressources suivantes ou encore nous contacter.

Loi 25 modernisant la protection des renseignements personnels au Québec : https://espacea.ca/fr/actualites/avis/protection-renseignements-personnels/
Guide des bonnes pratiques ciblées par la Commission de l’accès à l’information : https://www.cai.gouv.qc.ca/documents/CAI_Guide_obligations_entreprises_vf.pdf

Articles récents