Dans 6 mois, soit le 22
septembre 2023, la majorité des dispositions de la Loi 25 venant
moderniser le cadre juridique applicable aux renseignements personnels
au Québec tant à l’égard des organismes publics que des entreprises
seront en vigueur.
Ainsi, à partir de cette date, les
organismes publics et les entreprises devront tenir comptes des
nouvelles exigences en lien, notamment, avec :
- les règles encadrant la gouvernance des renseignements personnels;
- le consentement, surtout lorsqu’il est question de renseignements personnels sensibles;
- les évaluations de facteurs relatifs à la vie privée (EFVP) à réaliser, entre autres, pour tout projet d’acquisition, de développement ou de refonte d’un système d’’information ou de prestation électronique de services impliquant des renseignements personnels ou encore avant toute communication de renseignements personnels à l’extérieur du Québec;
- les informations à fournir, par exemple, lors du recours à une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer le profilage d’une personne ou encore lorsqu’une décision fondée exclusivement sur un traitement automatisé est rendue à l’endroit d’une personne;
- les paramètres de confidentialité des produits ou services technologiques offerts au public qui, par défaut, doivent offrir le plus haut niveau de confidentialité;
- la dépersonnalisation, l’anonymisation, la cessation de la diffusion ou la désindexation d’un lien hypertexte.
Ces
exigences viennent s’ajouter à celles qui sont entrées en vigueur le 22
septembre 2022, à savoir la désignation d’un responsable de la
protection des renseignements personnels pour les entreprises, la
constitution d’un comité sur l’accès à l’information et la protection
des renseignements personnels pour les organismes publics, la
déclaration des incidents de confidentialité ou encore le délai pour
divulguer à la Commission d’accès à l’information la création d’une
banque de caractéristiques ou de mesures biométriques.
Même
s’il reste encore quelques mois, il ne faut surtout pas sous-estimer
l’ampleur de la tâche d’autant, qu’à partir, du 22 septembre 2023, le
montant des amendes pouvant être prononcées à l’égard d’un organisme
public et d’une entreprise sera plus élevé qu’actuellement, tout comme
celui des dommages-intérêts punitifs pouvant être accordés. De plus, la
Commission aura également le pouvoir d’imposer des sanctions
administratives pécuniaires à l’égard d’une personne ou d’une entreprise
en cas de manquement à la loi.
#Loi25 #Québec #renseignementspersonnels #secteurpublic #entreprises #gouvernance #consentement #EFVP #consentement #incidentsdeconfidentialité #biométrie #ComitéAIPRP #confidentialité #anonymisation #dépersonnalisation #désindexation
