22 mars 2024

Québec: Entrée en vigueur dans 6 mois du droit à la portabilité

 Dans six (6) mois, le 𝐝𝐫𝐨𝐢𝐭 𝐚̀ 𝐥𝐚 𝐩𝐨𝐫𝐭𝐚𝐛𝐢𝐥𝐢𝐭𝐞́ entre en vigueur au Québec.


À partir du 22 septembre 2024, toute personne (justifiant de son identité) pourra obtenir,

  • dans un format technologique structuré et couramment utilisé; 
  • un renseignement personnel informatisé qu’elle a fourni à un organisme public ou à une entreprise.

Elle pourra aussi demander à ce que ce renseignement soit transmis à une autre personne ou à un organisme dans ce même format, en autant que ces derniers sont autorisés à recueillir de tels renseignements personnels.


Le droit à la portabilité ne s’appliquera pas:

  • aux renseignements personnels créés ou inférés à partir des renseignements personnels de la personne concernée; 
  • lorsque cela soulèvera des difficultés pratiques sérieuses pour l’organisme public ou l’entreprise à qui la demande est faite. 


L’exercice de ce droit étant inscrit dans les sections relatives aux droits reconnus aux personnes concernées par un renseignement personnel, tant dans la 𝐿𝑜𝑖 𝑠𝑢𝑟 𝑙’𝑎𝑐𝑐𝑒̀𝑠 𝑎𝑢𝑥 𝑑𝑜𝑐𝑢𝑚𝑒𝑛𝑡𝑠 𝑑𝑒𝑠 𝑜𝑟𝑔𝑎𝑛𝑖𝑠𝑚𝑒𝑠 𝑝𝑢𝑏𝑙𝑖𝑐𝑠 𝑒𝑡 𝑠𝑢𝑟 𝑙𝑎 𝑝𝑟𝑜𝑡𝑒𝑐𝑡𝑖𝑜𝑛 𝑑𝑒𝑠 𝑟𝑒𝑛𝑠𝑒𝑖𝑔𝑛𝑒𝑚𝑒𝑛𝑡𝑠 𝑝𝑒𝑟𝑠𝑜𝑛𝑛𝑒𝑙𝑠 (LADOPPRP) que dans la 𝐿𝑜𝑖 𝑠𝑢𝑟 𝑙𝑎 𝑝𝑟𝑜𝑡𝑒𝑐𝑡𝑖𝑜𝑛 𝑑𝑒𝑠 𝑟𝑒𝑛𝑠𝑒𝑖𝑔𝑛𝑒𝑚𝑒𝑛𝑡𝑠 𝑝𝑒𝑟𝑠𝑜𝑛𝑛𝑒𝑙𝑠 𝑑𝑎𝑛𝑠 𝑙𝑒 𝑠𝑒𝑐𝑡𝑒𝑢𝑟 𝑝𝑟𝑖𝑣𝑒́ (LPRPSP), le responsable de la protection des renseignements personnels devra:

  • répondre selon les délais applicables dans ces lois; 
  • motiver son refus de donner suite à la demande; et 
  • indiquer les recours qui s’offrent au demandeur.


LADOPPRP: art. 84 modifié par la Loi 25

LPRPSP: art. 27 modifié par la Loi 25

Publié par à Aucun commentaire:
Libellés : , , , , , , , , , , , , ,

1 janvier 2024

Protection des renseignements personnels, de gouvernance des données, d’intelligence artificielle ou encore de cybersécurité

Au Québec, l’année 2023 a été placée sous le signe de la modernisation du cadre juridique applicable à la protection des renseignements personnels. La majeure partie des dispositions issues de la Loi 25 sont entrées en vigueur tant à l’égard des ministères et organismes publics, des entreprises, des ordres professionnels que des partis politiques. Cette modernisation commencée en 2022 se termine en 2024. 

En 2023, ces entités devaient notamment se doter d’un cadre de gouvernance, d’une politique de confidentialité, de mécanismes pour réaliser des évaluations de facteurs relatifs à la vie privée et réviser le consentement à la lumière des nouveaux critères de validité.

Pour les accompagner, la Commission d’accès à l’information du Québec et le Secrétariat à la réforme des institutions démocratiques, à l’accès à l’information et à la laïcité proposent différents outils, par exemple : 

  • Gouvernance

Le SRIDAIL propose un guide d’application, un résumé de la démarche et un outil d’analyse pour la planification de l’élaboration de ces règles 

  • Politique de confidentialité

La CAI propose un guide explicatif pour les entreprises. 

Le SRIDAIL propose un document relatif à l’application du Règlement sur les politiques de confidentialité des organismes publics recueillant des renseignements personnels par un moyen technologique ainsi qu’un outil d’aide à la rédaction et une liste de vérification

  • Consentement

La CAI a publié des lignes directrices présentant les critères de validité en la matière et le SRIDAIL propose une infographie sur les nouveautés liées au consentement.

  • Évaluation des facteurs relatifs à la vie privée

La CAI a mis à jour son guide d’accompagnement et propose un modèle générique de rapport permettant de rendre compte des résultats d’une EFVP. 
 
Rappelons que le responsable de la protection des renseignements personnels ou le comité sur l’accès à l’information et la protection des renseignements personnels, a un rôle à jouer dans le développement et la mise en application de ces exigences, tout comme en matière d’incidents de confidentialité depuis septembre 2022.
 
En plus de ces outils, le Gouvernement du Québec vient de publier un projet de règlement relatif à l’anonymisation des renseignements personnels. Ce projet s’il est adopté entrera en vigueur en 2024, tout comme le droit à la portabilité.
 
2023 a aussi été marqué par l’adoption du projet de loi 3 – Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives ou encore le projet de loi 38 – Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives pour ne citer que ceux-ci.
 
À l’extérieur du Québec, l’année 2023 a aussi été riche en matière de protection des renseignements personnels. Il suffit de penser, entre autres, aux débats entourant : 

  • Canada – Fédéral : le projet de loi C-27 qui vise à édicter la Loi sur la protection de la vie privée des consommateurs (abrogeant la Loi sur la protection des renseignements personnels et les documents électroniques), mais aussi la Loi sur l’intelligence artificielle et les données.
  •  Europe :
  1. la Règlement sur la gouvernance des données (ou Data Governance Act - DGA) qui « vise à accroître la confiance dans le partage des données, à renforcer les mécanismes permettant d’accroître la disponibilité des données et à surmonter les obstacles techniques à la réutilisation des données ». Entrée en vigueur en mai 2022, la réglementation est applicable depuis le 24 septembre 2023; 
  2. le Règlement concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données (ou Data Act), 
  3. la Loi sur l’intelligence artificielle (AI Act) pour laquelle un accord est intervenu le 9 décembre 2023 et dont une FAQ a été publiée quelques jours après;
  4. le Cyber Resilience Act sur lequel un accord est intervenu le 30 novembre 2023 et qui introduit des exigences en matière de cybersécurité pour la conception, le développement, la production et la mise à disposition sur le marché européen de produits comportant des éléments numériques; 
  5. le Cyber Solidarity Act qui « vise à renforcer les capacités de cyberrésilience de l’UE afin de détecter et de répondre aux menaces et incidents cybernétiques à grande échelle en établissant une « cyberréserve » de fournisseurs de confiance certifiés pour mener des activités de prévention et de réponse » (Voir notamment: https://www.euractiv.fr/section/cybersecurite/news/cyber-solidarity-act-le-dossier-progresse-au-parlement-europeen/), 
  6. la (nouvelle) décision d’adéquation concernant le cadre de protection des données Europe - États-Unis; 
  7. ou encore la directive NIS2 (Network and Information Security) visant « à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union » et dont les exigences doivent être transposées en droit national au plus tard à la mi-octobre 2024. 

Et ce ne sont que quelques exemples ...

Publié par à Aucun commentaire:
Libellés : , , , , , , , , , , , , , , ,
Inscription à : Articles (Atom)