Protection des renseignements personnels: prochaines dates importantes à retenir septembre 2023 et 2024
1 mai 2023
Communiqués
Depuis le 22 septembre 2022, des nouvelles obligations en matière de protection des renseignements personnels doivent être prises en considération dans le cadre de l’exploitation de vos entreprises, suivant la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels1 (« Loi 25 ») qui modifie notamment la Loi sur la protection des renseignements personnels dans le secteur privé2 (« Loi sur le secteur privé »).
Le présent communiqué souligne plus particulièrement les nouvelles responsabilités et obligations qui entreront en vigueur progressivement en septembre 2023 et 2024.
RAPPEL
Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Ils sont confidentiels. Sauf pour certaines exceptions, ils ne peuvent être communiqués sans le consentement de la personne concernée. À titre d’exemple, le nom, adresse, nationalité ou origine ethnique, âge, état civil, antécédents médicaux, scolaires ou professionnels, transactions financières, numéros permettant d’identifier un individu (ex : NAS, Assurance-maladie, permis de conduire), etc.3
Depuis septembre 2022, vous devez obligatoirement :
- Nommer un responsable de la protection des renseignements personnels au sein des entreprises. Vous devez publier le titre et les coordonnées du responsable sur le site Internet de l’entreprise ou, si vous n’avez pas de site, les rendre accessibles par tout autre moyen approprié4;
- Aviser la Commission d’accès à l’information du Québec (« Commission ») et les personnes concernées de tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice et de tenir un registre devant être fourni à la Commission sur demande5;
Et ne pouvez pas :
Communiquer des renseignements personnels, sans le consentement de la personne concernée, à des fins d’étude, de recherche ou de productions de statistiques6 et dans le cadre d’une transaction commerciale7.
SEPTEMBRE 2023
À compter de cette date vous devrez obligatoirement :
- Mettre en œuvre des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier des informations détaillées au sujet de celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié8;
- Publier une politique de confidentialité rédigée en des termes simples et clairs si vous recueillez par un moyen technologique des renseignements personnels et aviser les personnes concernées de ses mises à jour9;
- Informer la personne concernée lorsqu’elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé10;
- Informer la personne lors du recours à une technologie d’identification, de localisation ou de profilage et des moyens offerts pour activer ces fonctions11;
- Détruire ou d’anonymiser des renseignements personnels12;
- Réaliser une évaluation des facteurs relatifs à la vie privée lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec13;
- Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels; 14
- Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée (exercice d’un mandat ou exécution d’un contrat de service ou d’entreprise)15;
- Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public16;
- Respecter les nouvelles exigences relativement au droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l’effacement ou à l’oubli)17;
- Respecter les nouvelles conditions de de communication des renseignements personnels à l’extérieur du Québec18;
- Respecter les nouvelles conditions de communication des renseignements personnels facilitant le processus de deuil19;
- Respecter les nouvelles conditions entourant la collecte de renseignements personnels concernant un mineur de moins de 14 ans20;
SEPTEMBRE 2024 :
En plus des obligations précédemment mentionnées, vous devrez à compter de cette date :
- Communiquer les renseignements personnels recueillis à la personne visée par ces renseignements si elle en fait la demande, dans un format technologique et couramment utilisé.21
Étant donné l’importance des nouvelles obligations pour les entreprises, ces derniers devront faire l’examen de leurs pratiques actuelles, identifier les écarts et mettre en place les modifications requises pour assurer leur conformité à la Loi sur le secteur privé.
Pour en connaître davantage ou pour obtenir des renseignements quant à ces nouvelles obligations, veuillez communiquer avec la Direction des affaires juridiques de l’ACQ au 514 354-8249, poste 2412.
1 Chapitre 25
2 P-39.1
3 Cette liste est non exhaustive. Attention, un renseignement qui ne permet pas d’identifier un individu en lui-même peut constituer un renseignement personnel si, jumelé à d’autres renseignements, il peut être utilisé pour identifier un individu.
4 Loi sur la protection des renseignements personnels dans le secteur privé, art. 3.1
5 LP, art. 3.5 à 3.8
6 Ibid., art. 21, 21.0.1 et 21.0.2
7 Ibid., art. 18.4
8 LP, art. 3.2 et 8.2
9 Ibid., art. 8.2
10 Ibid., art. 12.1
11 Ibid., art. 8.1
12 Ibid., art. 23
13 Ibid., art. 3.3 et 17
14 Ibid., art. 12 et 14
15 Ibid., art. 18.4, 20 et 21
16 Ibid., art. 9.1
17 Ibid., art. 28.1
18 Ibid., art. 17
19 Ibid., art. 40.1
20 LP, art. 4.1
21 Ibid., art. 27