FR
Auteures et auteur : Me Maude Fréchette, Me Catherine Ramsay-Piérard et Me Bruno Provencher-Bordeleau
Les renseignements personnels doivent être protégés au Québec par toutes les entreprises privées et publiques, peu importe leur taille et chiffre d’affaires. Or, la Loi sur la protection des renseignements personnels dans le secteur privé (LPRP), en vigueur depuis de nombreuses années, était devenue quelque peu inefficace en raison de l’apparition notamment de nouvelles technologies.
Le Québec a donc adopté la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, aussi appelée la « Loi 25 », afin de moderniser la LPRP, dont les dispositions entrent en vigueur progressivement aux dates suivantes : le 22 septembre 2022, le 22 septembre 2023 et le 22 septembre 2024.
C’est que des dispositions très importantes de la Loi 25 sont entrées en vigueur le 22 septembre 2023. La prise d’effet de ces dispositions a un impact réel sur les petites et moyennes entreprises, lesquelles devront absolument s’y conformer afin d’éviter de faire l’objet d’importantes sanctions.
La loi s’applique à « tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier. »1Il va de soi que tous les renseignements personnels des employés d’une entreprise sont donc visés par la loi, par exemple, toute adresse personnelle, numéro d’assurance sociale, informations requises pour les assurances collectives, etc.Mais qu’en est-il de vos clients, partenaires, fournisseurs et sous-traitants?Les renseignements personnels qui concernent uniquement les fonctions d’une personne au sein d’une entreprise (nom, titre professionnel et adresse de courriel professionnelle) sont soustraits à la plupart des exigences de la loi.Mais une nuance s’impose : toutes les autres informations personnelles qui sont associées à cette personne, comme son historique d’achat, son numéro de client, les notes à son sujet, son adresse personnelle de livraison, sa date d’anniversaire, ou toute autre information personnelle concernant celle-ci qui pourraient permettre de l’identifier sont considérés, pour leur part, comme des renseignements personnels et soumis aux exigences de la loi. En d’autres mots : si vous détenez des informations personnelles sur vos contacts d’affaires enregistrées sur vos serveurs, dans vos courriels ou logiciels tels que CRM (Customer Relationship Management), ces renseignements personnels doivent être protégés par votre entreprise.
Depuis le 22 septembre 2022 Les entreprises doivent tenir un registre des incidents de confidentialité. Elles ont également l’obligation de notifier la Commission de l’accès à l’information du Québec et les personnes dont un renseignement personnel est concerné si l’incident est susceptible de causer un préjudice sérieux.À partir du 22 septembre 2023 Il est désormais obligatoire pour toutes les entreprises d’adopter des politiques et pratiques internes sur la gouvernance des renseignements personnels et de publier des informations à propos de ces politiques sur leur site Web.Du contenu obligatoire supplémentaire devrait être inclus dans les politiques de confidentialité de la plupart des entreprises.L’obligation d’effectuer une évaluation des facteurs relatifs à la vie privée2 entre également en vigueur lors de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation de services électroniques, ainsi qu’avant d’envoyer un renseignement personnel à l’extérieur du Québec.Les exigences relatives au consentement des individus pour la collecte, l’utilisation et la communication de leurs renseignements personnels sont augmentées. En effet, les individus ont désormais des droits supplémentaires à l’égard de leurs renseignements personnels, dont notamment les droits suivants :
La directionElle doit savoir notamment quels renseignements personnels sont collectés par l’entreprise et ses fournisseurs, à quelles fins et qui y a accès.Votre service des RHIl doit protéger les renseignements personnels de ses employés et candidats.Votre service du marketing La collecte de renseignements personnels doit être encadrée, que ce soit sur le site Web, sur les réseaux sociaux et dans le cadre de toute campagne marketing.Votre service des TIIl doit s’assurer que les bases de données de l’entreprise sont sécuritaires et permettent de retracer, effacer et rectifier des renseignements personnels.Vos employésIls doivent être conscientisés sur les renseignements personnels qu’ils reçoivent dans le cadre de leur emploi et connaitre les directives de l’entreprise quant à leur protection.Vos fournisseurs de servicesIls doivent aussi respecter la loi et protéger les renseignements personnels que vous pourriez leur transmettre.
*Attention : Cette liste n’est pas exhaustive. Veuillez consulter votre avocat pour vous assurer que toutes vos obligations légales sont respectées.
Les sanctions auxquelles s’exposent les contrevenants à la Loi sur la protection des renseignements personnels dans le secteur privé sont beaucoup plus importantes qu’avant :
Attention : Les sanctions sont applicables aux entreprises, mais aussi dans certains cas à ses administrateurs, dirigeants et représentants.
L’équipe de YULEX peut vous accompagner dans votre processus de rédaction de politiques, dans la vérification de votre conformité à la loi et dans la mise en place des meilleures pratiques adaptées à votre domaine d’affaires.Nous avons élaboré différents forfaits d’accompagnement à cet effet. Contactez-nous au vieprivee@yulex.ca pour en savoir plus.
Liste de références :
1. CanLII (2023). Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c 25. Repéré à https://www.canlii.org/fr/qc/legis/loisa/lq-2021-c-25/derniere/lq-2021-c-25.html. Consulté le 20 septembre 2023.
2. Commission d’accès à l’information du Québec (2023). Évaluation des facteurs relatifs à la vie privée. Repéré à https://www.cai.gouv.qc.ca/espace-evolutif-modernisation-lois/thematiques/evaluation-facteurs-relatifs-vie-privee/. Consulté le 22 septembre 2023.
