Janvier 2023 - Enjeux de la loi 25 et cybersécurité. Un article en collaboration avec : Me Halima Kerchi, avocate en droit des affaires et M. Gabriel Boivin, stagiaire en droit, Therrien Couture Joli-Cœur s.e.n.c.r.l.
Le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après « la Loi ») a été sanctionné le 22 septembre 2021. En plus de moderniser, comme son nom l’indique, le cadre législatif de protection des données en regard des nouvelles avancées technologiques, cette loi vise aussi à permettre un meilleur contrôle par la population de leurs renseignements personnels. Comme le souligne Éric Caire, ministre responsable de l'Accès à l'information et de la Protection des renseignements personnels et ministre délégué à la Transformation numérique gouvernementale, la loi « [rehausse] la protection accordée aux renseignements personnels des Québécoises et des Québécois, pour tenir compte des nouvelles technologies qui utilisent ces renseignements, dont les médias sociaux. »
Pour faciliter la mise en application de la loi, l’entrée en vigueur de certaines dispositions de cette loi a été décalée dans le temps. Ainsi, plusieurs articles modifiant la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « LPRP ») et touchant ainsi les entreprises du secteur privé entreront en vigueur le 22 septembre dernier. D’autres dispositions, quant à elles, entreront en vigueur au cours du mois de septembre 2023.
Voici donc un aperçu de ces modifications qui auront un impact au sein de votre organisation :
Obligations – septembre 2022
Avant toute chose, rappelons qu’au sens de la loi un renseignement personnel signifie « tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier » (art.2 LPRP).
1) Depuis le 22 septembre 2022, chaque entreprise aura l’obligation d’avoir un « responsable de la protection des renseignements personnels ». Cette fonction est octroyée par simple effet de la loi à la personne ayant la plus haute autorité au sein de l’entreprise. Cependant, ce rôle pourra être délégué à toute autre personne au sein de l’organisation (art.3.1 LPRP).
2) Dans tous les cas, il est du devoir de l’entreprise de publier sur son site Internet, le titre et les coordonnées du responsable de la protection des renseignements personnels. Cette personne devra être consultée dans certaines situations précises, notamment si une évaluation des facteurs relatifs à la vie privée est requise dans le cas par exemple du développement d’un système informatique ou de la prestation électronique de services lorsque des renseignements personnels sont en cause (art. 3.3 LPRP).
3) De plus, en cas d’incident de confidentialité, une entreprise aura l’obligation d’avertir rapidement la Commission d’accès à l’information du Québec (« la Commission ») et de prendre certaines mesures pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent (art. 3.5 LPRP). Selon la LPRP, un tel incident survient lorsqu’il y a un accès non autorisé à un renseignement personnel, lorsqu’un renseignement personnel est utilisé ou communiqué sans autorisation légale ou lorsqu’un renseignement personnel est perdu ou sa protection affectée.
4) De nouvelles règles sont aussi prévues concernant la communication des renseignements personnels sans le consentement de la personne concernée. Ainsi, lorsque la communication d’un renseignement personnel est nécessaire pour conclure une transaction commerciale, l’entreprise pourra, à certaines conditions, communiquer le renseignement personnel (art. 18.4 LPRP). Il en sera de même lorsque la communication sera à des fins d’étude, de recherche ou de production de statistiques (art. 21 LPRP).
5) Enfin, d’autres modifications de la LPRP méritent d’être soulignées, notamment l’obligation pour l’entreprise de transmettre toute information relative à l’application de la LPRP si la Commission en fait la demande ainsi que l’interdiction d’exercer des représailles – toute mesure disciplinaire pouvant être considéré comme tel dans ce contexte - contre une personne ayant déposé une plainte à la Commission ou collaborer à une de ses enquêtes (art. 81.1 à 81.4 LPRP).
Outre ces modifications, de nouveaux termes sont aussi incorporés à la législation québécoise en matière de technologique et de protection des données. Notons à cet effet le droit à la portabilité des données, les renseignements personnels sensibles, le droit à l’oubli (ou à la désindexation) et certains droits liés à l’utilisation des technologies. Pour plus d’information concernant ces expressions et sur les grands principes de la Loi, nous vous référons à l’article « Le projet de loi 64 – Québec veut reconnaitre de nouveaux droits aux particuliers et responsabiliser les entreprises » du mois de juillet 2021.
Les entreprises seront soumises à des pénalités financières à partir du 22 septembre 2023, ce qui leur donne le temps de mettre en place les outils nécessaires. Restez à l'affût de notre prochaine parution sur la loi 25 pour en savoir davantage sur les solutions qui s’offrent à vous au niveau de la sécurité informatique afin de vous conformer à la loi 25.
N'hésitez pas à contacter l’équipe de droit des affaires chez Therrien Couture Joli-Coeur pour en connaître davantage sur les modifications législatives ou pour tout besoin en la matière au sein de votre entreprise.
Sources :
• Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, chapitre 25
• Commission d’accès à l’information - Espace évolutif – Modernisation des lois
• « Le projet de loi 64 – Québec veut reconnaitre de nouveaux droits aux particuliers et responsabiliser les entreprises », ARS Solutions, juillet 2021
• Communiqué de presse – « Projet de loi no 64 - La Loi modernisant le cadre législatif du Québec en matière de protection des renseignements personnels est adoptée », Cabinet du ministre délégué à la Transformation numérique gouvernementale, septembre 2021
