20 Nov, 2021
Articles pris sur le Web
Tout le monde a déjà entendu parler de la loi sur la Protection des renseignements personnels au Québec. Tous les organismes publics et les entreprises du secteur privé sont soumis à cette loi.
Un renseignement personnel réfère à tout renseignement qui concerne une personne physique et permet de l’identifier.
À titre d’exemple, les renseignements suivants sont considérés personnels : numéro de téléphone, adresse, date de naissance, nom et prénom (sauf en cas d’exception prévue par la loi), pièces d’identité, numéro d’assurance sociale, numéro de passeport, renseignements relatifs à votre niveau d’éducation, dossier médical, opinions, tout renseignement sur votre véhicule, nom de vos parents, conjoint, enfants.
Le projet de loi 64 vient moderniser la loi sur la Protection des renseignements personnels, dont l’origine remonte à 1982 pour le secteur Public et 1994 pour le secteur privé.
Ce projet de loi déposé en juin 2020 à l’Assemblée National a été adopté le 21 septembre 2021.
Les modifications qui résultent du projet de loi 64 favorisent la transparence notamment des organismes publics, des entreprises et des partis politiques provinciaux ainsi qu’un meilleur contrôle des citoyennes et des citoyens sur leurs renseignements personnels.
Les modifications entreront en vigueur graduellement à chaque 21 septembre des 3prochaines années.
Voici les grandes lignes de modernisations :
En 2022, chaque entreprise devra désigner publiquement un responsable de la protection des renseignements personnels (par défaut le PDG).
Elle devra aussi signaler des incidents de confidentialité à la Commission d’accès à l’information (CAI) immédiatement. Le non-respect de la loi expose les contrevenants à des pénalités substantielles pouvant atteindre jusqu’à 25 M$ ou 4% du chiffre d’affaires mondial.
En 2023, la gouvernance à l’égard des données sera à l’honneur, ainsi que la transparence. Voici quelques-unes des grandes lignes pour les organisations :
- Établir et publier leurs politiques encadrant la gestion des renseignements personnels;
- Procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) de tout projet d’acquisition, de développement et de refonte d’un système d’information impliquant les renseignements personnels;
- Informer la personne concernée lorsqu’elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé de ses renseignements personnels
- Informer les personnes concernées lorsqu’elles recueillent des renseignements personnels en ayant recours à une technologie
- Détruire les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies;
Finalement, en 2024, on parle de portabilité dans le transfert des données.
Une personne peut demander que ces renseignements personnels recueillis à son sujet lui soient communiqués (ou à une autre organisation qu’elle désigne) dans un format technologique structuré et couramment utilisé.
En passant, si vous chercher ce qui se passe du côté fédéral, c’est le projet de loi C-11 qui a pour objet d’apporter d’importants changements à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), mais celui n’est pas encore adopté.