Nouvelles responsabilités et obligations des entreprises
Entrée en vigueur le 22 septembre 2022
À partir du 22 septembre 2022, en plus des obligations actuelles concernant la protection des renseignements personnels, vous devrez notamment :
1. Désigner un responsable de la protection des renseignements personnels et publier ses coordonnées sur le site Internet de l’entreprise ou par un autre moyen approprié;
De plus, en cas d’incident de confidentialité, vous devrez;
2. a. prendre des mesures raisonnables pour réduire les risques de préjudice pour les personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent;
b. informer la Commission et les personnes concernées si l’incident présente un risque sérieux;
c. tenir un registre des incidents à transmettre à la Commission sur demande;
3. Respecter les nouvelles règles pour la communication de renseignements personnels sans consentement pour des études, recherches ou statistiques, ou dans le cadre de transactions commerciales;
4. Effectuer une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans consentement pour ces fins;
5. Informer la Commission à l’avance de toute vérification d'identité utilisant des mesures biométriques.
Entrée en vigueur le 22 septembre 2023
À partir du 22 septembre 2023, en tant qu'exploitant d'une entreprise, vous devrez notamment :
1. Établir des politiques de gouvernance des renseignements personnels et publier des informations claires à ce sujet sur le site Internet de l’entreprise ou par un autre moyen approprié;
2. Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi le requiert, notamment avant de transmettre des renseignements à l'extérieur du Québec;
3. Respecter les nouvelles règles concernant le consentement pour la collecte, l'utilisation et la communication des renseignements personnels;
4. Détruire ou anonymiser les renseignements personnels une fois leur finalité atteinte;
5. Respecter les nouvelles obligations d’information et de transparence envers les citoyens;
6. Respecter les nouvelles règles de communication de renseignements personnels sans consentement, notamment dans le cadre d’un mandat ou d’un contrat;
7. Suivre les nouvelles règles pour la communication des renseignements à l'extérieur du Québec;
8. Respecter les nouvelles règles d’utilisation des renseignements personnels;
9. Assurer par défaut le plus haut niveau de confidentialité pour les produits ou services technologiques offerts au public;
10. Respecter les nouvelles règles concernant la collecte de renseignements personnels sur les mineurs;
11. Respecter le droit à la cessation de la diffusion, à la ré-indexation ou à la dés-indexation (droit à l'oubli);
12. Suivre les nouvelles règles de communication des renseignements personnels pour faciliter le processus de deuil.
Entrée en vigueur le 22 septembre 2024
À partir du 22 septembre 2024, en tant qu'exploitant d'une entreprise, vous devrez notamment :
- Répondre aux demandes de portabilité des renseignements personnels.
Pistes d’action et bonnes pratiques
D’ici le 22 septembre 2022
1. Si vous êtes la plus haute autorité de l’entreprise et ne souhaitez pas être responsable de la protection des renseignements personnels, désignez une personne compétente avec un pouvoir décisionnel important pour ce rôle;
2. Soutenez le responsable de la protection des renseignements personnels avec les ressources nécessaires (humaines, techniques et financières) pour assurer la réussite de votre mise en conformité;
3. Faites l’inventaire des renseignements personnels détenus par votre entreprise et évaluez leur sensibilité;
4. Mettez en place des mesures pour prévenir ou limiter les conséquences des incidents de confidentialité;
5. Adoptez des pratiques pour réagir rapidement en cas d’incident de confidentialité (ex.: plan de réponse aux incidents);
6. Informez-vous sur vos obligations si vous envisagez d’utiliser des techniques biométriques (ex.: empreinte digitale, reconnaissance faciale).
D’ici le 22 septembre 2023
Pour établir et mettre en œuvre vos politiques de gouvernance en matière de protection des renseignements personnels, vous devrez notamment :
1. Faire l’inventaire des renseignements personnels détenus par votre entreprise et évaluer leur sensibilité;
2. Maintenir cet inventaire à jour pour refléter les changements au sein de l’entreprise (ex.: nouvelle collecte de données) et planifier vos actions en conséquence;
3. Préciser les rôles et responsabilités des membres du personnel impliqués dans la protection des renseignements personnels;
Ces tâches sont essentielles pour respecter vos obligations et prioriser vos actions. Pour réaliser une évaluation des facteurs relatifs à la vie privée, vous devrez également :
1. Évaluer la conformité du projet aux lois sur la protection des renseignements personnels;
2. Identifier les risques pour la vie privée des personnes concernées;
3. Mettre en place des stratégies pour éviter ou réduire ces risques;
4. Surveiller et réviser l’application de ces mesures.
Pour respecter les nouveaux droits des citoyens et vos obligations de transparence, vous devrez mettre en place des mécanismes adaptés (ex.: directives, processus, formulaires, solutions technologiques) pour :
1. Obtenir un consentement valide distinct pour chaque finalité spécifique, en termes simples et clairs;
2. Présenter la demande de consentement séparément des autres informations si elle est écrite;
3. Fournir les informations légales à la personne dont les renseignements sont collectés;
4. Informer une personne lorsqu'elle est soumise à une décision basée uniquement sur un traitement automatisé;
5. Informer une personne avant d'utiliser une technologie permettant de l'identifier, de la localiser ou de la profiler, ainsi que des moyens d'activer ces fonctions;
6. Publier des informations détaillées sur vos politiques et pratiques sur le site Internet de l’entreprise ou les rendre accessibles par un autre moyen approprié;
7. Publier une politique de confidentialité en termes simples et clairs et accessible sur le site Internet si vous collectez des renseignements via des moyens technologiques;
8. Traiter les demandes et les plaintes des citoyens concernant votre gestion des renseignements personnels.
D’ici le 22 septembre 2024
Informez l’équipe responsable de vos systèmes informatiques que vous avez de nouveaux besoins liés au droit à la portabilité des renseignements personnels. Vos systèmes doivent permettre de :
- Communiquer, sur demande d’une personne concernée, un renseignement personnel informatisé dans un format structuré et couramment utilisé;
- Transmettre ces renseignements à une personne ou un organisme autorisé par la Loi, à la demande de la personne concernée.
Note : Assurez-vous également de former votre personnel pour qu’il adopte de bons réflexes en matière de protection des renseignements personnels.
Commentaires
Vous devez vous connecter pour laisser un commentaire.