Par Bernier Beaudry Avocats | 22 mars 2022 -
Avec la quantité croissante d’informations numériques dont disposent les organisations, il n’est pas surprenant que les législateurs québécois aient adopté le projet de Loi 64 qui vise à moderniser la loi québécoise en matière de protection des renseignements personnels.
D’ici la fin de l’année 2022, le volet législatif en matière de protection des données subira une profonde transformation notamment ce qui concerne notre rapport au numérique. Faisant que tous les secteurs du public et du privé seront impactés sans égard à leur taille ou leur fonctionnement.
La loi 64 exige que tout outil ayant pour conséquence de collecter des données personnelles des utilisateurs doit être établi en analysant les répercussions qu’engendrerait une éventuelle fuite. Elle prévoit aussi que les institutions (privées et publiques) prévoient un mécanisme de déclaration obligatoire auprès de l’assujetti et de la Commission.
Nouvelles exigences plus strictes
La Loi 64 exige de toute entité qu’elle mène une analyse des répercussions d’une fuite de données sur la vie privée de ses clients et qu’elle mette en place un mécanisme de déclaration obligatoire de cas de violation.
Outre les nouvelles exigences de contrôle et de protections des données collectées, la loi dispose de nouveaux droits à l’endroit des citoyens et/ou des clients. Il appert à la lecture des articles que la responsabilité de gestion des données personnelles incombe entièrement aux entreprises et organismes publics car ce sont eux qui ont un devoir de protection.
De plus, la Loi 64 impose non seulement davantage d’exigences, mais se veut également plus sévère envers les entreprises québécoises. Elle prévoit entre autres des amendes administratives et pénales qui peuvent atteindre 25 millions de dollars ou 4 % du chiffre d’affaires de l’organisation.
Déployée sur une période de 3 ans, celle-ci:
modifiera le cadre juridique en matière d’accès à l’information et de protection des renseignements personnels;
permettra une harmonisation des lois québécoises.
Ainsi, d’ici l’automne 2023, toutes les entreprises et organismes publics devront se conformer aux nouvelles obligations en respectant les 3 phases énoncées en vertu du régime québécois de protection des renseignements personnels.
Phase 01, d’ici le 22 septembre 2022, les entités devront autres autres:
désigner un responsable institutionnel pour gérer la conformité et s’assurer la protection des renseignements personnels;
déclarer tout incident de confidentialité à la Commission d’accès à l’information
informer toute personne visée si une fuite de données pose un risque de préjudice sérieux pour ses données personnelles.
Phase 02, en date du 22 septembre 2023, les entités devront:
procéder à une évaluation des impacts sur la vie privée de leur clients
définir leurs paramètres de confidentialité et avoir mis en place et publié leur cadre de gouvernance et de gestion des données personnelles
Phase 03, au plus tard le 22 septembre 2024, le droit à la portabilité entrera en force.
Cette loi a également un impact sur les lois provinciales déjà en place. À titre d’exemples, les lois touchées par cette adoption législative sont notamment :
La Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels ;
La Loi sur la protection des renseignements personnels dans le secteur privé ;
La Loi concernant le cadre juridique des technologies de l’information ;
Et plusieurs lois sectorielles.
La loi 64 est, sans l’ombre d’un doute, une réponse du législateur aux nombreuses fuites de données survenues au cours des dernières années. Même si sa mise en œuvre va s’opérer de façon progressive pour permettre aux entreprises et organismes publics de s’y conformer correctement, il n’en demeure pas moins qu’elle nécessitera une révision régulière compte tenu de l’évolution croissante des nouvelles technologies.
Nouvelles exigences plus strictes
La Loi 64 exige de toute entité qu’elle mène une analyse des répercussions d’une fuite de données sur la vie privée de ses clients et qu’elle mette en place un mécanisme de déclaration obligatoire de cas de violation.
Outre les nouvelles exigences de contrôle et de protections des données collectées, la loi dispose de nouveaux droits à l’endroit des citoyens et/ou des clients. Il appert à la lecture des articles que la responsabilité de gestion des données personnelles incombe entièrement aux entreprises et organismes publics car ce sont eux qui ont un devoir de protection.
De plus, la Loi 64 impose non seulement davantage d’exigences, mais se veut également plus sévère envers les entreprises québécoises. Elle prévoit entre autres des amendes administratives et pénales qui peuvent atteindre 25 millions de dollars ou 4 % du chiffre d’affaires de l’organisation.
Déployée sur une période de 3 ans, celle-ci:
modifiera le cadre juridique en matière d’accès à l’information et de protection des renseignements personnels;
permettra une harmonisation des lois québécoises.
Ainsi, d’ici l’automne 2023, toutes les entreprises et organismes publics devront se conformer aux nouvelles obligations en respectant les 3 phases énoncées en vertu du régime québécois de protection des renseignements personnels.
Phase 01, d’ici le 22 septembre 2022, les entités devront autres autres:
désigner un responsable institutionnel pour gérer la conformité et s’assurer la protection des renseignements personnels;
déclarer tout incident de confidentialité à la Commission d’accès à l’information
informer toute personne visée si une fuite de données pose un risque de préjudice sérieux pour ses données personnelles.
Phase 02, en date du 22 septembre 2023, les entités devront:
procéder à une évaluation des impacts sur la vie privée de leur clients
définir leurs paramètres de confidentialité et avoir mis en place et publié leur cadre de gouvernance et de gestion des données personnelles
Phase 03, au plus tard le 22 septembre 2024, le droit à la portabilité entrera en force.
Cette loi a également un impact sur les lois provinciales déjà en place. À titre d’exemples, les lois touchées par cette adoption législative sont notamment :
La Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels ;
La Loi sur la protection des renseignements personnels dans le secteur privé ;
La Loi concernant le cadre juridique des technologies de l’information ;
Et plusieurs lois sectorielles.
La loi 64 est, sans l’ombre d’un doute, une réponse du législateur aux nombreuses fuites de données survenues au cours des dernières années. Même si sa mise en œuvre va s’opérer de façon progressive pour permettre aux entreprises et organismes publics de s’y conformer correctement, il n’en demeure pas moins qu’elle nécessitera une révision régulière compte tenu de l’évolution croissante des nouvelles technologies.
コメント