Projet de loi 64 : bien s’y préparer

Le 12 juin dernier, le gouvernement du Québec a déposé son projet de loi no 64, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

 

Ce projet de loi constitue une étape importante vers une meilleure protection des renseignements personnels et toutes les entreprises québécoises doivent s’y préparer.

Inspiré du règlement général sur la protection des données (RGPD) de l’Union européenne, l’objectif du projet de loi est de rehausser la qualité de la protection des données personnelles des citoyens et d’obliger les organisations publiques et privées à prendre des actions concrètes en matière de sécurité de l’information et prévoit des amendes considérables en cas de non respect des modalités prévues.

Ce qu’il faut retenir de la Loi 64

  • Les entreprises québécoises seront tenues de divulguer une atteinte à la protection des données si elle présente un risque de préjudice grave à : i) la Commission d’accès à l’information du Québec; ii) la ou les personnes touchées; et iii) tout organisme qui pourrait contribuer à atténuer le préjudice. Le non-respect de cette obligation peut entraîner des sanctions de 5 000 $ à 50 000$ pour une personne physique, de 15 000 $ à 25 000 000 $ pour une personne morale ou même, dans certains cas, un montant correspondant à 4 % du chiffre d’affaires mondial de cette dernière pour l’exercice fiscal précédent.
  • En cas d’incident de confidentialité, les organisations doivent prendre les mesures afin de réduire les risques de préjudice pour les personnes concernées et d’éviter que ce type d’incident ne se reproduise.
  • Les informations sensibles sont désormais définies comme celles qui, en raison de leur nature, de leur contexte, de leur utilisation ou de leur communication, impliquent un niveau élevé d’attente raisonnable en matière de respect de la vie privée.
  • Le droit à l’effacement, c’est-à-dire en permettant à une personne de faire supprimer un renseignement détenu par une entreprise à son sujet, lorsque sa collecte n’est pas autorisée par la loi ou lorsque les fins pour lesquelles il a été collecté sont accomplies.
  • Les entreprises fautives peuvent dorénavant être poursuivies en dommages-intérêts.
  • L’obligation de nommer une personne responsable de la protection des renseignements personnels au sein de chaque organisation assujettie, quelle que soit leur taille.
  • Le retrait du droit pour les entreprises de communiquer des renseignements personnels à des fins de prospection sans le consentement des personnes concernées.
  • L’obligation pour les organisations de détruire ou de rendre anonymes les renseignements personnels lorsque les fins pour lesquelles ils ont été collectés sont atteintes.

Jusqu’à 25 000 000 $ en amendes en cas de non-divulgation

Obligation de nommer un responsable de la protection des données

À la reprise des travaux parlementaires cet automne, le PL 64 sera déposé et son adoption devrait normalement suivre peu après. L’entrée en vigueur de la loi sera assujettie à un délai d’un an pour la plupart de ses dispositions. Les entreprises québécoises ont donc le temps de se préparer à cette éventuelle législation.

Comment vous y préparer

  • Mettez en place un processus de réponse aux incidents afin d’être prêts si le pire devait arriver.
  • Révisez toutes vos politiques en matière de protection de renseignements personnels.
  • Révisez tous vos contrats avec des tierces parties, plus spécifiquement les clauses portant sur la manipulation des informations.
  • Révisez vos formulaires de consentement.
  • Effectuez un audit des renseignements personnels que votre entreprise détient et assurez-vous d’avoir en place les mesures de protection adéquates.