Tout ce qu'il faut savoir sur la loi 25

La Commission d’accès à l’information du Québec est l’organisme responsable de surveiller l’application de la loi 25. En cas de non-respect de la loi, la Commission peut imposer des sanctions importantes, s’élevant jusqu’à 10 millions de dollars ou à 2 % du chiffre d’affaires mondial de l’entreprise.

> Septembre 2022

Désigner un responsable

Votre entreprise devra désigner un responsable de la protection des renseignements personnels. Son titre et ses coordonnées devront être renseignés et accessibles sur le site web de l’entreprise. Dans le cas où personne n’est désignée, la personne ayant la plus haute autorité dans l’entreprise se verra attribuer cette fonction.

> Septembre 2022

Registre des incidents

Il est important de maintenir un registre des incidents de confidentialité à jour. En cas de contrôle, vous devez pouvoir le fournir à la Commission d’accès à l’information si elle vous le demande. De plus, s’il survient un incident présentant un risque sérieux de préjudice, vous êtes tenu d’en aviser la Commission ainsi que les personnes concernées.

> Septembre 2022

Scénarios à préparer

Votre entreprise est tenue de mettre en place des scénarios potentiels de perte ou de vol de renseignement personnel. Elle devra pouvoir identifier/proposer des règles à mettre en place pour éviter ces problèmes et limiter les impacts sur l’entreprise, les visiteurs d’un site, les employés, les clients…

> Septembre 2022

Obligation de divulgation

Vous êtes à présent tenus de divulguer tout incident menaçant la confidentialité de données confidentielles ou si vous êtes sujet d’une cyberattaque. Toutes les personnes potentiellement touchées par la faille de sécurité devront par conséquent être avisées. Si le préjudice est sérieux, il faudra également avertir la Commission d’accès à l’information à Québec.

> Septembre 2023

Politiques et pratiques

Elles encadrent la gouvernance, doivent être publiques et accessibles depuis le site de l'entreprise et permettent de prévoir des règles applicables à la conservation et à la destruction des renseignements personnels, identifient les rôles et responsabilités des membres du personnel et communiquent sur le processus de traitement des plaintes ainsi que sur les pratiques en matière de protection des données.

> Septembre 2023

Obligation de transparence

Les entreprises qui collectent des informations personnelles devront obligatoirement communiquer aux personnes concernées :

Les fins de la collecte de données | La possibilité que les renseignements soient communiquées à l’extérieur du Québec | Le droit, pour quiconque, de pouvoir retirer son consentement à propos de la collecte d’informations personnelles.

> Septembre 2023

Anonymisation, désindexation

L’entreprise devra informer la personne lorsqu’elle a un recours à une technologie d’identification, de localisation ou de profilage des moyens offerts pour activer ces fonctions. Les renseignements doivent être détruits ou anonymisés lorsque les fins sont accomplies. Les utilisateurs peuvent demander de désindexer leur renseignements également, à l'extérieur du Québec.

> Septembre 2023

Sanctions administratives

la Commission aura le pouvoir d’imposer des sanctions administratives pécuniaires, qui pourraient atteindre jusqu’à 2% du chiffre d’affaires de l’entreprise. À la suite d’un manquement passible d’une telle sanction, une personne de l’entreprise pourra s’engager auprès de la Commission à prendre les mesures nécessaires pour y remédier ou en atténuer les conséquences.

> Septembre 2024

Droit à la portabilité

Si une personne concernée le demande, l’entreprise aura l’obligation de communiquer dans un format technologique et structuré, tout renseignement personnel recueilli auprès d’elle.

> Votre checklist

Conformité avec la loi 25

Consultez notre checklist pour vous permettre d’identifier les actions à mettre en place.