extra judiciaire logo
menu.png
search.png
  • Dossier spécial

Réforme importante en matière de renseignements personnels au Québec : quels impacts pour les entreprises?

Picture of Laurence Béland-Cousineau

Laurence Béland-Cousineau

Le 21 septembre dernier, une vraie tempête réglementaire s’abattait sur le Québec! En effet, l’Assemblée nationale du Québec adoptait le projet de loi 64, soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, entraînant, par le fait même, un virage complet en matière de protection des renseignements personnels au Québec, tant au niveau du secteur public que privé. Cet article fera un survol des nouvelles obligations pour les organismes du secteur privé. 

Réforme substantielle de la Loi sur la protection des renseignements personnels dans le secteur privé, la nouvelle loi québécoise en matière de protection des renseignements personnels couvre très large. Ainsi, les entreprises québécoises se doivent d’avoir un plan concret et robuste pour se conformer aux nouvelles exigences qui s’inspirent fortement du régime européen très sévère, prévu au Règlement général sur la protection des données. D’ailleurs, il est important de noter que les nouvelles exigences entreront en vigueur en trois phases, le tout s’étalant jusqu’à septembre 2024. Nous présenterons ci-dessous les obligations clés auxquelles feront face les entreprises.

PREMIÈRE PHASE | ENTRÉE EN VIGUEUR : 22 SEPTEMBRE 2022

  • Nomination d’un responsable de la protection des renseignements personnels (fonction pouvant être déléguée, par écrit);
  • Nécessité de tenir un registre de tous les incidents de confidentialité et d’aviser la Commission d’accès à l’information (Québec) (ci-après la
    « CAI ») de tout incident qui présente un risque de préjudice sérieux;
  • Obligation de divulguer à la CAI toute banque d’éléments biométriques au moins 60 jours avant sa mise en service.

DEUXIÈME PHASE | ENTRÉE EN VIGUEUR : 22 SEPTEMBRE 2023

  • Obligation pour les entreprises de mettre sur pied des politiques et des pratiques encadrant la gouvernance des renseignements personnels;
  • Obligation de procéder à des analyses de risques en matière de protection des renseignements personnels (nommés des évaluations des facteurs relatifs à la vie privée, ci-après « EFVP ») dans certaines situations;
  • Nécessité d’informer un individu dès qu’une entreprise rend une décision à son égard et que cette décision est fondée exclusivement sur un traitement automatisé de ses renseignements personnels;
  • En cas de transferts de renseignements personnels à l’extérieur du Québec, une EFVP devra être effectuée afin de déterminer si les renseignements en cause bénéficieront d’une protection « adéquate »;
  • En cas de sous-traitance, les entreprises qui transfèrent des renseignements personnels à des fournisseurs devront conclure un contrat avec ceux-ci contenant divers éléments prévus dans la loi québécoise;
  • Obligations de transparence pour les entreprises (par exemple, obligation d’information des individus quant aux fins et aux moyens de la collecte, à leurs droits d’accès et de rectification et leurs droits de retirer leur consentement ou obligation de publier une politique de confidentialité en ligne);
  • Exigence d’informer les individus lorsqu’une entreprise collecte des renseignements personnels en ayant recours à une technologie permettant d’identifier, de localiser ou d’effectuer le profilage d’un individu;
  • Nombreuses nouvelles exigences en matière de consentement, incluant l’obligation que le consentement capté par l’entreprise soit manifeste, libre, éclairé, simple, clair et donné à des fins spécifiques;
  • Obligations de destruction des renseignements personnels des individus lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies.

TROISIÈME PHASE | ENTRÉE EN VIGUEUR : 22 SEPTEMBRE 2024

  • Nouveau droit pour un individu de demander à une entreprise que les renseignements personnels recueillis à son sujet lui soient communiqués dans un format technologique structuré et couramment utilisé.

En cas de manquement à leurs obligations, dépendamment de l’infraction, les entreprises courent les risques suivants :

  • Imposition de sanctions administratives pécuniaires entraînant une amende de 10M$ ou 2% du chiffre d’affaires mondial (montant le plus élevé des deux);
  • Infractions pénales pouvant aller jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial (montant le plus élevé des deux);
  • Poursuite en dommages-intérêts (la loi québécoise prévoit un droit privé d’action).

Nous souhaitons ainsi bonne chance aux entreprises dans leur parcours vers une conformité à la nouvelle loi québécoise.

Table des matières
Main Menu
Les plus populaires
logo blanc

Jeune Barreau de Montréal

phone footer.png

514.954.3448

À propos
L’ExtraJudiciaire, publié six fois par année, est le principal outil de communication du JBM. Il est tiré à près de 5 000 exemplaires et expédié à nos membres, aux membres de la magistrature, à nos anciens président.e.s ainsi qu’à certains acteurs du milieu juridique. Si vous ne désirez plus recevoir l’ExtraJudiciaire en version papier, veuillez nous en informer par courriel à l’adresse suivante : [email protected].
Informations
N’hésitez pas à communiquer avec l’équipe de rédaction à l’adresse suivante : [email protected].
Articles les plus consultés

2021 © L'EXTRAJUDICIAIRE | Tous droits réservés

TOP
close dark.png
close dark.png