En bref

La Loi 25, qui vise à actualiser les dispositions légales relatives à la protection des données personnelles, impose une série de devoirs aux entités publiques et privées pour assurer la sécurité des informations personnelles des utilisateurs de sites web. Certaines de ces responsabilités doivent être instaurées immédiatement, tandis que d’autres seront mises en place progressivement en 2023 et 2024.

À partir du 22 septembre 2022,

Chaque organisation est obligée de nommer une personne chargée de la conformité à la loi. Cette personne est responsable de l’alignement des politiques et processus de l’organisation avec la loi. Les organisations sont également obligées de conserver un registre des informations personnelles qu’elles détiennent, ainsi qu’un registre de toutes les divulgations de ces informations. Si l’intégrité de la confidentialité est menacée, l’organisation doit avoir en place des mesures pour atténuer l’impact sur les informations personnelles et pour prévenir tout risque de futurs incidents pouvant affecter la confidentialité des données.

À compter du 22 septembre 2023,

De nouvelles réglementations entreront en vigueur pour réguler la collecte et l’utilisation des informations personnelles. L’un des changements les plus notables est l’exigence d’obtenir le consentement des individus avant de recueillir, d’utiliser ou de divulguer leurs informations personnelles. Les organisations doivent également s’assurer que ces informations sont exactes et mises à jour, et prendre des mesures pour les protéger contre tout accès ou divulgation non autorisée. Des directives sont également prévues pour l’anonymisation des données, la durée de conservation, ainsi que l’établissement de politiques et de pratiques de gouvernance des informations personnelles. Une évaluation des facteurs liés à la vie privée (ÉFVP) devra être réalisée, conformément aux normes établies par la loi. La Commission d’accès à l’information du Québec sera chargée de la mise en œuvre des nouvelles dispositions de la Loi 25.

Les meilleures pratiques à suivre incluent la nomination d’une personne chargée des informations personnelles. Cette personne doit avoir les compétences nécessaires pour assumer ce rôle, et avoir un pouvoir décisionnel dans l’entreprise ou l’organisme. Des ressources doivent également être allouées pour soutenir cette personne dans ses nouvelles tâches. De plus, un plan d’action en cas de violation de la confidentialité doit être établi à l’avance pour permettre une réaction rapide et appropriée.

À compter du 22 septembre 2024,

Procéder à la divulgation des données personnelles spécifiques à un individu, uniquement sur sa sollicitation formelle, ces informations ayant été préalablement communiquées par lui-même à une entité commerciale.