La loi 25 a été conçue pour moderniser les dispositions législatives en matière de protection des renseignements personnels. Toutes les entreprises privées et organismes sans but lucratif devront s'y conformer, et ce, dès septembre.
La nouvelle Loi 25 modifie la Loi sur l’accès aux documents des organismes public et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé.
C'est donc dire que, puisque vous récoltez des données personnelles sur votre clientèle dans le contexte d'une école de danse, vous serez tenus de vous conformer aux dispositions de la Loi dont les premières obligations s’appliqueront dès le 22 septembre 2022. D’autres élémnets s'ajouteront progressivement jusqu’à l'application pleine et entière de cette loi, ce qui est prévu en 2024.
En vue du 22 septembre
À partir du 22 septembre 2022, votre organisation devra nommer un.e responsable de la protection des renseignements personnels et diffuser ses coordonnées sur votre site Internet. D'office, c'est la personne ayant la plus haute autorité l'organisation qui se voit automatiquement attribuer cette fonction, mais celle-ci peut déléguer en tout ou en partie certaines obligations. Cette déléguation doit être transmise par écrit et les responsabilités peuvent être partagées à travers un comité, notamment.
La personne déléguée comme responsable doit s’assurer que son entreprise respecte et met en œuvre les dispositifs de la Loi. Notamment, elle doit veiller à la mise en place de politiques et de pratiques encadrant la gestion des renseignements personnels au sein de l’organisation.
2022
- Obligation de déléguer la fonction de responsable de la protection des renseignements personnels et de publier les coordonnées du responsable;
- Mise en place d’un comité sur l’accès à l’information et la protection des renseignements personnels.
- Principe de responsabilité d’un organisme public.
- Obligation d’aviser la Commission et la personne concernée de tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice et de tenir un registre devant être fourni à la Commission sur demande.
- Nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques, et dans le cadre d’une transaction commerciale.
- Changement à la structure de la Commission d’accès à l’information et octroi de certains pouvoirs
- Lignes directrices de la Commission d’accès à l’information
2023
- Mandat ou contrat de service d’une entreprise;
- Anonymisation des renseignements personnels;
- Critères de validité d’un consentement;
- Collecte et consentement en lien avec les renseignements personnels d’un mineur;
- Consentement exprès lors de certaines utilisations et communication de renseignements personnels sensibles;
- Acquisition, développement et refonte de système d’information ou de prestation électronique de services (protection de la vie privée dès la conception);
- Protection par défaut pour les produits ou services technologiques offerts au public disposant de paramètres de confidentialité;
- Décision fondée exclusivement sur un traitement automatisé;
- Utilisation d’une technologie comprenant des fonctions d’identification, de localisation ou de profilage;
2024
- Adoption et diffusion de règles de gouvernance;
- Politique de confidentialité;
- Communication dans un processus de deuil;
- Devoir d’assistance pour aider un requérant à comprendre sa décision;
- Informations à fournir aux personnes dans le cadre d’une collecte;
- Collecte en collaboration avec un autre organisme public;
- Utilisation des renseignements dépersonnalisés;
- Exigence pour une communication conforme à l’article 68 de la Loi sur l’accès;
- Exigences pour une communication à l’extérieur du Québec;
- Sanctions pénales.
Référence La ligne du temps
L’entrée en vigueur progressive de la Loi 25 demande aux entreprises de commencer leurs démarches dès aujourd'hui pour s'assurer de répondre aux nombreux critères dans les délais prescrits.
Pour plus d'informations : ici
* À titre de membre du RED, vous êtes aussi membre de la Fédération canadienne de l'entreprise indépendante qui peut vous aider à traverser ce processus. N'hésitez pas à avoir recours à leur expertise!