Loi 25 : changements importants en matière de protection des renseignements personnels
Qu’est-ce que la Loi 25? Qui est concerné par les changements?
La Loi 25 est une loi modifiant la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (LAI), la Loi sur la protection des renseignements personnels dans le secteur privé (LPRP), ainsi que plusieurs autres lois. Elle oblige, entre autres, toutes les entreprises à mettre en place différentes mesures visant à assurer la protection des renseignements personnels.
Dès le 22 septembre 2022, tous les membres de l’Ordre exploitant une entreprise devront se conformer à de nouvelles exigences en matière de protection des renseignements personnels. Le non-respect de ces obligations pourrait mener à des amendes pour les entreprises.
Principales obligations et mesures devant être mises en place pour le 22 septembre 2022 :
- Désigner un responsable de la protection des renseignements personnels qui veillera au respect de la Loi 25. Cette fonction devra être attribuée à la personne qui détient la plus haute autorité dans l’entreprise. Cette personne peut toutefois déléguer son rôle à une autre.
- Publier les coordonnées du responsable de la protection des renseignements personnels sur le site web de l’entreprise.
- Établir une procédure à suivre en cas d’incidents de confidentialité et mettre en place un plan de gestion des incidents.
- Constituer un registre des incidents de confidentialité où seront répertoriés tous les incidents.
- Aviser la Commission d’accès à l’information et la personne concernée de tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice;
- Respecter le nouvel encadrement visant la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques ou dans le cadre d’une transaction commerciale.
Par où commencer?
Afin de faciliter la mise en place de ces mesures, nous vous suggérons d’effectuer un inventaire des renseignements personnels détenus par l’entreprise afin de répertorier les renseignements personnels détenus et leurs supports (papier ou numérique), la nature des renseignements personnels, leur accessibilité, leur cycle de vie, les informations qui sont détenues par des tiers (ex. : fournisseur de logiciel de tenue des dossiers numérique), etc.
Quelques outils pour mieux vous y retrouver
- Formation en ligne offerte par le Conseil interprofessionnel du Québec (CIQ) pour les membres des ordres professionnels exploitant une entreprise
(Note : cette formation est accréditée par l'Ordre et vous permet d'obtenir 1 h 30 de formation dans la catégorie éthique et déontologie et pratique professionnelle) - Espace évolutif de la Commission d’accès à l’information
De l’information supplémentaire sera publiée cet automne afin de vous guider.
Renseignements
Pour toute question, veuillez communiquer avec Me Marina Vachon, conseillère juridique de l’Ordre, à marina.vachon@oaq.qc.ca.