La loi 25 est en vigueur! Êtes-vous conforme?

Les premières obligations de la Loi 25 sont en vigueur depuis le 22 septembre 2022. Votre organisation est-elle conforme en matière de protection des renseignements personnels? Quelles sont ces obligations au juste? Et qu’est-ce que la Loi 25? 

Que dit la Loi 25 ? 

On vous a déjà présenté la Loi 25. Voici un bref rappel. 

Cette loi met à jour la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé. Elle concerne donc les organismes publics et les entreprises privées, à but lucratif ou non. 

Elle entre en vigueur progressivement, soit de 2022 à 2024. 

La Commission d’accès à l’information chapeaute plusieurs aspects de conformité. 

La loi vise notamment à encadrer et à augmenter : 

• les droits des citoyens quant à l’utilisation et la protection de leurs renseignements personnels ; 
• les obligations de protection des renseignements personnels par les organisations publiques et entreprises ;  
• l’imputabilité et le devoir de transparence de ces entités en matière de collecte, d’utilisation, de protection, de transmission, de conservation et de destruction des renseignements personnels. 

Dans cet article, nous vous présentons les principales nouvelles obligations liées à la gestion de l’information. Pour connaître l’ensemble de vos obligations spécifiques, consultez vos services juridiques. 

Obligations en vigueur 

Pour cet automne, les entreprises et organismes doivent notamment: 

• Désigner une personne responsable de la protection des renseignements personnels; 
• Déclarer les incidents de confidentialité impliquant un renseignement personnel présentant un risque de préjudice sérieux; 
• Aviser la Commission avant d’utiliser toute technique biométrique permettant de vérifier ou de confirmer l’identité d’une personne. 

À noter que d’autres obligations existent. Par exemple, les organismes publics doivent mettre en place un comité sur l’accès à l’information et la protection des renseignements personnels. Assurez-vous de consulter l’information s’appliquant à votre organisation pour connaître toutes vos obligations! 

La Commission d’accès à l’information (CAI) est notamment en charge de recevoir les déclarations d’incidents. Son site web regorge d’informations, de ressources et de procédures: visitez-le! 

Obligations à venir 

Dès le 20 septembre 2023: 

• Élaborer un cadre de gouvernance en matière de protection des renseignements personnels; 
• Bonifier les informations transmises aux citoyennes et aux citoyens lors de la collecte de leurs renseignements personnels; 
• Détruire ou rendre anonymes les renseignements personnels dans certaines circonstances; 
• Évaluer les risques en matière de vie privée lors de certaines utilisations et communications de renseignements personnels (EFVP); 
• Obtenir, au préalable, le consentement de la personne pour utiliser ses renseignements personnels à des fins de prospection commerciale. 

Les organismes publics doivent également publier, sur leur site internet, leurs règles de gouvernance sur les renseignements personnels ainsi qu’une politique de confidentialité rédigée en termes simples et clairs. 

À compter du 20 septembre 2024: 

• Communiquer, à la demande de la personne concernée, les renseignements personnels que l’organisation a fournis à une entreprise. 

Où en êtes-vous? 

Votre organisation est-elle prête? Nous pouvons vous accompagner dans l’implantation de plusieurs mesures : 

• Processus de gestion des incidents de confidentialité 
• Gestion de la communication des renseignements personnels 
• Catégorisation des actifs informationnels 
• Révision des règles de conservation 
• Ajustements des processus de conservation et de destruction 
• Élaboration d’un cadre de gouvernance 
• Mise en place de l’EFVP 
• Et plus encore!