Entreprises du secteur privé, êtes-vous prêtes pour la première phase de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels ?
Le gouvernement du Québec a fait adopter, le 21 septembre 2021, son projet de Loi no 64 modernisant des dispositions législatives en matière de protection des renseignements personnels, laquelle a, entres autres, eu pour effet de modifier la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le secteur privé »).
La mise en vigueur des nouvelles exigences légales auxquelles seront assujetties les entreprises du secteur privé se fera en 3 phases prenant effet, respectivement, à compter du 22 septembre 2022, du 22 septembre 2023 et du 22 septembre 2024.
Conséquemment, dès le 22 septembre 2022, les entreprises devront entres autres:
1° Nommer un responsable de la protection des renseignements personnels
Toute personne qui exploite une entreprise sera responsable de la protection des renseignements personnels qu’elle détient. Pour ce faire, la personne ayant la plus haute autorité dans l’entreprise devra veiller à assurer le respect et la mise en œuvre de la Loi sur le secteur privé.
La loi prévoit que cette personne exercera la fonction de responsable de la protection des renseignements personnels, mais qu’elle pourra déléguer cette fonction par écrit, en tout ou en partie, à toute personne.
Le titre et les coordonnées du responsable devront être publiés sur le site Internet de l’entreprise ou, si elle n’a pas de site, rendus accessibles par tout autre moyen approprié.
2° Signaler et tenir un registre de tout incident de confidentialité présentant un risque sérieux de préjudice
Les entreprises devront informer la Commission d’accès à l’information du Québec (la « CAI ») et la personne concernée de tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice et tenir un registre qui devra être fourni à la CAI sur demande.
La notion d’« incident de confidentialité » comprend l’accès, l’utilisation ou la communication, non autorisés par la loi, des renseignements personnels; ou une perte ou toute autre atteinte concernant la protection de ces informations.
Quant aux « renseignements personnels », ils comprennent tous renseignements relatifs à une personne physique qui peuvent permettre de directement ou indirectement de l’identifier.
Eu égard à l’évaluation de « risque sérieux de préjudice », celle-ci devra, entres autres, tenir compte de la sensibilité des informations concernées et de la probabilité que ces informations soient utilisées de façon malveillante.
3° Divulguer à la CAI toute banque de caractéristiques ou de mesures biométriques 60 jours avant sa mise en service, ainsi que la vérification ou la confirmation d’identité faite au moyen de ces caractéristiques
De manière plus générale, il sera également obligatoire, après le 22 septembre 2022, d’aviser la CAI avant d’utiliser toute technique biométrique (ex. reconnaissance faciale, vocale etc.) permettant de vérifier ou de confirmer l’identité d’une personne. Cette technique ne peut être utilisée sans le consentement exprès de la personne concernée.
Sanctions
En cas de manquement à leurs obligations :
1° les entreprises pourraient être passibles de sanctions pénales pouvant atteindre 4% de leur chiffre d’affaires mondial ou 25 millions de dollars, selon le montant le plus élevé des deux;
2° les entreprises pourraient être également passibles de poursuites en dommages et intérêts; et
3° à compter du 23 septembre 2023, la CAI aura le pouvoir d’imposer des sanctions administratives pécuniaires pouvant atteindre 2 % du chiffre d’affaires mondial de l’entreprise en défaut ou 10 millions de dollars.
Les entreprises ont donc tout intérêt à se préparer, d’ores et déjà, pour la première phase de la mise en vigueur des nouvelles dispositions de Loi sur le secteur privé.
Par Melanie Masson