Nouvelles responsabilités et obligations des entreprises

 Avec l’avancement des technologies et de l'augmentation de la cybercriminalité, la protection des renseignements personnels est devenue un enjeu des plus important pour la population. 

Le gouvernement du Québec a donc pris des mesures importantes en modernisant (Loi 25) la Loi sur la Protection des Renseignements Personnels dans le Secteur Privé (LPRPSP).

La LPRPSP modernisée impose notamment aux entreprises détenant des renseignements personnels de nouvelles obligations quant à la gouvernance de ceux-ci, leur communication et quoi faire en cas d’un incident de confidentialité. Il est donc important d’inventorier les renseignements personnels que votre entreprise détient et de prendre les actions nécessaires pour les protéger.

Pénalités : les entreprises qui ne se conforment pas aux exigences de la Loi pourront se voir imposer des sanctions administratives pécuniaires pouvant aller jusqu’à 10 millions ou à 2 % du chiffre d’affaires mondial si ce dernier montant est plus élevé ou encore faire l’objet d’une poursuite pénale et se voir imposer une amende pouvant aller jusqu’à 25 millions ou 4 % du chiffre d’affaires mondial.  Finalement les poursuites civiles sont également possibles avec des amendes minimales de $1,000 par personne ayant été affectée par la fuite de données sensibles.

Les points suivants constituent un résumé des nouvelles obligations (Loi 25), sans s'y limiter, et pourront vous guider dans la mise en place de la gouvernance de la protection des renseignements personnels de votre entreprise.

- Respecter la loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP).

- Nouvelles obligations en matière de protection des renseignements personnels (Loi 25)

• Désigner une personne responsable de la protection des renseignements personnels et publier le titre et les coordonnées du responsable sur le site Internet de l’entreprise ou, si elle n’a pas de site, les rendre accessibles par tout autre moyen approprié;
• En cas d’incident de confidentialité impliquant un renseignement personnel :

                  a. prendre les mesures raisonnables pour diminuer les risques qu’un

                       préjudice soit causé aux personnes concernées et éviter que de

                       nouveaux incidents de même nature ne se produisent;

                  b. aviser la Commission et la personne concernée si l’incident présente

                       un risque de préjudice sérieux;

                   c. tenir un registre des incidents dont une copie devra être transmise à la

                       Commission à sa demande.

• Respecter le nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale;
• Divulguer préalablement à la Commission la vérification ou la confirmation d'identité faite au moyen de caractéristiques ou de mesures biométriques;
• Avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié;
• Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant la mise en place d'un nouveau développement ou système  informatique, avant de communiquer des renseignements personnels à l’extérieur du Québec ou avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques;
• Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels;
• Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi;
• Respecter vos nouvelles obligations d’information et de transparence envers les citoyens;
• Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée (exercice d’un mandat ou exécution d’un contrat de service ou d’entreprise);
• Respecter les nouvelles règles de communication des renseignements personnels à l'extérieur du Québec;
• Respecter les nouvelles règles d’utilisation des renseignements personnels;
• Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public;
• Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur;
• Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l'oubli);
• Respecter les nouvelles règles de communication des renseignements personnels facilitant le processus de deuil;
• Répondre aux demandes de portabilité des renseignements personnels;
• Établir un plan de formation de vos employés en matières de protection des renseignements personnels.

(Source: Extrait du document 'Vers la conformité à la Loi sur le privé' de la Commission d'accès à l'information)

N'hésitez pas à nous contacter dans cette tâche complexe de mise en place de la gouvernance pour la protection des renseignements personnels de votre entreprise.  Consulter nos forfaits avantageux.

Avec la cybercriminalité qui augmente sans cesse, ne prenez pas le risque de faire face à une fuite de renseignements personnels et de devoir payer des pénalités importantes pour non-conformité à la Loi.