Comprendre la nouvelle phase de la loi québécoise 25

Les lois sur la protection de la vie privée dans les pays, les États et les provinces changent constamment. Il est crucial pour les propriétaires d’entreprise d’être conscients et bien informés de ces changements dynamiques, car les changements peuvent avoir un impact non seulement sur les entreprises elles-mêmes, mais aussi sur les clients qu’elles servent.

En septembre 2022, le Québec, au Canada, a mis en œuvre la Loi 25, une loi exhaustive sur la protection de la vie privée qui met à jour considérablement les lois sur la protection de la vie privée du pays. La Loi 25, officiellement connue sous le nom de « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels », régit la protection des renseignements personnels au Québec. Il harmonise les exigences du Québec en matière de protection de la vie privée avec les règlements de type européen en matière de protection de la vie privée, comme le Règlement général sur la protection des données (RGPD). Initialement présentée sous le nom de projet de loi 64, la loi 25 a été adoptée par l’Assemblée nationale du Québec en septembre 2021 et ses dernières dispositions sont entrées en vigueur en septembre 2022. De nouveaux changements entreront en vigueur en septembre 2023 et de nouveau en septembre 2024. 

La loi 25 s’applique aux entités privées et publiques et touche non seulement les organisations basées au Québec, mais aussi celles qui font affaire avec des résidents du Québec ou qui exercent leurs activités dans la province. Toute organisation traitant des renseignements personnels provenant du Québec doit se conformer aux dispositions de la loi.

La loi introduit plusieurs changements importants qui ont un impact substantiel sur les organisations. Certaines exigences clés incluent, sans toutefois s’y limiter :

• Responsable de la protection de la vie privée : Toutes les organisations doivent avoir un responsable de la protection de la vie privée désigné ou un poste équivalent responsable des questions de protection de la vie privée.
• Évaluation des facteurs relatifs à la vie privée : Des mesures précises sont décrites pour la réalisation d’évaluations des facteurs relatifs à la vie privée afin de cerner et d’atténuer les risques d’entrave à la vie privée associés aux projets et aux initiatives.
• Politiques de confidentialité : Les organisations doivent avoir des politiques de protection de la vie privée accessibles au public qui décrivent leurs pratiques internes en matière de protection de la vie privée.
• Avis d’atteinte à la vie privée : Le signalement obligatoire des atteintes à la vie privée à la Commission d’accès à l’information (CAI) du Québec et aux personnes touchées est requis.
• Consentement et transparence accrus : Une transparence accrue est nécessaire pour obtenir le consentement et recueillir des renseignements personnels, avec une divulgation claire des droits sur les données et des fins de la collecte de données.
• Protection de la vie privée dès la conception : Les organisations doivent mettre en œuvre les principes de protection de la vie privée dès la conception dans leurs technologies et systèmes.
• Nouveaux droits sur les données : La loi 25 introduit des droits sur les données pour les individus, y compris la portabilité des données, les droits liés à la prise de décision automatisée, les droits de profilage des données et le droit à l’oubli.

La loi 25 impose des sanctions plus sévères en cas de non-conformité par rapport au régime précédent. Les sanctions varient en fonction de la taille et du type d’organisation, allant des amendes aux sanctions pénales. Les organisations privées peuvent faire face à des amendes allant jusqu’à 10 millions de dollars ou 2% de leur chiffre d’affaires mondial, tandis que les institutions publiques font face à des amendes échelonnées allant de 3 000 à 150 000 dollars. Les personnes responsables d’infractions peuvent être passibles d’amendes allant de 5 000 $ à 100 000 $.

Modifications réglementaires entrant en vigueur en septembre 2023

En septembre 2023, la phase 2 des modifications réglementaires sera mise en œuvre, ce qui introduira des exigences supplémentaires. Il s’agit notamment de la nécessité pour les organisations d’avoir des politiques de protection de la vie privée facilement accessibles, des pratiques de conservation et de destruction des renseignements personnels, de la gouvernance de la protection de la vie privée et de l’élaboration de programmes, des évaluations des facteurs relatifs à la vie privée et des pratiques améliorées en matière de consentement et de collecte. La loi met également l’accent sur les principes de la protection de la vie privée dès la conception et le droit à l’oubli.

Pour s’adapter à l’évolution du paysage de la protection de la vie privée, les organisations devraient évaluer de façon proactive leurs processus, leurs politiques et leurs technologies. La loi 25 est une loi stricte sur la protection de la vie privée au Québec qui améliore considérablement la protection des renseignements personnels. Elle souligne également la nécessité de détruire les renseignements personnels une fois que les fins prévues ont été atteintes.

Dans les cas où il existe une raison légitime de conserver les renseignements, l’anonymat devrait être pris en compte. Les informations confidentielles contenues dans les biens physiques tels que les documents papier et les disques durs constituent une menace à la fois à l’intérieur et à l’extérieur du bureau, les violations pouvant provenir de personnes externes ou d’employés de confiance. Selon le rapport 2022 de Verizon sur les enquêtes sur les violations de données, 82% des violations de données impliquaient un élément humain et certaines violations ciblaient des matériaux physiques. Par conséquent, il est crucial pour les organisations de mettre en œuvre des mesures telles que des services professionnels de déchiquetage de papier et de destruction de disques durs pour éliminer en toute sécurité les articles qui ne sont plus nécessaires, assurant ainsi la protection des informations sensibles.

Comment Shred-it^® peut aider

Alors que les grandes entreprises peuvent avoir plus de ressources sous forme d’outils et de personnel, les petites entreprises peuvent avoir du mal à comprendre et à s’y conformer au paysage réglementaire changeant. Le rapport 2022 Shred-it^® sur la protection des données (DPR) a révélé que 58% des dirigeants de petites entreprises interrogés ne peuvent pas suivre l’évolution des réglementations en matière de protection de la vie privée, et environ 25% de ces derniers ne comprennent pas les lois et comment se conformer aux règles qui s’appliquent à eux.

Nous offrons des ressources pour aider nos clients de destruction sécurisée d’informations à se conformer aux exigences applicables, notamment :

• Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) – Canada
• Loi californienne sur la protection de la vie privée des consommateurs (CCPA)
• Loi HIPAA (Healthcare Insurance Portability and Accountability Act)
• Gramm-Leach-Bliley-Act (GLBA)
• Règlement général sur la protection des données (RGPD)

Les organisations doivent s’assurer que leurs employés connaissent la Loi 25 du Québec et leur rôle pour assurer la conformité. La formation devrait porter sur l’élimination appropriée des documents électroniques et papier et sur ce qu’il faut faire au bureau par rapport au travail à domicile. 

Comment détruire en toute sécurité les renseignements personnels

Les entreprises peuvent utiliser un service de déchiquetage professionnel de confiance comme Shred-it^® qui offre une variété d’options de déchiquetage :

• Déchiquetage unique : Shred-it^® effectuera une collecte unique de vos documents.
• Déchiquetage régulier : Des conteneurs verrouillables sont fournis en plus des ramassages réguliers.
• Déchiquetage de dépôt : déposez vos documents à votre bureau Shred-it^® local.
• Événements de déchiquetage gratuits : Apportez une boîte de papiers à votre événement communautaire de déchiquetage.
• Déchiquetage résidentiel : En plus des ramassages au bureau, Shred-it^® recueille les documents des résidences.
• Services de déchiquetage spécialisés : Pour les entreprises qui exigent la destruction sécurisée d’articles non-papier tels que les livres de prix, les supports, les dossiers médicaux, les examens, les pièces d’identité expirées, les anciens uniformes, etc.
• Destruction du disque dur : Les données peuvent être récupérées à partir de périphériques, même si elles ont été supprimées manuellement. Shred-it^® offre une technologie de pointe pour supprimer définitivement les données du disque dur en détruisant physiquement l’appareil.

• Découvrez comment Shred-it^® peut vous aider à jouer un rôle dans vos efforts de sécurité physique des données. Téléchargez notre fiche d’information sur la Loi 25 pour en savoir plus sur les nouvelles modifications réglementaires qui entreront en vigueur en septembre 2023 et 2024.