Ce contenu est réservé aux abonné(e)s.
Pour un accès immédiat,
abonnez-vous pour moins de 1 $ par semaine.
S'abonner maintenant
Vous êtes déjà abonné(e) ? Connectez-vous
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels a été sanctionnée le 22 septembre 20211. Il s’agit du projet de loi 64, aussi appelé la loi 25. Cette loi met en œuvre une réforme importante des lois québécoises en matière de protection des renseignements personnels, dont la Loi sur la protection des renseignements personnels dans le secteur privé (LP)2 qui s’applique aux entreprises privées, dont les syndicats et les entreprises agricoles.
En septembre 2022, une première série de modifications à la LP entreront en vigueur, mais la majorité des dispositions de la loi 25 prendront effet en septembre 2023.
Application aux entreprises privées
La LP s’applique à l’égard des renseignements personnels sur autrui qu’une personne recueille, détient, utilise ou communique à des tiers à l’occasion de l’exploitation d’une entreprise au sens de l’article 1525 du Code civil du Québec3, soit toute entreprise qui exerce, par une ou plusieurs personnes, une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services4. Cette définition d’entreprise n’a pas changé dans la loi 25.
Ainsi, toutes les entreprises correspondant à cette définition, quelle que soit leur taille, sont visées par l’entrée en vigueur des nouvelles dispositions.
Mesures entrant en vigueur le 22 septembre 2022
Afin de vous y préparer, nous vous donnons un aperçu des mesures à mettre en place pour le 22 septembre 2022 :
- Nommer pour votre entreprise un responsable de la protection des renseignements personnels et publier ses coordonnées sur le site Internet de l’entreprise ou, si elle n’a pas de site, les rendre accessibles par tout autre moyen approprié. La Loi prévoit que cette fonction est exercée d’office par la personne ayant la plus haute autorité dans l’entreprise, mais celle-ci peut déléguer cette fonction par écrit, en tout ou en partie, à toute personne5. Il peut donc s’agir d’une personne interne ou externe à l’entreprise;
- Aviser la Commission d’accès à l’information (CAI) et la personne concernée de tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice et tenir un registre devant être fourni à la CAI sur demande6;
- Respecter le nouvel encadrement pour la communication des renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de production de statistiques ou dans le cadre d’une transaction commerciale7;
- Si vous faites une confirmation d’identité avec des données biométriques (par exemple, reconnaissance des empreintes digitales, de la forme de la main, du visage, de la rétine et de l’iris de l’œil) et utilisez une banque de données biométriques, vous devez le divulguer à la CAI8.
À noter que des règlements d’application viendront préciser les modalités de certaines obligations, mais ceux-ci ne sont pas encore publiés.
Me Diane Simard, avocate spécialisée en droit municipal, admise au Barreau en 1988, et détentrice d’une maîtrise en administration des affaires (MBA) de l’Université du Québec à Montréal et d’une maîtrise en analyse et gestion urbaines de l’École nationale en administration publique
Pour plus d’informations, vous pouvez consulter le site Web de la Commission d’accès à l’information au cai.gouv.qc.ca/espace-evolutif-modernisation-lois/.
Suivez-nous chaque mois et n’hésitez pas à nous transmettre les questions et les sujets qui vous interpellent à l’adresse suivante : [email protected]. Vous pouvez aussi consulter notre site Internet au upa.qc.ca/bhlf-avocats.
La chronique juridique est une vulgarisation de l’état du droit en vigueur et ne constitue pas une opinion, un conseil ou un avis juridique. Nous vous invitons à consulter un avocat ou un notaire pour connaître les règles particulières applicables à une situation donnée.
1 L.Q. 2021, c. 25. 2 RLRQ, c.P-39.1. 3C.c.Q. 4Art 1 LP. 5Art 3.1 LP. 6Art 3.5 à 3.8 LP. 7Art 21 et 18.4 LP. 8Art 44 et 45 de la Loi concernant le cadre juridique des technologies de l’information (chapitre C-1.1).