Réforme du droit applicable au Québec en matière de protection des renseignements personnels : une mer de changements

L’Assemblée nationale du Québec a adopté le 21 septembre 2021 le projet de loi 64, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « PL 64 ») lequel apporte des modifications significatives au droit applicable en matière de protection de la vie privée au Québec notamment par la création de nouvelles obligations pour les entreprises.

À QUI S’APPLIQUE LE PL 64 ?

Entreprises privées de toute taille (sauf les entreprises fédérales)

Organismes publics et sociétés d’État

Toute organisation détenant des renseignements personnels

ENTRÉE EN VIGUEUR PAR VAGUES…

L’entrée en vigueur des dispositions du PL 64 se fera de façon graduelle au courant des prochaines années :

  1. Dès la première année suivant l’adoption du PL 64, soit le 22 septembre 2022, les entreprises privées auront l’obligation de déclarer tout « incident de confidentialité » à la Commission d’accès à l’information (CAI) et à toute personne visée, si l’incident pose un risque de préjudice sérieux. La CAI se verra octroyer de nouveaux pouvoirs en matière d’enquête.

    De plus, toute entité visée devra nommer un responsable de la protection des renseignements personnels au sein de leur organisation.

    Finalement, dès cette date, les entreprises pourront communiquer certains renseignements personnels sans le consentement des personnes concernées lorsque la communication de tels renseignements sera nécessaire aux fins de la conclusion d’une transaction commerciale.

  2. Dès la deuxième année suivant l’adoption du PL 64, il est important de préciser que la grande majorité des nouvelles dispositions du PL 64 entreront en vigueur. De ce nombre, on compte notamment l’obligation pour les entreprises d’adopter des politiques de gouvernance à l’égard des renseignements personnels, de publier des politiques de confidentialité ainsi que de procéder à l’évaluation des facteurs relatifs à la vie privée de tout projet de développement ou de refonte de système d’information ou de prestation électronique de services impliquant la collecte de renseignements personnels. Des amendes salées pourront être imposées en cas de non-respect de ces obligations, lesquelles pourront atteindre jusqu’à 25 M$ ou 4 % du chiffre d’affaires mondial d’une entreprise.

  3. Et finalement, à compter de la troisième année suivant l’adoption du PL 64, toute personne dont les renseignements personnels sont recueillis aura droit à la portabilité de ses données, c’est-à-dire l’obligation pour une entreprise de communiquer les renseignements personnels informatisés recueillis auprès d’un requérant dans un format technologique structuré et couramment utilisé, le tout à la demande de celle-ci.

Malgré les délais accordés pour se conformer aux nouvelles exigences, celles-ci doivent être prises au sérieux. Pour plus d’information sur la façon de se préparer aux changements législatifs à venir ou pour bénéficier d’un accompagnement adapté à vos besoins, n’hésitez pas à faire appel à l’équipe Vie privée de Cain Lamarre. De plus, devant ces changements législatifs importants, nous avons développé une offre de formations à l’intention des cadres et des employés de votre entreprise. Pour plus d’informations, n’hésitez pas à communiquer avec équipevieprivée@cainlamarre.ca.