Digital Brain
digital brain
digital brain

1re partie | Le droit à la vie privée 101 – Obligations en vertu de la nouvelle loi 25 au Québec : Nommez votre responsable de la protection des renseignements personnels dès maintenant

Sep 15, 2022 Balados Lecture de 5 min

Cette série de balados conçue pour les entreprises du secteur privé faisant affaire au Québec porte sur les exigences de la loi 25 qui entrera en vigueur le 22 septembre. Candice Hévin et Marie-Eve Jean, avocates au sein de notre groupe de la protection de la vie privée et des données, animent des discussions sur les changements au régime du secteur privé, soit les modifications à la Loi sur la protection des renseignements personnels dans le secteur privé.

Dans cet épisode, découvrez pourquoi votre entreprise a besoin d’un responsable de la protection des renseignements personnels, comment déléguer adéquatement ce rôle et ce qui peut arriver si vous ne vous conformez pas à la loi.

Le contenu de ce balado ne fournit qu’un aperçu du sujet et ne serait en aucun cas interprété comme des conseils juridiques. L’auditeur ne doit pas se fonder uniquement sur ce balado pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.


Transcription

Marie-Eve Jean : Bonjour et bienvenue à Cours 101 sur le droit à la vie privée, particulièrement, vos obligations sous la Loi 25. Ceci est une série de balados qui vise à vous préparer à vous conformer à la nouvelle législation du Québec en matière de protection de la vie privée et des données.

Candice Hévin : Mon nom est Candice Hévin.

Marie-Eve Jean : Et je suis Marie-Eve Jean.

Candice Hévin : Nous sommes toutes les deux avocates chez McMillan et nous travaillons ensemble afin d’aider les entreprises qui opèrent au Québec à se conformer avec la législation québecoise en matière de protection de la vie privée et des données.

Marie-Eve Jean : Pour vous donner un peu de contexte, le Québec a adopté une nouvelle loi le 22 septembre 2022. Le projet de loi 64, ou la Loi 25 (tel que nous allons y référer), vise à moderniser le régime de protection de la vie privée et des données dans les secteurs public et privé. Cette série de balados porte sur les changements à la législation du secteur privé, c’est-à-dire les changements à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. La Loi 25 introduit de nouvelles obligations pour les organisations qui « exploitent une entreprise » au Québec, ou, en d’autres termes, font affaires au Québec.

Candice, pourrais-tu nous donner des précisions quant la manière dont la Loi s’applique?

Candice Hévin : La Loi s’applique à toute entreprise qui recueille, utilise ou communique des renseignements personnels d’individus situés au Québec, même si l’entreprise n’a pas de bureaux ou d’installations au Québec.

Bien que la majorité des nouvelles exigences entrent en vigueur le 22 septembre 2023, certaines exigences clés entreront en vigueur cet automne, le 22 septembre. Quelques exigences prendront également effet à partir du 22 septembre 2024. Avant d’entrer dans le vif de vos nouvelles obligations sous la Loi 25 à partir de Septembre 2022, nous voulons prendre un moment afin d’adresser l’importance de vous conformer avec la Loi.

Force est de constater que le législateur québécois ne plaisante pas en ce qui a trait à la protection de la vie privée et des données. Comment peut-on dire ça?

Marie-Eve Jean : C’est simple. Le législateur a élaboré quatre mécanismes pour assurer le respect de la loi et ceux-ci sont très sévères pour les entreprises contrevenantes.

La Loi sera applicable par le biais de 4 mécanismes d’application, à savoir :

  • Une réforme des procédures de plainte et d’enquête, qui entrera largement en vigueur à partir de septembre 2022. Le reste du régime d’application (SAP, infractions pénales et droit d’action privé) prendra effet en septembre 2023.
  • Des sanctions administratives pécuniaires imposées par la Commission d’accès à l’information – jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial de l’entreprise.
  • Infractions pénales assorties d’amendes importantes – jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial de l’entreprise; les montants sont doublés en cas de récidive.
  • Droit d’action privé permettant aux particuliers de poursuivre une organisation en dommages et intérêts.

Candice Hévin : On peut donc voir par les différentes dates de mise en vigueur que le législateur veut être raisonnable et offrir un certain temps d’ajustement aux compagnies. Cependant, vous devriez vous assurer d’atteindre la conformité dès 2023 afin d’éviter de grosses amendes.

Marie-Eve Jean : Maintenant que nous avons couvert nos bases quant à la Loi 25, parlons de votre première obligation sous la Loi qui prendra effet à partir du 22 septembre 2022, c’est-à-dire votre obligation de nommer un responsable de la protection des renseignements personnels. Encore une fois, afin de s’assurer que nous sommes tous sur la même longueur d’ondes, lorsqu’on vous adresse en disant « vous », nous parlons des compagnies qui font affaires au Québec.

Qu’est-ce qu’un responsable de la protection des renseignements personnels?

Candice Hévin : Il s’agit simplement d’une personne au sein de l’entreprise qui est responsable pour la protection des renseignements personnels et, ultimement, de la conformité avec la Loi 25. Voici la « twist » comme on dirait en bon québécois – sous la Loi, la personne au sein de l’entreprise avec la plus haute autorité est, par défaut, la personne responsable de la protection des renseignements personnels. Donc, votre PDG ou Président assume ce rôle d’emblée sous la Loi.

Marie-Eve Jean : Ok Candice quand on parle de la plus haute autorité au sein de l’entreprise, est-ce qu’on regarde au niveau provincial, national ou international?

Candice Hévin : Il n’y a pas encore de directives claires de la part du législateur ou de la Commission d’accès à l’information quant à cette question. Selon notre interprétation, si une compagnie a des opérations à l’échelle nationale ou internationale, la personne avec la plus haute autorité serait le PDG ou le Président de l’entité canadienne, à moins que l’entité internationale traite ou utilise les données du Québec. Dans le cas où votre compagnie opère seulement au Québec, la personne responsable serait tout simplement le PDG ou Président de votre compagnie.

Marie-Eve Jean : Donc nous savons maintenant ce qu’est un responsable de la protection des renseignements personnels et nous savons que le PDG ou le Président assume ce rôle.

Candice Hévin : Il y a une autre twist – le PDG peut déléguer les fonctions associées à ce rôle à toute autre personne. Le PDG peut déléguer toutes les fonctions ou seulement certaines et peut les déléguer à une ou plusieurs personnes à l’interne ou à l’externe.

Marie-Eve Jean : Quand on parle de déléguer le rôle à l’externe, on parle d’engager un conseiller professionnel externe qualifié. Notez que cette délégation de fonctions doit absolument être effectuée par écrit par le PDG. Nous avons mentionné que les fonctions du responsable plusieurs fois dans les dernières minutes – vous vous demandez sans doute quelles sont ces fonctions?

La Loi en contient plusieurs. En somme, le responsable doit :

  • veiller à ce que l’entreprise respecte la loi,
  • traiter les demandes d’accès et de rectification des personnes concernées,
  • traiter toute question ou plainte concernant le traitement des renseignements personnels.

Candice Hévin : Dernière chose à noter – vous devez afficher le titre et les coordonnées du responsable de la protection des renseignements personnels sur votre site internet. N’inquiétez-vous pas, ça ne veut pas dire que vous devez publier l’adresse courriel du responsable publiquement. Afin d’éviter que la boîte de courriels de votre responsable soit inondée de courriels, vous pouvez créer une adresse courriel séparée afin de recueillir toute communication adressée au responsable concernant la protection de la vie privée et des données.

Donc voilà, c’est tout le temps que nous avions aujourd’hui. Nous avons plusieurs autres astuces à partager avec vous quant à la nomination d’un responsable de la protection des renseignements personnels donc n’hésitez pas à communiquer avec nous. Nous avons aussi beaucoup d’expérience en ce qui concerne le développement de délégation des fonctions de responsable de la protection des renseignements personnels et nous serions heureuses de vous assister à développer la vôtre.

Marie-Eve Jean : Ne manquez pas le prochain épisode, où nous discuterons de vos obligations en ce qui a trait aux incidents de confidentialité. Vous écoutez Marie-Eve Jean.

Candice Hévin : Et Candice Hévin.

Marie-Eve Jean : De McMillan LLP. Ce fut un plaisir d’enregistrer pour vous, on se retrouve prochainement !

Perspectives (3 Posts)

Featured Insight

Loi 25 – Premier projet de règlement, à vos marques, prêts, partez!

Premier projet de règlement dans le cadre de la Loi 25 en matière de protection des renseignements personnels et incidents de confidentialité.

Lire plus
18 Juil, 2022
Featured Insight

Projet de loi no 64 : aide-mémoire à l’intention des entreprises

Le Québec modernise ses lois sur la protection des renseignements personnels. Cet aide-mémoire illustre les priorités et les échéances pour les entreprises.

Lire plus
7 Déc, 2021
Featured Insight

Adoption du projet de loi no 64 : modernisation du régime de protection de la vie privée

Une analyse en profondeur de la modernisation de 2021 du régime de protection de la vie privée du Québec.

Lire plus
25 Oct, 2021