Si vous ignorez que la seconde phase d’application d’un amendement à la Loi 25 entre en vigueur en septembre, vous n’êtes pas seul. Pourtant, ce changement — et celui de la phase suivante — risquent grandement de vous affecter!

Au Québec, la Loi 25 vise essentiellement la protection des renseignements personnels. Elle ne date pas d’hier: sa première mouture remonte à 1993. La Loi a subi quelques amendements, notamment en 2001 et 2006, mais ces modifications et leur application sont passées sous le radar de la plupart des entrepreneurs, principalement par manque d’information. Or, trois nouveaux amendements viennent changer la donne.

« La première phase, entrée en vigueur en septembre 2022, oblige tout entrepreneur à nommer un responsable de la protection des renseignements personnels », indique l’avocate Dani Ann Robichaud. « Ce responsable doit rapporter au gouvernement tout incident lié aux données personnelles des citoyens. »

Contrôle serré

En fait, l’entreprise doit établir une politique énumérant les pratiques qu’elle adopte pour encadrer la gouvernance des renseignements personnels et assurer la protection de ceux-ci. « Ce processus restera en vigueur tout au long du cycle de vie des renseignements recueillis et l’entreprise doit pouvoir donner suite aux plaintes ou demandes de renseignements relatifs aux informations personnelles dont elle dispose », ajoute Me Robichaud.

Dans un deuxième temps, l’entrepreneur devra évaluer les facteurs relatifs à la vie privée de ses employés, clientèles et fournisseurs en fonction de ses méthodes de collecte et d’utilisation des renseignements (abonnements, site Internet, partage et destruction des renseignements.)

« Troisièmement, en collaboration avec la personne responsable de la protection des renseignements personnels, l’entreprise devra assurer une mise à jour régulière de sa banque de données. « La Loi 25 prévoit un droit à l’oubli, qui stipule qu’après un certain temps, les données doivent être détruites », conclut-elle.

Incertitude

Étonnamment, la Loi 25 n’a pas été brandie par les politiciens lors des déboires des Caisses Desjardins ou du scandale Facebook-Cambridge Analytica. Par ailleurs, comment gère-t-on l’envoi de données personnelles sur des serveurs hors Québec? L’information en ligne relative aux trois phases des amendements de 2022 à 2024 est pratiquement inexistante. Pourtant, le gouvernement gagnerait à publiciser l’application de ces amendements, afin de permettre aux entrepreneurs de s’y conformer. Mentionnons qu’une entreprise fautive pourrait s’exposer à une amende de 10 millions de dollars, ou jusqu’à 2% de son chiffre d’affaires international…