MAGAZINE CONSTAS

Se conformer à la Loi 25

Vos obligations comme responsable de la protection des renseignements personnels

Chronique juridique / AVIS D’expert

La Loi 25 est une nouvelle loi adoptée le 22 septembre 2022 qui impose aux organisations privées et publiques de nouvelles obligations en matière de protection des renseignements personnels.

Par Sébastien Meunier *

À cet égard, les entreprises devront être en mesure de générer un registre de renseignements personnels pour permettre au responsable de la protection des renseignements personnels de remplir dans les délais ses obligations en vertu de la Loi 25. Cette loi détermine d’office que ce responsable sera le plus haut dirigeant de l’entreprise, à moins qu’il ait délégué cette fonction à un autre membre de son organisation ou même à l’externe dans le cas des organisations privées. Le dirigeant ou son délégué voit donc la liste de ses rôles et responsabilités augmentée.

À compter de septembre 2024, vous devrez aussi être prêts à assurer la portabilité des renseignements personnels sur demande des personnes concernées.

Ces nouvelles obligations, dont certaines sont déjà en vigueur depuis le 22 septembre 2022 et dont les autres entreront en vigueur le 22 septembre 2023 et le 22 septembre 2024, imposent aux entreprises et en particulier au responsable de la protection des renseignements personnels plusieurs obligations dont, notamment et sans s’y limiter :

  • publier vos coordonnées sur le site Internet de votre entreprise ou si vous n’avez pas de site Internet, rendre accessibles vos coordonnées par tout autre moyen approprié;
  • rédiger un plan de réponse et de notification en cas d’incident de confidentialité;
  • adopter un programme de gouvernance comprenant des politiques et des mesures de sécurité propres à assurer la protection des renseignements personnels;
  • évaluer la conformité des activités de traitement de son entreprise et même réaliser des évaluations des facteurs relatifs à la vie privée lorsque requis ;
  • informer toute personne concernée qui en fait la demande, des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui ont accès à ces renseignements au sein de l’entreprise et de la durée de conservation de ces renseignements ;
  • informer les personnes concernées de toute décision prise par des moyens automatisés et leur donner le droit de demander que ces décisions puissent être traitées par un humain.

À compter de septembre 2024, vous devrez aussi être prêts à assurer la portabilité des renseignements personnels sur demande des personnes concernées.

La Loi 25 permet à la Commission d’Accès à l’Information (CAI) d’imposer aux entreprises qui contreviennent à ses dispositions, des sanctions administratives pécuniaires importantes.

Pourquoi se conformer à la Loi 25 ?

La Loi 25 permet à la Commission d’Accès à l’Information (CAI) d’imposer aux entreprises qui contreviennent à ses dispositions, des sanctions administratives pécuniaires importantes pouvant aller jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’entreprise si ce dernier montant est plus élevé, ou bien des amendes pouvant atteindre 25 000 000 $ ou 4 % de ce même chiffre d’affaires si ce dernier montant est plus élevé. Aussi, si votre entreprise est une personne morale et que celle-ci commet une infraction prévue par la présente Loi 25, l’administrateur, le dirigeant ou le représentant de votre personne morale qui a prescrit ou autorisé l’accomplissement de l’acte ou de l’omission qui constitue une infraction à la Loi 25 peut aussi se voir imposer la peine qui y est prévue.



Ainsi, comme responsable de la protection des renseignements personnels, et afin d’éviter de placer votre entreprise en contravention avec les dispositions de la Loi 25, vous devez vous assurer de pouvoir exécuter pleinement vos obligations.

Pour ce faire, vous devrez, dans un premier temps, adopter une série de politiques, de méthodologies, de procédures et de directives qui permettront à votre entreprise de se doter d’un programme de gouvernance complet visant la protection des renseignements personnels.

Ensuite, vous devrez vous doter d’outils performants qui vous permettront de réaliser un inventaire complet des catégories de renseignements personnels que vous avez collectés ainsi qu’une liste exhaustive des personnes concernées par cette collecte et réaliser une cartographie complète de vos activités de traitements. De cette façon vous serez en mesure :

  • d’évaluer si un incident de confidentialité peut causer un risque de préjudice sérieux aux personnes concernées ;
  • de vérifier, notamment, que les fins pour lesquelles vous collectez des renseignements sont conformes aux obligations de la Loi 25 et que vous avez obtenu, lorsque requis, le consentement des personnes concernées lors de la communication de leurs renseignements personnels à des tiers ;
  • de réaliser des évaluations des facteurs relatifs à la vie privée.

Comme responsable de la protection des renseignements personnels, demandez à vos conseillers de vous guider vers des outils qui vous permettront d’opérationnaliser votre programme de gouvernance et ne vous contentez pas seulement d’une série de politiques, car vous pourriez rapidement être rattrapé par la réalité de vos obligations imposées par la Loi 25. ■

* Sébastien Meunier est vice-président de Pratique – Gouvernance de l’information chez Raymond Chabot Grant Thornton