Loi 25: nouveautés importantes en matière de protection des renseignements personnels

22 août 2022

Dès le 22 septembre 2022, les membres exerçant dans le secteur privé devront se conformer à de nouvelles exigences en matière de gestion des renseignements personnels qu’ils détiennent.

L’OPPQ présente les grandes lignes des changements amenés par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25).

Mesures à mettre en place pour le 22 septembre 2022

Comme c’est déjà le cas dans le secteur public, toutes les entreprises (cliniques, travailleurs autonomes, etc.) devront se conformer à ces nouvelles obligations à compter du 22 septembre 2022:

• Désigner un responsable de la protection des renseignements personnels qui veillera au respect de la Loi. Cette fonction devra être attribuée à la personne qui détient la plus haute autorité dans l’entreprise à moins que celle-ci délègue son rôle à une autre personne au sein de l’entreprise.
  Les coordonnées du responsable devront être publiées sur le site web ou sur tout autre moyen approprié si le milieu ne détient pas de site web, par exemple en affichant ces informations dans le local de la clinique

• Établir une procédure à suivre en cas d’incidents de confidentialité et mettre en place un plan de gestion des incidents. Ce plan devra inclure une évaluation du risque de préjudice et la transmission d’un avis d’incident à la Commission d’accès à l’information et à la personne concernée par l‘incident si le risque de préjudice s’avère sérieux.
• Constituer un registre des incidents de confidentialité où seront inscrits tous les incidents, même ceux ne présentant pas un risque de préjudice sérieux;
• Se conformer aux nouvelles règles en matière de communication de renseignements personnels qui ne nécessitent pas le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques, dont la réalisation préalable d’une évaluation des facteurs relatifs à la vie privée.
• Se conformer aux nouvelles règles en matière de communication de renseignements personnels qui ne nécessitent pas le consentement de la personne concernée dans le cadre d’une transaction commerciale qui nécessite la communication de renseignements personnels, dont la conclusion d’une entente prévoyant les mécanismes de protection des renseignements personnels exigés par la loi. Cette obligation pourrait s’appliquer par exemple si la clinique est vendue, ce qui entrainerait le transfert des renseignements personnels des clients. 

• Se conformer aux obligations relatives à l’utilisation de données biométriques, si applicable.

Le non-respect de ces obligations pourrait mener à des amendes.

D’autres bonnes pratiques sont également encouragées:

Effectuer un inventaire des renseignements personnels détenus par l’entreprise afin de répertorier:

• Les renseignements personnels détenus et leurs supports (papier ou numérique)La nature des renseignements personnels, leur accessibilité, leur cycle de vie, etc.
• Les informations qui sont détenues par des tiers (fournisseur de logiciel de tenue des dossiers numérique, application de prise de rendez-vous, etc.)

La Loi 25

La Loi 25 modifie la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (LAI), la Loi sur la protection des renseignements personnels dans le secteur privé (LPRP) ainsi que plusieurs autres lois.

Elle oblige les entreprises à mettre en place différentes mesures visant à assurer la protection des renseignements personnels.

La Loi entrera en vigueur de façon progressive jusqu’en septembre 2024.