Nouvelle loi C-25, est-ce que votre entreprise est prête?

Depuis son entrée en vigueur, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels qui est venue modifier la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi ») a fait couler beaucoup d’encre notamment en raison des nombreuses nouvelles obligations auxquelles devront se conformer les entreprises québécoises susceptibles de recueillir, détenir, utiliser ou communiquer à des tiers des renseignements personnels.

L’entrée en vigueur de la grande partie des modifications apportées à la Loi a été prévue en trois temps, soit le 22 septembre 2022, le 22 septembre 2023 et finalement, le 22 septembre 2024.

À défaut de respecter les nouvelles obligations, les entreprises peuvent être sujettes à des sanctions administratives pécuniaires administrées par la commission d’accès à l’information (la « CAI ») pouvant allez jusqu’à 10 000 000$ ou 2% du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé.

La Loi est venue créer également plusieurs nouvelles infractions en vertu desquelles la CAI peut intenter des poursuites pénales, lesquelles pourront être sanctionnées par l’imposition, par la Cour du Québec, d’une amende pouvant allez jusqu’à 25 000 000$ ou 4% du chiffre d’affaires mondial de l’entreprise de l’exercice financier précédent si ce dernier montant est plus élevé.

Finalement, la Loi reconnaît la possibilité pour les individus de réclamer des dommages-intérêts punitifs lorsqu’une atteinte illicite à un droit conféré par la Loi cause un préjudice et que cette atteinte est intentionnelle ou qu'elle résulte d’une faute lourde de l’entreprise.

Dans ces circonstances, il est primordial que votre entreprise soit bien préparée à ses nouvelles obligations et qu'elle s’y conforme.

À titre de rappel, depuis le 22 septembre 2022, votre entreprise doit :

1. Désigner une personne responsable de la protection des renseignements personnels et afficher son titre et ses coordonnées sur votre site web;
2. Tenir un registre des incidents de confidentialité impliquant un renseignement personnel et mettre en place des procédures en cas d’incidents de confidentialité; et 
3. Respecter les nouvelles obligations entourant la communication de renseignements personnels dans le cadre d’une transaction commerciale ou à des fins d’étude, de recherche ou de production de statistiques.

À compter du 22 septembre 2023, votre entreprise devra :

1. Avoir mis en place des politiques et pratiques encadrant la gouvernance et la protection des renseignements personnels par votre entreprise et publier de l’information détaillée sur celles-ci sur votre site web, lesquelles devront prévoir notamment :
   • l’encadrement applicable à la conservation et destruction des renseignements personnels;
   • prévoir les rôles et responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels; et
   • un processus de traitement des plaintes relatives à la protection des renseignements personnels.
2. Avoir mis en place des procédures encadrant la réalisation des évaluations des facteurs relatifs à la vie privée lorsque la Loi l’exige (notamment, avant de communiquer des renseignements personnels à l’extérieur du Québec ou pour tout projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de Renseignements personnels);
3. Avoir mis en place une politique de confidentialité encadrant, notamment :
   • les nouvelles exigences d’information et de transparence quant aux individus dont les renseignements personnels sont recueillis;
   • les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels;
   • les nouveaux droits accordés aux individus pour qui des renseignements personnels sont recueillis.
4. Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée (par exemple, selon la Loi, vous pouvez communiquer des renseignements personnels à un fournisseur de services (hébergement web) sans le consentement de la personne concernée, sujet à ce qu’un contrat écrit intervienne avec ce fournisseur de services et contienne certaines clauses spécifiques à cet égard).

Morency a préparé une offre de services complète visant à conseiller et préparer nos clients afin que vous soyez prêts pour toutes ses nouvelles obligations et c'est avec plaisir que nous vous accompagnerons et répondrons à toutes vos questions à cet égard!