La Loi 25 modifie la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (LAI), la Loi sur la protection des renseignements personnels dans le secteur privé (LPRP) ainsi que plusieurs autres lois.
Elle oblige les entreprises à mettre en place différentes mesures visant à assurer la protection des renseignements personnels.
La Loi entrera en vigueur de façon progressive jusqu’en septembre 2024.
Calendrier des principales dispositions
22 septembre 2022
- Désigner une personne responsable de la protection des renseignements personnels
- Informer les personnes concernées en cas d’incidents de confidentialité qui pourraient leur causer un préjudice sérieux
Septembre 2023
- Élaborer un cadre de gouvernance en matière de protection des renseignements personnels
- Bonifier les informations transmises aux citoyennes et aux citoyens lors de la collecte de leurs renseignements personnels
- Détruire ou rendre anonymes les renseignements personnels dans certaines circonstances
- Évaluer les risques en matière de vie privée lors de certaines utilisations et communications de renseignements personnels
- Obtenir, au préalable, le consentement de la personne pour utiliser ses renseignements personnels à des fins de prospection commerciale
Septembre 2024
- Communiquer, à la demande de la personne concernée, ses renseignements personnels qu’elle a fournis à une entreprise
Qu’est-ce qu’un renseignement personnel?
La LPRP définit un renseignement personnel de la façon suivante :
«Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier.»
Un renseignement personnel peut être le nom d’une personne, son prénom, sa date de naissance, son numéro de téléphone, son adresse, son numéro d’assurance sociale, etc.
Les entreprises peuvent, dans le cadre de leurs activités, détenir des renseignements personnels sur différents groupes de personnes comme leurs clients ou leurs employés.
Qu’est-ce qu’un incident de confidentialité et comment évaluer s’il présente un risque de préjudice sérieux?
Un incident de confidentialité, peut selon la LPRP, prendre différentes formes, soit:
- L’accès non autorisé par la loi à un renseignement personnel;
- L’utilisation non autorisée par la loi d’un renseignement personnel;
- La communication non autorisée par la loi d’un renseignement personnel;
- La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Dans l’évaluation du risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de sécurité, il faut considérer:
- La sensibilité du renseignement personnel;
- Les conséquences appréhendées de son utilisation;
- La probabilité que le renseignement personnel soit utilisé à des fins préjudiciables.