i Table of contents 181

Faire des affaires au Canada (11e édition)

CHAPITRE 10 Commerce électronique, protection des données et respect de la vie privée

– Exigence concernant le responsable de la protection des renseignements personnels. Le chef de la direction d’une organisation exerce par défaut les fonctions de responsable de la protection des renseignements personnels à moins qu’elles aient été déléguées à une autre personne. –  Évaluations des facteurs relatifs à la vie privée. Les organisations doivent procéder à une évaluation des facteurs relatifs à la vie privée (l’« EFVP ») de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. –  Communications à l’extérieur du Québec. Avant de communiquer à l’extérieur du Québec un renseignement personnel, une entreprise doit procéder à une EFVP qui démontre que le renseignement bénéficiera d’une protection adéquate au regard des « principes de protection des renseignements personnels généralement reconnus ». –  Nouveaux droits individuels. Si une organisation utilise les renseignements d’une personne pour rendre une décision fondée exclusivement sur un traitement automatisé de ceux- ci, l’organisation doit en aviser l’intéressé au plus tard au moment où elle l’informe de la décision. La personne a aussi le droit de demander des renseignements supplémentaires et de présenter des observations. De plus, la personne dispose du « droit à l’oubli », à savoir le droit que ses renseignements personnels soient désindexés et que leur diffusion cesse dans certaines circonstances. Nous invitons les organisations à consulter leur conseiller juridique pour comprendre l’incidence de ces modifications sur leurs activités au Canada. MODIFICATIONS PRÉVUES À LA LÉGISLATION FÉDÉRALE En juin 2022, le gouvernement fédéral du Canada a présenté le projet de loi intitulé Loi de 2022 sur la mise en œuvre de la Charte du numérique (le « projet de loi C-27 ») qui, s’il est adopté, modernisera de façon importante le cadre législatif fédéral du Canada en matière de protection des renseignements personnels et des données dans le secteur privé. Le projet de loi C-27 vise à remplacer les dispositions de

Selon la LPRPDE, les organisations sont tenues de conserver ces registres pendant 24 mois après la date à laquelle l’organisation a déterminé qu’une atteinte s’est produite. Les lois essentiellement similaires de l’Alberta et du Québec prévoient des obligations semblables pour ce qui est de la déclaration, de l’avis et de la conservation des registres, mais chacune de ces lois diffère quelque peu en ce qui concerne l’analyse des incidents qui doivent faire l’objet d’une déclaration, les obligations propres à l'avis et la période pendant laquelle les registres des atteintes à la protection des données doivent être conservés.

MODIFICATIONS À LA LÉGISLATION QUÉBÉCOISE

Des modifications apportées à la législation québécoise en matière de protection des renseignements personnels, adoptées en septembre 2021 et entrant en vigueur entre 2022 et 2024, imposent de nouvelles obligations importantes aux organisations du secteur privé qui exercent leurs activités dans cette province. Bon nombre de ces modifications s’inspirent du Règlement général sur la protection des données (le « RGPD ») de l’Union européenne et visent à harmoniser les lois québécoises avec celui-ci. Parmi les modifications les plus significatives, en vigueur dès le 22 septembre 2023, on peut citer les suivantes : –  Sanctions et amendes. L’organisme québécois de réglementation de la protection des renseignements personnels, la Commission d’accès à l’information (CAI), dispose désormais de pouvoirs d’application élargis qui lui permettent d’imposer des sanctions administratives pécuniaires pour un large éventail d’infractions à la législation provinciale en matière de protection des renseignements personnels concernant le secteur privé. Dans le cas des organisations, ces sanctions peuvent atteindre le plus élevé des deux montants suivants : 10 millions de dollars ou 2 % du chiffre d'affaires mondial de l'exercice financier précédent. Les modifications apportées confèrent également à la CAI le pouvoir d'intenter des poursuites pénales en cas de manquement à la loi. Si une organisation est reconnue coupable, l’amende peut atteindre le plus élevé des deux montants suivants : 25 millions de dollars ou 4 % du chiffre d'affaires mondial de l'exercice financier précédent.

105

Davies | dwpv.com

Powered by