Faire des affaires au Québec

Évaluation des facteurs relatifs à la vie privée. Les organisations doivent procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. L’évaluation des facteurs relatifs à la vie privée doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support. T ransferts transfrontaliers. Avant de communiquer des renseignements personnels à l’extérieur du Québec, l’entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée pour confirmer que les renseignements bénéficieront d’un niveau de protection adéquat selon les « principes de protection des renseignements personnels généralement reconnus ». L’évaluation doit être effectuée, que les renseignements soient communiqués ou non à un gestionnaire de renseignements étranger ou à un prestataire de services de traitement de données chargé de recueillir, d’utiliser, de communiquer ou de conserver les renseignements pour le compte de l’entreprise. La communication de renseignements personnels à l’extérieur du Québec doit faire l’objet d’une entente écrite tenant compte des résultats de cette évaluation et, le cas échéant, des modalités convenues en vue d’atténuer les risques constatés dans le cadre de l’évaluation. Responsabilité. La Loi de modernisation impose également aux entreprises une série de responsabilités et d’obligations à l’égard de la conservation, de la protection et de la destruction des renseignements personnels, y compris l’obligation d’établir et de mettre en œuvre des politiques et des pratiques de gouvernance qui assurent la protection des renseignements personnels. Ces politiques et pratiques doivent plus particulièrement encadrer la conservation et la destruction des renseignements, définir les rôles et les responsabilités des membres du personnel pendant le cycle de vie des renseignements et prévoir une procédure

et septembre 2024. En adoptant la Loi de modernisation, le Québec s’est doté de la loi sur la protection des renseignements personnels la plus favorable aux consommateurs du Canada. Certaines modifications parmi les plus importantes sont présentées ci après. Mis à part l’obligation de déclarer un incident de confidentialité et d’en donner notification, qui est entrée en vigueur en septembre 2022, toutes les modifications énumérées ci après sont entrées en vigueur le 22 septembre 2023. Déclaration et notification d’incidents de confidentialité. Les entreprises ont l’obligation de tenir un registre de tous les « incidents de confidentialité » survenus, c’est-à-dire les atteintes à la protection des renseignements personnels et l’accès, l’utilisation ou la communication non autorisés de renseignements personnels. Lorsqu’un tel incident pose le « risque qu’un préjudice sérieux soit causé », il doit également être notifié à la CAI ainsi qu’à toute personne dont les renseignements personnels sont visés. De plus, les entreprises sont tenues de prendre des mesures raisonnables pour réduire le risque qu’un préjudice soit causé par un incident de confidentialité possible et d’empêcher de nouveaux incidents de même nature de se produire. Sanctions. La Loi de modernisation confère à la CAI des pouvoirs d’application étendus qui lui permettent d’imposer des sanctions administratives pécuniaires pour de nombreuses infractions à la Loi sur le secteur privé. Ces sanctions peuvent atteindre, sauf dans le cas d’une personne physique, 10 millions de dollars canadiens ou, si cette somme est plus élevée, 2 % du chiffre d’affaires mondial de l’exercice précédent. La loi exige de la CAI qu’elle élabore un cadre général aux fins de l’application des sanctions administratives pécuniaires, mais accorde aux entreprises certaines garanties, comme la notification avant l’imposition d’une sanction, un processus de réexamen interne de la décision et le droit de contester la décision en réexamen devant la Cour du Québec. De plus, la loi confère à la CAI l’autorité d’intenter une poursuite pénale pour une infraction à la loi. Sauf pour une personne physique, les sanctions vont de 15 000 dollars canadiens à 25 millions de dollars canadiens ou, si cette somme est plus élevée, 4 % du chiffre d’affaires mondial de l’exercice précédent.

Davies | dwpv.com