Association de la construction du Québec

Vous utilisez un navigateur obsolète. S'il vous plaît, mettez à jour votre navigateur pour améliorer votre expérience.

Protection des renseignements personnels: trois dates importantes

Actualités de l'industrie

Partager Protection des renseignements personnels: trois dates importantes

Le 21 septembre, l’Assemblée nationale du Québec a adopté la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, appelée le PL-64 avant son adoption. Cette nouvelle loi vient modifier plusieurs lois ayant trait à la protection des renseignements personnels en y ajoutant certains droits et obligations relatifs à la protection des renseignements personnels. Le présent communiqué souligne plus particulièrement les modifications à la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé »).

Les changements visent à :

1 – Assurer une meilleure protection des droits de la personne concernée et de ses renseignements personnels;
2 – Accorder aux petites et moyennes entreprises une certaine souplesse dans le cadre de leurs activités – tenant compte des obligations et responsabilités qui leur incombent; et
3 – Assouplir les mesures permettant l’envoi de renseignements à l’extérieur du Québec.

L’entrée en vigueur sera échelonnée sur trois ans, soit septembre 2022, septembre 2023 et septembre 2024. Dans le cadre du présent article, nous survolerons les principales modifications à la Loi sur le secteur privé en fonction de leur date d’entrée en vigueur :

Septembre 2022 :

  • L’obligation de nommer un responsable de la protection des renseignements personnels au sein des entreprises1;
  • L’obligation d’aviser la Commission d’accès à l’information, et les personnes concernées, de tout incident de confidentialité impliquant un renseignement personnel qui présente un risque sérieux qu’un préjudice soit causé2;
  • Communication d’un renseignement personnel nécessaire aux fins de la conclusion d’une transaction commerciale, sans le consentement de la personne concernée3;
  • Communication de renseignements personnels sans le consentement des personnes concernées à des fins d’études, de recherche ou de production statistiques4.

Septembre 2023 :

  • L’obligation d’établir et de mettre en œuvre des politiques et pratiques encadrant la gouvernance à l’égard des renseignements personnels et qui sont propre à assurer la protection de ces renseignements5;
    • L’entreprise qui recueille par un moyen technologique des renseignements personnels doit publier sur son site Internet une politique de confidentialité rédigée en termes simples et clairs (de même pour les modifications)6;
  • L’obligation de procéder à une évaluation des facteurs relatifs à la vie privée :
    • De tout projet d’acquisition, de développement et refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels7;
    • Avant de communiquer à l’extérieur du Québec un renseignement personnel8;
  • L’obligation de déterminer les fins de la collecte avant celle-ci, d’informer les personnes concernées de ces fins lors de la collecte, sur demande ou le cas échéant, incluant le recours à une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer un profilage de la personne concernée ou encore lorsqu’une décision se fonde exclusivement sur un traitement automatisé9;
  • L’obligation d’obtenir un consentement manifeste, libre, éclairé, donné à des fins spécifiques et lequel ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé10;
  • L’obligation de s’assurer que, par défaut, les paramètres de confidentialité du produit ou du service technologique offert au public assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée11;
  • L’obligation de détruire ou d’anonymiser les renseignements personnels lorsque les fins auxquelles ils ont été recueillis ou utilisés sont accomplies, sous réserve d’un délai de conservation prévu par une loi12;
  • L’obligation de répondre, dans certains cas, aux demandes d’une personne concernée par un renseignement personnel visant à cesser la diffusion de ce renseignement, à désindexer tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique ou encore à le réindexer13;
  • Possibilité pour la Commission d’accès à l’information d’imposer des sanctions administratives pécuniaires dans certains cas14;
  • Engagement permettant d’éviter les sanctions administratives.

Septembre 2024 :

  • L’obligation de communiquer les renseignements personnels recueillis à la personne visée par ces renseignements si elle en fait la demande, dans un format technologique et couramment utilisé.15

 

Bien que les dates d’entrée en vigueur semblent éloignées, l’implantation des nouvelles mesures peut être ardue. Nous offrirons une formation au cours des prochains mois afin de vous présenter l’impact de ces modifications, demeurez à l’affût !

1 Article 3.1
2 Articles 3.5-3.8
3 Article 18.4
4 Articles 21-21.0.2
5 Article 3.2
6 Article 8.2
7 Article 3.3
8 Article 17
9 Articles 4, 5, 8, 8.1 et 12.1
10 Article 14
11 Article 9.1
12 Article 23
13 Article 28.1
14 Article 90.1 et suivants
15 Article 27

Contact presse et médias

Guillaume Houle
Responsable des affaires publiques

9200, boul. Métropolitain Est
Montréal QC H1K 4L2

Téléphone : 514 354-8249, p. 2173
Cellulaire : 514 607-7210
Sans frais : 1 888 868-3424
Télécopieur : 514 354-8292
Courriel : medias@acq.org

Si vous souhaitez consulter nos communiqués, nous vous invitons à visiter notre salle de presse ou encore via CNW.