Protection des renseignements personnels : les nouveaux chantiers de l’administration gouvernementale
Le 12 juin 2020, le gouvernement du Québec a déposé à l’Assemblée nationale, le projet de loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels.
Parmi les principales modifications attendues pour les entreprises du secteur privé, il convient de relever :
Imputabilité, consentement, transparence et sécurité des renseignements personnels
Le plus haut dirigeant de l’entreprise exercera la fonction de Responsable de la protection des renseignements personnels. Il peut toutefois la déléguer par écrit.
Aux termes du projet de loi, le plus haut dirigeant de l’entreprise devra également s’assurer de :
-Mettre en place un cadre de gouvernance de la protection des renseignements personnels (politiques et pratiques);
-Informer les personnes de toute utilisation de technologies de géolocalisation ou de profilage et le cas échéant des moyens pour les désactiver;
-Obtenir un consentement manifeste, éclairé et limité à des fins spécifiques avant toute collecte de renseignements personnels;
-Réaliser une évaluation des facteurs relatifs à la vie privée pour tout projet de conception d’un système d’information ou de prestation électronique de services en ligne;
-Mettre en place des mécanismes de gestion des incidents de sécurité impliquant les renseignements personnels et tenir un registre des incidents de confidentialité;
-Offrir par défaut, sans intervention de la personne concernée, une configuration des paramètres du produit ou du service technologique de sorte à assurer un haut niveau de confidentialité;
-Prévoir et maintenir un mécanisme de destruction et d’anonymisation des renseignements personnels sous réserve du délai de conservation.
Sanction administrative et pécuniaire
Le projet de loi prévoit une variété de sanctions.
Amende suite à une infraction à la loi
-Amende de 5 000$ à 50 000$ dans le cas d’une personne physique;
-Dans les autres cas de 15 000$ à 25 000 000$ ou du montant correspondant à 4% du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé
Dommages et intérêts
-Sauf dans les cas de force majeure, obligation de réparer le préjudice résultant d’une atteinte illicite à un droit reconnu par la Loi sur la protection des renseignements personnels dans le secteur privé.
Sanction administrative suivant le cadre général d’application des sanctions administratives
-Une sanction administrative d’un montant maximal de 50 000$ dans le cadre d’une personne physique;
-Dans les autres cas, une sanction administrative d’un montant maximal de 10 000 000$ ou du montant correspondant à 2% du chiffre d’affaires mondial de l’exercice financier précédent et si ce montant est plus élevé.
N’hésitez pas à nous contacter pour tout complément d’information ou pour vous accompagner dans vos travaux de conformité en relation avec la protection des renseignements personnels dans votre entreprise.
Me Elhadji M. Niang
Avocat
« Chaque grande réalisation, grande ou petite, connait ses périodes de corvées et de triomphes. Un début, un combat et une victoire »
- Gandhi