2022-09-01
Aide-mémoire sur la Loi 25 pour les startups
par Startup Montréal
31 août 2022
31 août 2022
Contexte
La Loi 25 revitalise le volet « renseignements personnels » des deux principales lois applicables au Québec en cette matière :
Ces nouvelles exigences entreront en vigueur en 3 phases, dont la première est prévue pour le 22 septembre 2022. Si ce n’est pas déjà fait, vous devez vous conformer aux obligations pour éviter des sanctions.
Obligations des entreprises
À partir du 22 septembre 2022, les entreprises privées doivent :
Nous vous suggérons de consulter ce guide pratique développé par CyberEco qui vous propose également un plan d’action pour vous conformer aux obligations de cette loi.
En cas d’incident de confidentialité
En tant qu’entreprise, vous êtes responsable de tout incident de confidentialité (ex. : perte d’un disque dur amovible, vol d’un ordinateur, accès non autorisé à des renseignements personnels ou à une boîte de courriels, etc.). Dans le cas d’un incident impliquant un renseignement personnel, votre entreprise doit :
Rôle de la commission d’accès à l’information
La Commission d’accès à l’information (CAI) encadre l’application de la Loi 25. La CAI veille à l’application des lois en matière de protection des renseignements personnels et c’est elle qui peut imposer des sanctions.
En plus, la CAI rédige des lignes directrices aux entreprises, entre autres, pour soutenir l’application des obligations en matière de protection des renseignements personnels. Elle a également la responsabilité de soutenir les citoyennes et les citoyens qui ont des préoccupations dans le domaine de la protection des renseignements personnels ou qui souhaitent porter plainte.
Références
Pour aller plus loin dans le sujet, nous vous invitons à lire ces références et guides pratiques :