Aide-mémoire sur la Loi 25 pour les startups

Le 22 septembre prochain, les nouvelles exigences liées à la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP » ou Loi 25) s’appliquent à toutes les entreprises et organismes peu importe le nombre d’employé.e.s. Ce qui veut dire que les startups doivent s’y conformer!

Contexte

La Loi 25 revitalise le volet « renseignements personnels » des deux principales lois applicables au Québec en cette matière :

1. La Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.
2. La Loi sur la protection des renseignements personnels dans le secteur privé.

Ces nouvelles exigences entreront en vigueur en 3 phases, dont la première est prévue pour le 22 septembre 2022. Si ce n’est pas déjà fait, vous devez vous conformer aux obligations pour éviter des sanctions.

Obligations des entreprises

À partir du 22 septembre 2022, les entreprises privées doivent :

1. Désigner un.e responsable de la protection des renseignements personnels.
2. Publier le titre et les coordonnées de votre responsable sur votre site Web.
3. Créer ou mettre à jour vos politiques et vos pratiques encadrant la gouvernance des renseignements personnels.
4. Avoir un inventaire des renseignements personnels de l’entreprise.
5. Divulguer à la CAI la vérification ou la confirmation d’identité au moyen de caractéristiques ou de mesures biométriques.

Nous vous suggérons de consulter ce guide pratique développé par CyberEco qui vous propose également un plan d’action pour vous conformer aux obligations de cette loi.

En cas d’incident de confidentialité

En tant qu’entreprise, vous êtes responsable de tout incident de confidentialité (ex. : perte d’un disque dur amovible, vol d’un ordinateur, accès non autorisé à des renseignements personnels ou à une boîte de courriels, etc.). Dans le cas d’un incident impliquant un renseignement personnel, votre entreprise doit :

1. Prendre des mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées.
2. Aviser la CAI et la personne concernée si l’incident présente un risque de préjudice sérieux.
3. Tenir un registre des incidents.

Rôle de la commission d’accès à l’information

La Commission d’accès à l’information (CAI) encadre l’application de la Loi 25. La CAI veille à l’application des lois en matière de protection des renseignements personnels et c’est elle qui peut imposer des sanctions.

En plus, la CAI rédige des lignes directrices aux entreprises, entre autres, pour soutenir l’application des obligations en matière de protection des renseignements personnels. Elle a également la responsabilité de soutenir les citoyennes et les citoyens qui ont des préoccupations dans le domaine de la protection des renseignements personnels ou qui souhaitent porter plainte.

Références

Pour aller plus loin dans le sujet, nous vous invitons à lire ces références et guides pratiques :

• Guide sur les nouvelles responsabilités des entreprises, les pistes d’action et les bonnes pratiques, Commission d’accès à l’information.
• Guide pratique de mise en application, Cyber éco.
• Guide de conformité pour la réforme de la Loi sur la protection des renseignements personnels dans le secteur privé, BLG.
• Entreprises, êtes-vous prêtes pour la loi 25?, Les Affaires.