Site icon Amyot Gélinas

Loi 25- Protection des données personnelles : Quelles sont vos responsabilités ?

Selon un sondage réalisé par l’Académie de la transformation numérique, près de trois Québécois sur quatre (72%) sont préoccupés quant à la protection de leurs données personnelles collectées, stockées et utilisées sur Internet. C’est en répondant à ces inquiétudes que le gouvernement du Québec a adopté en septembre 2021 la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé), qui met en place diverses exigences concernant la protection et l’utilisation des informations personnelles recueillies. Au Québec, toutes les entreprises privées qui collectent, traitent ou communiquent des informations personnelles sont visées par cette loi.

Responsabilités des entreprises selon la loi 25

Adoptée en 2021, la loi 25 se déploie sur trois phases de septembre 2022 à septembre 2024.

La première phase, mise en place en septembre 2022, impose les exigences suivantes aux entreprises :

En vigueur depuis septembre 2023, la deuxième phase se révèle un peu plus complexe. Les principales exigences émises par la loi 25 sont les suivantes :

Finalement, la troisième phase sera en vigueur à partir de septembre 2024 et exigera aux entreprises de répondre aux demandes de portabilité des renseignements personnels. Le droit à la portabilité permet aux usagers d’obtenir la communication des renseignements informatisés qu’ils ont fournis et d’obtenir l’accès à ces renseignements pour leur usage personnel.

Pénalités en cas de non-conformité

La non-conformité à la loi 25 pourrait entraîner des pénalités financières majeures pour les entreprises. En cas d’infractions administratives, les sanctions financières pour les entreprises seront minimalement de 1 000$ et s’élèveront jusqu’à 2% du chiffre d’affaires ou 10 M$.

Dans l’éventualité que la CAI intente une poursuite pénale pour une infraction, les sanctions financières iront de 15 000$ jusqu’à 25 M$ ou 4% du chiffre d’affaires.

À noter que les administrateurs d’une personne morale pourraient être tenus personnellement responsables en cas de non-conformité avec la loi.

Comment bien se conformer à vos responsabilités

Voici quelques pistes d’actions et de bonnes pratiques à mettre en place pour se conformer aux deux premières phases :

Il va de soi qu’une entreprise possédant une bonne structure numérique aura plus de faciliter à se conformer aux nouvelles exigences de la LOI 25. À cet effet, nous vous invitons à lire notre article sur le Programme canadien d’adoption du numérique (PCAN) qui permet d’obtenir une subvention pour l’élaboration d’un Plan d’adoption du numérique pour un conseiller reconnu par le gouvernement.

Un article de Gustave Legault-Brousseau, CPA Directeur – Services conseils

Pour approfondir votre lecture :

La Loi 25 chez Amyot Gélinas

« Amyot Gélinas agit dans le respect du Code des professions, du Code de déontologie des comptables professionnels agréés et de la Loi sur la protection des renseignements personnels dans le secteur privé en ce qui concerne la gouvernance et la gestion des renseignements personnels en sa possession. Ainsi, nous accordons une grande importance à la confidentialité et à la sécurité des données et des renseignements personnels de nos clients, incluant les données disponibles chez des fournisseurs tiers ». Consultez notre Déclaration de gouvernance et de sécurité de l’information pour en savoir plus >>>.

Quitter la version mobile