Loi 25 – Protection des renseignements personnels
Dès le 22 septembre 2022 entreront en vigueur certaines dispositions de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25)
Ainsi, les membres exerçant dans le secteur privé devront voir à se conformer à de nouvelles exigences en matière de gestion des renseignements personnels.
Cette loi vise à moderniser l’encadrement applicable à la protection des renseignements personnels en modifiant plusieurs lois comme la loi sur la protection des renseignements personnels dans le secteur privé[1] (la « LPRPSP ») et la loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels[2].
Elle oblige les entreprises à mettre en place diverses mesures visant à assurer la protection des renseignements personnels.
Les dispositions de cette loi entrent en vigueur de manière successive pour s’échelonner du 22 septembre 2022 au 22 septembre 2024.
- [1] RLRQ, c. P-39.1.
- [2] RLRQ, c. A-2.1.
- Désigner un responsable de la protection des renseignements personnels qui veillera au respect de la Loi. Cette fonction devra être attribuée à la personne qui détient la plus haute autorité dans l’entreprise à moins que celle-ci délègue son rôle à une autre personne au sein de l’entreprise.
- Les coordonnées du responsable devront être publiées sur le site web ou sur tout autre moyen approprié si le milieu ne détient pas de site web, par exemple en affichant ces informations dans le local de la clinique.
- Établir une procédure à suivre en cas d’incidents de confidentialité et mettre en place un plan de gestion des incidents. Ce plan devra inclure une évaluation du risque de préjudice et la transmission d’un avis d’incident à la Commission d’accès à l’information et à la personne concernée par l‘incident si le risque de préjudice s’avère sérieux.
- Constituer un registre des incidents de confidentialité où seront inscrits tous les incidents, même ceux ne présentant pas un risque de préjudice sérieux;
- Se conformer aux nouvelles règles en matière de communication de renseignements personnels qui ne nécessitent pas le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques, dont la réalisation préalable d’une évaluation des facteurs relatifs à la vie privée.
- Se conformer aux nouvelles règles en matière de communication de renseignements personnels qui ne nécessitent pas le consentement de la personne concernée dans le cadre d’une transaction commerciale qui nécessite la communication de renseignements personnels, dont la conclusion d’une entente prévoyant les mécanismes de protection des renseignements personnels exigés par la loi. Cette obligation pourrait s’appliquer par exemple si la clinique d’hygiène dentaire est vendue, ce qui entrainerait le transfert des renseignements personnels des clients.
- Se conformer aux obligations relatives à l’utilisation de données biométriques, si applicable.
Il est aussi fortement recommandé comme bonnes pratiques de constituer un inventaire des renseignements personnels détenus (nature des renseignements, support, cycle de vie, accès, etc.).
Nous vous invitons à consulter la ligne du temps.
RESSOURCES UTILES
Formation conçue par les quatre ordres du domaine buccodentaire
La protection des renseignements personnels : Quels sont les impacts dans votre pratique?
Formation du Conseil interprofessionnel du Québec
Formation pour les professionnels et professionnelles œuvrant en cabinet privé
- Site Web du gouvernement du Québec
- Espace évolutif de la loi du site internet de la Commission de l’accès à l’information