Les principaux objectifs de la Loi 25 comprennent le renforcement des droits des individus concernant leurs informations personnelles, l’imposition d’obligations plus strictes aux organisations qui manipulent des données personnelles, et l’octroi au gouvernement du Québec de pouvoirs accrus pour faire respecter les lois sur la confidentialité.
La Loi 25 a introduit de nouvelles obligations que les entreprises doivent suivre en ce qui concerne la protection des informations personnelles des résidents du Québec. Les politiques de confidentialité et les dispositions doivent désormais être étendues et strictement appliquées, voici quelques points à considérer :
Mesures de sécurité
Les entreprises et les organisations sont tenues de prendre les mesures de sécurité appropriées afin d’assurer la protection des renseignements personnels.
Le non-respect de ces mesures entraînera de lourdes amendes.
[ https://www.legisquebec.gouv.qc.ca/fr/document/lc/p-39.1?langCont=en#se:91 ]
Notifications de violation de données
Les entreprises et les organisations doivent maintenant soumettre des notifications de violation de données à la Commission d’accès à l’information du Québec. De plus, elles doivent informer les individus concernés.
Les notifications doivent être envoyées dès que possible après un incident de violation de données et un enregistrement doit être conservé.
Nomination d’un responsable de la protection des données
Un responsable de la protection des données est une personne au sein d’une entreprise désignée pour garantir la conformité à la Loi 25. Par défaut, il s’agit de la personne de plus haut rang dans l’entreprise, cependant tout employé peut se voir attribuer cette responsabilité. Le nom et les coordonnées du responsable de la protection des données doivent être publiés sur votre site web.
Avis de confidentialité
Les entreprises sont désormais tenues d’informer les individus lorsqu’elles collectent des informations personnelles à l’aide de technologies qui les identifient, les localisent ou les profilent.
Consentement amélioré
Le consentement est requis avant la collecte, l’utilisation ou la distribution d’informations personnelles.
Évaluation de l’impact sur la vie privée
Lors de l’acquisition, du développement ou de la refonte d’un système d’information ou d’un système de prestation de services électroniques impliquant la collecte, l’utilisation, la divulgation, la conservation ou la destruction d’informations personnelles, une entreprise devrait réaliser une évaluation de l’impact sur la vie privée.
Les sources
- 1
- 2