Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
KPMG a créé un guide complet sur les requis d’affaires qui découlent des nouvelles exigences de la loi afin d'accompagner les entreprises québécoises du secteur privé et du secteur public dans les modifications qu'elles devront apporter à leurs activités et à leurs processus.
Thèmes de conformité
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels s'appuie sur 12 thèmes de conformité.
Définir, attribuer et communiquer les rôles et responsabilités relatifs à la gestion des renseignements personnels.
Les finalités spécifiques pour lesquelles des RP sont requis doivent être déterminées avant la collecte.
Les RP recueillis et traités doivent être limités à ce qui est nécessaire pour les finalités déterminées et décrites lors de la collecte. L’accès et l’utilisation des RP doivent être limités à ces mêmes fins.
Sous réserves de quelques exceptions, toute collecte de RP est assujettie au consentement de la personne. La collecte de RP doit s'inscrire dans un processus transparent incluant la communication des renseignements prescrits (fins, moyens, tiers destinataires, transferts hors Québec, droits de la personne).
L’utilisation secondaire (à une fin différente de celle énoncée lors de la collecte) de RP sensibles est assujettie à l’obtention d’un consentement exprès. La création d’une banque de données biométriques doit être déclarée à la Commission d’accès à l’information. Tout projet nécessitant la collecte et le traitement de données biométriques doit faire l’objet d’une évaluation des facteurs relatifs à la vie privée.
Les fonctionnalités de confidentialité des produits ou des services technologiques doivent être activées par défaut de façon à restreindre le traitement de RP. L’activation des fonctionnalités doit être assujettie au consentement de l’utilisateur.
Une organisation doit fournir aux personnes concernées les principaux facteurs et paramètres qui sont considérés dans le cadre du processus de décision automatisée.
Les incidents qui entraînent une atteinte aux RP (accès, utilisation, communication, perte de RP) doivent faire l'objet d'un avis à la Commission d’accès à l’information et aux personnes concernées. L'organisation doit prendre les mesures raisonnables pour diminuer les risques de préjudice et éviter d'autres incidents de même nature, incluant la planification de la gestion d'incident, la formation et la tenue de simulations.
La communication ou le transfert de à des tiers doivent faire l'objet d'une évaluation des facteurs relatifs à la vie privée, incluant une validation de la posture de conformité du tiers et d'un encadrement contractuel incluant la description des responsabilités, restrictions à l'utilisation, maintien de la confidentialité et les exigences de sécurité applicables.
Les RP ne doivent être conservés que pour la durée requise pour les finalités déterminées lors de la collecte ou visées par un consentement supplémentaire ou une exception et le délai de conservation applicable le cas échéant. À l'échéance de la durée de conservation, les RP doivent être détruits de façon sécuritaire. Des RP peuvent par ailleurs être anonymisés afin d’être utilisés à des fins sérieuses et légitimes.
L’organisation doit assurer le traitement et documenter les demandes formulées par les individus en lien avec l’exercice de leurs droits dont les demandes d'accès, de rectification de RP, ou de retrait de consentement.
Il est requis de réaliser une évaluation des facteurs relatifs à la vie privée dans les cas suivants :
- tout projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant le traitement de RP;
- la communication de RP à des tiers à des fins de recherche;
- la communication de RP à l’extérieur du Québec;
- le traitement de données biométriques.
Les employés susceptibles d’avoir accès à, ou d’utiliser des RP devraient être tenus de suivre une formation sur la protection des RP au moment de l’embauche et des formations de rafraîchissement annuellement. Pour le personnel qui participe à la collecte de RP et les employés responsables d’assurer la conformité en PRP, une formation spécialisée et adaptée aux rôles, responsabilités et risques associés doit être offerte.
Entrée en vigeur
Aide mémoire concernant les différentes étapes d'entrée en vigeur de la Loi. Soyez informés!
Septembre 2022
- Responsable de la Protection de la vie privée au Québec
- Tiers (transactions commerciales et recherche)
- Incidents de confidentialité
- Biométrie
- Protection des dénonciateurs
- Obligation de coopérer avec la Commission d’accès à l’information
Septembre 2023
- Politiques et procédures
- Évaluation des facteurs relatifs à la vie privée (ÉFVP)
- Confidentialité par défaut
- Dépersonnalisation
- Anonymisation
- Tiers et transferts hors Québec
- Avis de confidentialité
- Transparence (en général)
- Consentement
- Limitation de la finalité
- Limitation de la collecte
- Conservation et destruction
- Effacement
- Prise de décision automatisée et profilage
Septembre 2024
- Portabilité