Loi modernisant des dispositions législatives en matière de protection des renseignements personnels

Définir, attribuer et communiquer les rôles et responsabilités relatifs à la gestion des renseignements personnels.

Les finalités spécifiques pour lesquelles des RP sont requis doivent être déterminées avant la collecte. Les RP recueillis et traités doivent être limités à ce qui est nécessaire pour les finalités déterminées et décrites lors de la collecte. L’accès et l’utilisation des RP doivent être limités à ces mêmes fins.

Sous réserves de quelques exceptions, toute collecte de RP est assujettie au consentement de la personne. La collecte de RP doit s'inscrire dans un processus transparent incluant la communication des renseignements prescrits (fins, moyens, tiers destinataires, transferts hors Québec, droits de la personne).

L’utilisation secondaire (à une fin différente de celle énoncée lors de la collecte) de RP sensibles est assujettie à l’obtention d’un consentement exprès. La création d’une banque de données biométriques doit être déclarée à la Commission d’accès à l’information. Tout projet nécessitant la collecte et le traitement de données biométriques doit faire l’objet d’une évaluation des facteurs relatifs à la vie privée.

Les fonctionnalités de confidentialité des produits ou des services technologiques doivent être activées par défaut de façon à restreindre le traitement de RP. L’activation des fonctionnalités doit être assujettie au consentement de l’utilisateur.

Une organisation doit fournir aux personnes concernées les principaux facteurs et paramètres qui sont considérés dans le cadre du processus de décision automatisée.

Les incidents qui entraînent une atteinte aux RP (accès, utilisation, communication, perte de RP) doivent faire l'objet d'un avis à la Commission d’accès à l’information et aux personnes concernées. L'organisation doit prendre les mesures raisonnables pour diminuer les risques de préjudice et éviter d'autres incidents de même nature, incluant la planification de la gestion d'incident, la formation et la tenue de simulations.

La communication ou le transfert de à des tiers doivent faire l'objet d'une évaluation des facteurs relatifs à la vie privée, incluant une validation de la posture de conformité du tiers et d'un encadrement contractuel incluant la description des responsabilités, restrictions à l'utilisation, maintien de la confidentialité et les exigences de sécurité applicables.

Les RP ne doivent être conservés que pour la durée requise pour les finalités déterminées lors de la collecte ou visées par un consentement supplémentaire ou une exception et le délai de conservation applicable le cas échéant. À l'échéance de la durée de conservation, les RP doivent être détruits de façon sécuritaire. Des RP peuvent par ailleurs être anonymisés afin d’être utilisés à des fins sérieuses et légitimes.

L’organisation doit assurer le traitement et documenter les demandes formulées par les individus en lien avec l’exercice de leurs droits dont les demandes d'accès, de rectification de RP, ou de retrait de consentement.

Il est requis de réaliser une évaluation des facteurs relatifs à la vie privée dans les cas suivants :

• tout projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant le traitement de RP;
  
• la communication de RP à des tiers à des fins de recherche;
  
• la communication de RP à l’extérieur du Québec;
  
• le traitement de données biométriques.
  

Les employés susceptibles d’avoir accès à, ou d’utiliser des RP devraient être tenus de suivre une formation sur la protection des RP au moment de l’embauche et des formations de rafraîchissement annuellement. Pour le personnel qui participe à la collecte de RP et les employés responsables d’assurer la conformité en PRP, une formation spécialisée et adaptée aux rôles, responsabilités et risques associés doit être offerte.