La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la fameuse « Loi 25 ») a été sanctionnée en septembre 2021 et prévoyait trois séries de modifications législatives applicables, par vague, à compter de septembre 2022, septembre 2023 puis septembre 2024.
Dans un premier temps, vous vous demandez sûrement si cette loi s’applique à vos activités? La réponse : fort probablement!
En effet, elle vise « toute personne qui exploite une entreprise » quant aux renseignements personnels qu’elle détient, et ce, sous quelque forme que ce soit (écrite, graphique, visuelle, sonore, informatisée ou autre).
Qu’est-ce qu’un renseignement personnel ? C’est toute information qui porte sur une personne physique et qui permet de l’identifier.
Alors, êtes-vous à jour et en conformité avec ces nouvelles dispositions ?
Depuis le 22 septembre 2022, vous devriez notamment:
- Avoir nommé un responsable de la protection des renseignements personnels dont le titre et les coordonnées sont publiés sur le site Internet de votre entreprise;
- Tenir un registre des incidents de confidentialité.
À compter du 22 septembre 2023, vous devrez également :
- Adopter une politique de protection des renseignements personnels, laquelle devra prévoir, entre autres, la façon dont les renseignements personnels sont collectés, conservés, et utilisés, les personnes pouvant y avoir accès au sein de votre entreprise, ainsi que les procédures d’accès et rectification de ces renseignements et de gestion des incidents;
- Informer vos clients adéquatement lors de la collecte de leurs renseignements personnels.
Pour toute question à ce sujet ou si vous avez besoin d’aide pour vous mettre en conformité avec la nouvelle réglementation, n’hésitez pas à communiquer avec nous.