Wendy J. Wagner
Associée
Co-chef, Groupe national Cybersécurité et protection des données
Article
3
À compter du 22 septembre 2022, les organisations qui exploitent une entreprise au Québec devront se conformer à la première série d'obligations découlant des modifications apportées par le projet de loi 64 à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « Loi ». Le présent article est le premier d'une série que nous publions sur les exigences qui entreront en vigueur dès le 22 septembre 2022.
Votre chef de la direction a-t-il été informé que, par défaut, la personne ayant la plus haute autorité au sein d'une organisation agit comme responsable de la protection des renseignements personnels et doit assurer la conformité de l'entreprise à la Loi? Point important à noter pour les organisations familières avec les exigences de la loi fédérale sur la protection des renseignements personnels pour le secteur privé (la « LPRPDE ») : cette désignation par défaut de la personne ayant la plus haute autorité est différente de l'exigence actuelle sous la LPRPDE de désignation d'une personne responsable de la conformité. Toutefois, la Loi prévoit que ce rôle peut être délégué, en totalité ou en partie, par écrit, à toute personne. Peu importe la taille de votre entreprise, l'industrie dans laquelle vous œuvrez ou la nature et le volume des renseignements personnels recueillis, assurez-vous que de la documentation formelle soit mise en place afin qu'il soit possible de donner effet à la nomination du nouveau responsable de la protection des renseignements personnels de l'entreprise, car les coordonnées de cette personne devront obligatoirement être publiées sur le site Web de l'organisation.
Les sanctions pour non-respect de la Loi sont à la fois sévères et sans précédent au Canada. Les amendes pénales peuvent aller jusqu'à 25 millions de dollars (ou, s'il est plus élevé, le montant correspondant à du chiffre 4 % d'affaires mondial de l'exercice financier précédent). Le montant des sanctions administratives pécuniaires imposées à une entreprise pourra atteindre 10 millions de dollars ou, si ce montant est plus élevé, 2 % du chiffre d'affaires mondial de l'exercice financier précédent. La Loi prévoit également l'octroi de dommages-intérêts punitifs d'au moins 1 000 $ pour les atteintes qui causent un préjudice et qui sont intentionnelles ou résultent d'une faute lourde.
Si vous avez des questions concernant l'incidence de ces modifications sur votre entreprise, n'hésitez pas à contacter les rédacteurs du présent article ou les autres membres de notre groupe Protection des renseignements personnels et des données au Québec.
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.