Christopher Oates
Partner
Article
4
Lorsque la loi 25 entrera en vigueur au Québec le 22 septembre 2022, les entreprises qui omettront de signaler un incident de confidentialité s’exposent à des amendes allant jusqu’à 25 M$. Alors que les entreprises faisant affaire dans la province s’apprêtent à se conformer à la nouvelle législation, Gowling WLG prépare une série d'articles et d'autres ressources afin de guider et d'informer les organisations sur le point de prendre le virage. Cet article est le deuxième de notre nouvelle série. Le premier article, «Projet de loi 64 : les PDG du Québec seront (par défaut) responsables de la protection des renseignements personnels», peut être consulté ici.
Si une organisation a des motifs de croire qu'un incident de confidentialité impliquant des renseignements personnels s'est produit, elle devra prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature se produisent. Les organisations devront aviser sans délai la Commission d'accès à l'information (la «CAI») et toute personne dont les données sont concernées par un incident de confidentialité impliquant des renseignements personnels qui « présente un risque qu’un préjudice sérieux soit causé », ainsi que toute personne ou organisme qui pourrait réduire ce risque. Le contenu de l'avis sera précisé par un règlement [1] qui entrera en vigueur le 22 septembre 2022.*
Les organisations devront obligatoirement tenir un registre de tous les incidents de confidentialité. En vertu d’un projet de règlement en la matière, ce registre doit être conservé pendant cinq ans à partir de la date à laquelle l'organisation a pris connaissance de l'incident, ce qui constitue un changement par rapport au délai de deux ans exigé par la loi fédérale sur la protection des renseignements personnels pour le secteur privé (la Loi sur la protection des renseignements personnels et les documents électroniques ou « LPRPDE »).
À nouveau, une organisation qui omet de signaler un incident de confidentialité à la CAI ou à toute personne concernée pourrait s'exposer à des sanctions pénales et administratives pécuniaires sans précédent, notamment des amendes pouvant atteindre 25 M$ (ou, si plus élevé, le montant correspondant à 4 pour cent du chiffre d'affaires mondial de l'exercice financier précédent), ou des sanctions administratives pécuniaires pouvant atteindre 10 M$ (ou, si plus élevé, 2 pour cent du chiffre d'affaires mondial de l'exercice financier précédent). La Loi prévoit également l'octroi de dommages-intérêts punitifs d'au moins 1 000 $ pour les atteintes qui causent un préjudice et qui sont intentionnelles ou résultent d'une faute lourde.
*À titre de référence : « "Projet de loi 64" est le nom du texte législatif original proposé pour la première fois à l'Assemblée nationale du Québec le 12 juin 2020... Le projet de loi 64 a finalement été adopté après avoir reçu la sanction royale le 22 septembre 2021. À ce moment-là, il est devenu la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, autrement connue sous le nom de Loi 25." [2]
Si vous avez des questions sur la façon dont ces changements affectent votre entreprise, n'hésitez pas à contacter les rédacteurs du présent article ou les autres membres de notre groupe Protection des renseignements personnels et des données du Québec.
[1] Règlement sur les incidents de confidentialité (projet), (2022) no 26 G.O. II, 3935, art. 9
[2] Everything you need to know about Quebec's Law 25 (ex Bill 64)
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.