Cette page regroupe les principales informations concernant la Loi 25 et des liens utiles pour aider votre entreprise à se conformer
Avec l'adoption de la loi 25 qui modifie les dispositions législatives en matière de protection des renseignements personnels, les entreprises doivent mettre en place de nouvelles procédures et politiques au sein de leur organisation. Bien que certaines obligations soient en vigueur depuis le 22 septembre 2022, la plupart de celles-ci entreront en vigueur de façon progressive jusqu'en septembre 2024.
Ce que vous devez savoir
La Commission d'accès à l'information est l'organisme responsable de la diffusion des lignes directrices pour faciliter la compréhension des nouvelles obligations. Nous vous recommandons la lecture des pages dédiées à ce sujet.
Ce que vous devez faire
Parallèlement à cela, nous vous partageons les réponses de messieurs William Audet et Louis-Pierre Gravelle aux questions des participants du webinaire du 7 septembre dernier.
Fonction de responsable de la protection des renseignements personnels
(Depuis 22 septembre 2022) Une entreprise a l’obligation de nommer une personne qui exerce la fonction de responsable de la protection des renseignements personnels. À défaut, la personne ayant la plus haute autorité dans l’entreprise exerce cette fonction.
Données de clients
Le concept de renseignements personnels est très large et peut certainement englober les données qui portent sur les clients d’une entreprise. « Renseignement personnel » signifie tout renseignement concernant un individu identifiable. S’il y a de fortes possibilités qu’un individu puisse être identifié par l’utilisation de renseignements, seuls ou en combinaison avec des renseignements d’autres sources, alors il y a de bonnes chances que les renseignements soient des renseignements personnels.
Transfert de documents sur la paie d’employés à des entreprises tierces
La divulgation de renseignements personnels à des entreprises tierces doit se faire en conformité avec les diverses lois sur la protection des renseignements personnels au Canada. Les entreprises devraient réviser leurs politiques internes pour s’assurer de ne pas contrevenir à ces lois.
Conservations de renseignements personnels
Les entreprises doivent également se doter d’une politique portant sur la durée de conservation de renseignements personnels. La durée de conservation permise dépend notamment de la fin pour laquelle le renseignement a été recueilli.
5 points à retenir
Pour les entreprises qui commencent à prendre conscience des obligations qui existent pour se conformer aux diverses lois sur la protection des renseignements personnels au Canada, il peut être utile d’envisager quelques points :
- Nommer par écrit un responsable de la protection des renseignements personnels ;
- Mettre en place des pratiques et politiques internes en matière de protection des renseignements personnels ;
- Faire une analyse des renseignements collectés par l’entreprise, les fins pour lesquels ils sont collectés et si les consentements nécessaires ont été obtenus ;
- Mettre en place une procédure pour le traitement des plaintes ;
- Examiner à qui les renseignements personnels sont divulgués et pour quelles fins.