Quels sont les éléments clés de la Loi 25?
La Loi 25, également connue sous le nom de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé au Québec, adoptée en septembre 2021 et en vigueur depuis septembre 2022, régule la protection des renseignements personnels, s’inspirant des normes européennes telles que le RGPD, et introduit des modifications significatives par rapport à la législation canadienne actuelle, suscitant un manque de connaissance sur son impact parmi près de 40 % des entreprises, selon un sondage de la FCCQ en juin 2022.
Quelles informations devriez-vous avoir?
Exigences législatives
La Loi 25 au Québec impose des changements significatifs aux organisations, notamment :
- La désignation d’un responsable de la protection des renseignements personnels ou d’un poste équivalent.
- La mise en place de politiques publiques sur la protection des renseignements personnels et des exigences pour les pratiques internes liées à la protection des données.
- Une plus grande transparence concernant le consentement et la collecte de renseignements personnels.
- L’intégration des principes de confidentialité dans la technologie et les systèmes.
Pénalités
Les entreprises enfreignant les dispositions de la Loi 25 et de ses règlements d’application risquent des sanctions plus sévères par rapport au régime actuel. Les pénalités sont diverses et dépendent de la taille de l’entreprise, mais elles suivent généralement les lignes directrices énoncées ci-dessous :
- Une amende de 10 millions de dollars, ou une somme équivalente à 2 % du chiffre d’affaires mondial de l’exercice financier précédent, sera imposée aux entreprises privées qui négligent l’application de la réglementation.
- Les entreprises privées exposées à des sanctions pénales peuvent se voir imposer une amende équivalente à 4 % de leurs ventes, se situant dans une fourchette de 15 000 $ à 25 millions de dollars.
- Il existe deux catégories de sanctions pour les institutions publiques en cas de non-respect de la réglementation :
- Une fourchette allant de 3 000 $ à 30 000 $ ;
- Une fourchette allant de 15 000 $ à 150 000 $
- Les amendes pour les infractions commises par une personne physique vont de 5 000 $ à 100 000 $.
En vertu de la Loi 25, une organisation sujette à une sanction administrative pécuniaire a la possibilité de négocier un accord avec la CAI, détaillant les mesures qu’elle compte mettre en place pour remédier à l’infraction ou en atténuer les conséquences.
En vertu de la Loi 25, les citoyens conservent le droit d’intenter une poursuite civile, y compris une action collective, en cas de violation intentionnelle ou de faute lourde de leur droit à la confidentialité, avec des dommages-intérêts commençant à 1 000 $ par personne, et les organisations encourent également des amendes en vertu du Code civil du Québec, introduisant des sanctions spécifiques absentes de la LPRPDE.
Qui est chargé de veiller à l’application de la Loi 25?
C’est à la Commission des accidents du travail du Québec (CAI) qu’incombe la responsabilité de faire appliquer la Loi 25 dans la province.
Quand la Loi 25 prend-elle effet?
La Loi 25, adoptée en septembre 2022, sera progressivement mise en œuvre sur trois ans, avec les exigences déjà en vigueur pour la première année, et la CAI planifie le recrutement d’experts en technologie ainsi que la création de normes, lignes directrices, et la publication d’une liste de territoires de compétence similaires dans la Gazette officielle du Québec pour informer les entreprises de leurs obligations de divulgation des renseignements personnels à l’extérieur de la province au cours de cette période.
Est-ce que votre entreprise est prête pour ces modifications?
L’équipe Cybersécurité et protection des données de MNP offre un soutien pour l’analyse interne de vos processus et solutions technologiques afin de déterminer votre conformité à la Loi 25, tout en fournissant une assistance proactive pour améliorer vos pratiques de protection des renseignements et de gestion des données en prévision de la réglementation future, visant à vous aider à rester en conformité et à répondre aux exigences en constante évolution des autorités de réglementation et des parties prenantes.