Depuis septembre 2023, les organismes publics doivent établir des règles encadrant leur gouvernance à l'égard des renseignements personnels et les diffuser sur leur site Internet.
La Loi 25 du Québec impose aux entreprises et aux organismes de renforcer la protection des renseignements personnels en exigeant un consentement éclairé pour la collecte de données, en garantissant un droit d'accès et de rectification aux individus, et en imposant une transparence sur les pratiques de collecte et d'utilisation de données. Elle impose également la mise en place d'un programme de gouvernance de l'information, la nomination d'un responsable de la protection des renseignements personnels (RPRP) et des sanctions en cas de non-conformité. Les entreprises doivent aussi notifier les personnes concernées en cas de violation de données.
Obligations clés de la Loi 25
Consentement : Obtenir un consentement exprès avant de collecter des renseignements personnels, sauf exceptions prévues par la loi.
Transparence : Informer les individus sur les fins de la collecte, les moyens utilisés, leurs droits d'accès et de rectification, et le droit de retirer leur consentement.
Droits des individus : Permettre aux personnes d'accéder à leurs renseignements, de les rectifier et de retirer leur consentement facilement.
Gouvernance de l'information : Mettre en place un programme de gouvernance comprenant des politiques, procédures et registres, ainsi qu'un plan de classification et un calendrier de conservation des données.
Responsable de la protection : Désigner un responsable de la protection des renseignements personnels (RPRP) au sein de l'organisation.
Notification des incidents : Notifier les personnes concernées en cas de fuite ou de divulgation non autorisée de leurs renseignements personnels.
Portabilité des données : Permettre aux individus de demander leurs données dans un format structuré et couramment utilisé et, le cas échéant, de les transférer à un autre fournisseur.
Gestion des témoins : Informer les visiteurs d'un site web sur l'utilisation de technologies de suivi, de localisation ou de profilage et obtenir leur consentement.
Sanctions : La Commission d'accès à l'information peut imposer des sanctions administratives pouvant atteindre 2 % du chiffre d'affaires mondial de l'entreprise ou 10 millions de dollars.
