Skip to content
Voir tous les articles

La frontière canadienne : se préparer à Projet de loi 64 du Québec et LPVPC

Par Verrion Wright Stratégie et développement de contenu

4 minute de lecture

La version actuelle de la Loi sur la protection de la vie privée des consommateurs (LPVPC) n'a pas été adoptée par le Parlement canadien en septembre, mais elle a donné naissance au projet de loi 64 du Québec : Loi modernisant la protection des renseignements personnels.

Après avoir parcouru le processus législatif pendant un an et demi, le projet de loi 64 a été adopté et a reçu l’approbation de l’Assemblée nationale du Québec le 22 septembre 2021.

Projet de loi 64 : Quelles sont les prochaines étapes en matière de protection de la vie privée au Canada ?

Désormais adopté, le projet de loi 64 aura des répercussions sur plusieurs lois qui moderniseront collectivement la protection des données personnelles et le cadre actuel de confidentialité des données au Québec. Les partis et les pratiques politiques, les secteurs public et privé, ainsi que les organisations privées seront tous touchés et tenus de se conformer, sous peine de lourdes sanctions.

L'exigence impactée — comptabilisation de demandes d'accès des personnes concernées (DSAR), consentement, évaluations de l'impact sur la vie privée (ÉFVP) et les obligations de confidentialité — entreront progressivement en vigueur au cours des trois prochaines années, dans le cadre d'une réforme majeure de la protection de la vie privée au Canada. Cette progression pourrait bien ouvrir la voie à l'adoption de la CPPA.

Application de la loi et amendes

Une caractéristique importante du projet de loi 64, qui a reçu une certaine attention, concerne la capacité qu’il offre à faire respecter les règles.

Nouvelles amendes pécuniaires

La Commission d'accès à l'information (CAI) du Québec aura le pouvoir d'imposer de nouvelles amendes administratives pécuniaires pour les motifs suivants :

  • défaut d'informer les individus
  • collecte, utilisation ou divulgation illégale d'informations
  • manquement à garantir la protection des renseignements personnels
  • défaut de signaler une violation ou un incident

Le montant maximal des amendes est de 50 000 $ CA pour les particuliers et de 10 000 000 $ CA pour les entreprises ou, si ce montant est supérieur, de 21 TP3T du revenu total de l'année précédente.

En comparaison, les infractions pénales telles que le refus de coopérer aux enquêtes ou de fournir les documents requis sont assorties d'amendes plus lourdes, gérées par le procureur général. Dans ce cas, le montant maximal de l'amende sera de 5 000 à 100 000 $ CA pour une affaire impliquant une personne. Dans tous les autres cas liés à l'entreprise, l'amende sera de 15 000 à 25 000 000 $ CA, soit 41 TP3T du chiffre d'affaires total de l'année précédente.

En cas d'infractions consécutives, les amendes seront doublées.

Gouvernance et protection

Responsable de la protection de la vie privée

À l’instar du RGPD, le projet de loi 64 introduit le principe de responsabilité de l’organisation, en confiant la responsabilité de la protection des renseignements personnels au rôle d’un « responsable de la protection de la vie privée ».

Politiques et pratiques

Le projet de loi 64 exige que toutes les organisations mettent en œuvre des politiques et des pratiques de gouvernance de la confidentialité. La gouvernance des données comprend des cadres de conservation et de suppression des informations, des rôles et responsabilités définis, la gestion du cycle de vie des données et le processus de traitement des demandes de droits sur les données.

De plus, les informations relatives à la confidentialité issues de ces politiques doivent être publiées sur le site Web de l’entreprise dans un langage clair et simple.

Évaluations des incidences sur les politiques

Le projet de loi 64 exige également que les organisations utilisent Évaluations des incidences sur les politiques d’évaluer toutes les données relatives à la confidentialité impliquant la collecte, l’utilisation, la divulgation ou la suppression d’informations personnelles.

Droits des individus

Droit d'effacement

En plus de la suppression, le projet de loi 64 permet aux particuliers d’exiger des organisations qu’elles :

  • arrêter le partage d'informations personnelles
  • désindexer les hyperliens avec accès à ces informations
  • réindexer les hyperliens qui permettent d'accéder à l'information

Droit à la portabilité des données

Le projet de loi 64 permet aux particuliers de demander une copie de leurs renseignements personnels contenus dans une transcription numérique. À leur demande, ces renseignements doivent être divulgués dans un format numérique structuré à une personne ou à un organisme autorisé.

Droit de refuser la prise de décision automatisée

Enfin, le projet de loi 64 exige que les organisations alertent les individus lorsque les informations personnelles Les décisions sont rendues sur la base d'un traitement automatisé de l'information. Une fois la demande d'information formulée, le demandeur doit être informé :

  • les raisons qui ont conduit à la décision
  • les informations personnelles utilisées pour la décision
  • le droit de la personne de corriger les renseignements personnels utilisés pour rendre la décision

Comment se préparer au projet de loi 64 du Québec

Pour se préparer à la CPPA, 21% des entreprises canadiennes prévoient dépenser $10 millions ou plus, et 37% prévoient embaucher dix employés à temps plein, selon PwC CanadaDe plus, le projet de loi 64 aura des répercussions sur les entreprises canadiennes, qui devront s’adapter aux nouvelles pratiques exemplaires et utiliser cadres de confidentialité pour maintenir la conformité.

Les organisations qui ont adopté une approche proactive à l’égard du Règlement général sur la protection des données (RGPD) de l’UE seront mieux placées pour faire face au projet de loi 64 du Québec, mais devront néanmoins prendre les mesures nécessaires pour se conformer aux dispositions uniques de la nouvelle loi canadienne.

La plateforme d'intelligence des données de BigID permet aux organisations de découvrir, classer et cartographier toutes les données personnelles, sensibles et réglementées, quelles que soient leurs politiques et l'ensemble du paysage des données. Ainsi, les entreprises peuvent se conformer à la loi 64, assurer la confidentialité, automatiser les demandes de droits sur les données, gérer les risques liés à la confidentialité grâce aux analyses d'impact sur la vie privée (EIVP) et, in fine, protéger les données de leurs clients.

Vérifier BigID en action pour voir comment nous aidons les entreprises à répondre aux exigences de conformité du projet de loi 64 du Québec et à élaborer un programme de confidentialité proactif pour s'adapter à la réglementation actuelle.

Auteur

Verrion Wright

Stratégie et développement du contenu

Verrion Wright est un spécialiste du marketing très expérimenté et ambitieux, avec plus de 20 ans d'expérience dans le marketing produit, le développement de contenu et la stratégie numérique. Il a occupé des postes de direction dans divers secteurs, notamment les services informatiques, la confidentialité des données, le marketing et la publicité (planification des médias), en mettant l'accent sur les connaissances fondées sur les données et le marketing intégré. Chez BigID, Verrion est le directeur de la stratégie et du développement de contenu, qui aide à élever le contenu à travers tous les piliers, les régions et les acheteurs, en créant systématiquement un contenu convaincant sur plusieurs supports - y compris la vidéo, les articles, les listes de contrôle, les livres blancs et les guides.

Contenu