La Loi 25 est venue modifier la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l’accès aux documents des organismes publics et la protection des renseignements personnels. Toutes les entreprises et tous les organismes publics qui collectent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activités commerciales ou professionnelles au Québec sont donc assujetties à la Loi 25. Cela inclut également les travailleurs autonomes, les startups, les organismes à but non lucratif et les associations. 

Au-delà de la transparence et du consentement, qui sont les piliers de Loi 25, les principaux objectifs de cette dernière sont de garantir le droit à la vie privée des personnes physiques, de réglementer la collecte, l’utilisation et la communication des renseignements personnels, et d’établir des normes pour assurer la sécurité des renseignements personnels. Pour connaître les obligations de protection des renseignements personnels qui s’appliquent à votre organisation, vous pouvez effectuer un diagnostic de conformité avec Satoshi Legal. 

La Loi 25 protège tous les renseignements personnels concernant une personne physique, à savoir toutes les informations permettant d’identifier directement ou indirectement la personne. Cela comprend les renseignements habituels tels qu’un nom, prénom, numéro de téléphone, adresse courriel. Mais également des renseignements tels des données de santé, les langues parlées, une adresse IP mais également des informations sur le genre, les habitudes de consommation, les opinions politiques ou religieuses. 

La Loi prévoit que chaque organisation doit nommer un responsable de la protection des renseignements personnels qui assure le respect des lois et des obligations. Par défaut, il s’agit de la personne ayant la plus haute autorité au sein de l’organisation. Néanmoins, il peut être judicieux de déléguer cette fonction à une personne compétente en la matière. Au sein d’un organisme public, le responsable doit faire partie du personnel ou du conseil d’administration de l’organisme. Au sein d’une société par actions, à moins que l’entreprise ne comprenne une personne spécialisée en la matière, il est peut être approprié de nommer une personne externe ayant des connaissances dans le domaine, telle qu’un avocat ou un CISO.

La non-conformité à la Loi 25 peut entraîner des sanctions financières importantes pour les organisations, ainsi que des dommages à la réputation et à la confiance des clients. Par exemple, la Loi sur la protection des renseignements personnels dans le secteur privé peut imposer des sanctions qui vont jusqu’à 25 millions de dollars ou jusqu’à 4% du chiffre d’affaires mondial de l’entreprise, selon le montant le plus élevé des deux. Les administrateurs et dirigeants d’entreprises et d’OBNL peuvent également voir leur responsabilité personnelle engagée en cas de non-respect de certaines obligations de la Loi. 

Par ailleurs, les individus ont le droit de déposer des plaintes auprès de la Commission d’accès à l’information du Québec (CAI) en cas de violation de leurs droits en matière de protection des renseignements personnels. En cas d’atteinte à la vie privée d’une personne, celle-ci peut également engager des poursuites civiles pour obtenir des dommages et intérêts, et possiblement des dommages punifi

Oui, la Loi de protection des renseignements personnels dans le secteur privé prévoit une responsabilité pour les administrateurs et dirigeants d’entreprises ou d’OBNL qui ne seraient pas conformes à leurs obligations de protection. 

La loi prévoit que l’administrateur, le dirigeant ou le représentant de la personne morale qui a prescrit ou autorisé l’accomplissement de l’acte ou de l’omission qui constitue une infraction ou qui y a consenti est et passible de la peine qui y est prévue.

Pour les infractions prévues par la loi, les sanctions administratives peuvent atteindre 50 000$ et les infractions sont passibles d’amendes allant jusqu’à 100 000$ pour les personnes physiques.

Oui, si une société située à l’extérieur du Québec collecte, utilise ou communique des renseignements personnels sur des individus résidant au Québec, dans le cadre de ses activités, alors elle est assujettie à la Loi 25. Il lui faudra alors se conformer aux diverses obligations afin d’éviter les sanctions.