Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Infolettre Therrien Couture Joli-Coeur

Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Écrivez-nous

Technologie et gouvernance de l’information

Loi 25 : sanctions pour 2023 et étapes de conformité

Les entreprises seront-elles automatiquement sanctionnées si elles n’ont pas complété leurs étapes de conformité à la Loi 25 en date du 22 septembre 2023?

Non, pas automatiquement. La majorité des obligations qui découlent de la Loi 25 entreront en vigueur le 22 septembre 2023. Ces dernières représentent un défi d’envergure pour les entreprises faisant affaires au Québec, qu’elles soient privées ou publiques, avec but lucratif ou non et peu importe leur taille. À partir de cette date, la Commission d’accès à l’information (« CAI »), soit l’organe administratif chargé de la surveillance en matière de protection des renseignements personnels, détiendra désormais des pouvoirs importants de sanction. Outre ses pouvoirs d’enquête, la CAI aura la possibilité d’imposer des sanctions pénales allant jusqu’à 25 000 000 $ ou 4 % du chiffre d’affaires mondial, ainsi que des sanctions administratives pécuniaires jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial. Toutefois, la CAI a plusieurs fois réitéré qu’elle entendait adopter une attitude éducative pour commencer, afin de permettre aux entreprises de s’adapter. Si une entreprise est proactive dans sa mise en conformité de la Loi 25, nous pouvons anticiper que les sanctions ne seront pas si lourdes, du moins au départ.

Si une entreprise n’a pas encore entamé son processus de conformité, il est temps de s’y mettre. Voici les 7 étapes d’un plan de conformité que les entreprises peuvent entreprendre seules ou mieux, en groupe, à moindre coût :

  1. Nomination de la personne responsable de la protection des renseignements personnels et définition de ses tâches et des comités qui l’accompagnent
  2. Gestion des incidents de confidentialité
  3. Mise en place de politiques de confidentialité, politiques de protection des renseignements personnels et de formulaires de consentement
  4. Encadrement du transfert des données et évaluations des facteurs relatifs à la vie privée
  5. Gestion des données et des accès à l’information
  6. Mise en place de politiques et de processus de sécurité de l’information
  7. Formation des employés

Pour toute question d’accompagnement dans la conformité de votre entreprise concernant la Loi 25, nous vous invitons à communiquer avec notre équipe technologie et gouvernance de l’information, qui saura vous conseiller et vous aider.

1