L’information, c’est l’or noir du troisième millénaire! C’est pourquoi les entreprises et les organisations doivent protéger adéquatement cette précieuse ressource que constitue l’ensemble des informations personnelles de leurs clients et de leurs employés. De nombreuses entreprises ont déjà eu à subir les désastreuses conséquences économiques, voire humaines, que peut générer un vol de données. Desjardins le sait trop bien, le plus important employeur privé au Québec ayant dû débourser 200 M $ pour indemniser ses quelque 9,7 millions d’adhérents à la suite de ce qui a constitué le plus gros larcin de ce type dans la Belle Province…
Bref, les renseignements personnels, c’est du sérieux. La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (loi 25), en vigueur depuis l’automne 2022, vient baliser les responsabilités des entreprises en la matière. À son adoption l’an dernier, le législateur a voulu palier au plus urgent en exigeant d’emblée la désignation par les entreprises d’une personne responsable de la protection des renseignements personnels et la tenue d’un registre des incidents de confidentialité, entre autres mesures. Plus d’un an après l’adoption de la loi 25, Québec impose une seconde série de mesures à déployer en matière de protection des renseignement personnels. Depuis septembre 2023, les entreprises doivent en effet « avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié ». C’est écrit dans la loi, mais qu’est-ce que ça implique pour mon entreprise?
En gros, c’est le moment pour les entreprises de consigner au sein d’un seul document la manière dont seront envisagées et traitées toutes les questions relatives à la protection des renseignements personnels. Ainsi, la gouvernance des renseignements personnels devrait notamment couvrir des sujets tels que :
- Les processus entourant la collecte, l’utilisation, le transfert, la conservation et la destruction des renseignements personnels;
- Les rôles et les responsabilités dévolus des membres de l’organisation lors des processus ci-haut identifiés;
- Le traitement des plaintes en cas de bris de confidentialité;
- La publication claire et concise de ces règles de gouvernance sur le site internet de l’entreprise;
Outre ces dispositions, une foule d’autres actions (évaluation des risques en matière de vie privée, informations transmises aux clients, etc.) sont par ailleurs attendues de la part des entreprises québécoises, avec la mise en œuvre des nouvelles exigences de la loi 25.
Important, l’information? Les experts de Papillon + Associés sont persuadés de la chose, et c’est pourquoi notre cabinet et son M. Pierre Papillon (notre personne responsable de la protection des renseignements, aux termes de la loi!) se sont assurés de mettre en place tous les mécanismes prévus à cette législation afin de protéger vos renseignements personnels. Votre confiance à notre égard ne mérite rien de moins!