Opinions

Loi 25: sanctions pour 2023 et étapes de conformité

Main image

Natacha Boivin Et Heting Xu

2023-09-26 11:15:00

Les entreprises seront-elles automatiquement sanctionnées si elles n’ont pas complété leurs étapes de conformité à la Loi 25 en date du 22 septembre 2023?

Natacha Boivin et Heting Xu, les auteures de cet article. Source: TCJ
Natacha Boivin et Heting Xu, les auteures de cet article. Source: TCJ
Non, pas automatiquement. La majorité des obligations qui découlent de la Loi 25 entreront en vigueur le 22 septembre 2023. Ces dernières représentent un défi d’envergure pour les entreprises faisant affaires au Québec, qu’elles soient privées ou publiques, avec but lucratif ou non et peu importe leur taille.

À partir de cette date, la Commission d’accès à l’information (« CAI »), soit l’organe administratif chargé de la surveillance en matière de protection des renseignements personnels, détiendra désormais des pouvoirs importants de sanction.

Outre ses pouvoirs d’enquête, la CAI aura la possibilité d’imposer des sanctions pénales allant jusqu’à 25 000 000 $ ou 4 % du chiffre d’affaires mondial, ainsi que des sanctions administratives pécuniaires jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial.

Toutefois, la CAI a plusieurs fois réitéré qu’elle entendait adopter une attitude éducative pour commencer, afin de permettre aux entreprises de s’adapter. Si une entreprise est proactive dans sa mise en conformité de la Loi 25, nous pouvons anticiper que les sanctions ne seront pas si lourdes, du moins au départ.

Si une entreprise n’a pas encore entamé son processus de conformité, il est temps de s’y mettre. Voici les 7 étapes d’un plan de conformité que les entreprises peuvent entreprendre seules ou mieux, en groupe, à moindre coût :
#Nomination de la personne responsable de la protection des renseignements personnels et définition de ses tâches et des comités qui l’accompagnent
#Gestion des incidents de confidentialité
#Mise en place de politiques de confidentialité, politiques de protection des renseignements personnels et de formulaires de consentement
#Encadrement du transfert des données et évaluations des facteurs relatifs à la vie privée
#Gestion des données et des accès à l’information
#Mise en place de politiques et de processus de sécurité de l’information
#Formation des employés

À propos des auteures

Natacha Boivin est avocate à Montréal pour le cabinet Therrien Couture Joli-Coeur et médiatrice en matières civiles et commerciales, accréditée auprès du Barreau du Québec.

Elle a donné des conférences et des formations aux entrepreneurs en construction partout au Québec et est l’auteure de plusieurs articles, manuels de formation et modèles de contrats adaptés à l’entreprise de la construction.

Heting Xu est avocate au sein du cabinet Therrien Couture Joli-Coeur à Montréal. Elle pratique principalement en droit des technologies et gouvernance de l’information.
2092

Publier un nouveau commentaire

Annuler
Remarque

Votre commentaire doit être approuvé par un modérateur avant d’être affiché.

NETiquette sur les commentaires

Les commentaires sont les bienvenus sur le site. Ils sont validés par la Rédaction avant d’être publiés et exclus s’ils présentent un caractère injurieux, raciste ou diffamatoire. Si malgré cette politique de modération, un commentaire publié sur le site vous dérange, prenez immédiatement contact par courriel (info@droit-inc.com) avec la Rédaction. Si votre demande apparait légitime, le commentaire sera retiré sur le champ. Vous pouvez également utiliser l’espace dédié aux commentaires pour publier, dans les mêmes conditions de validation, un droit de réponse.

Bien à vous,

La Rédaction de Droit-inc.com

PLUS

Articles similaires