Projet de loi nº 25 : les entreprises québécoises sont-elles prêtes pour des changements majeurs?

30 janvier, 2023

En quoi consiste le projet de loi 25?

Le 12 juin 2020, le projet de loi 25 a été présenté au Québec à des fins de modernisation des lois en matière de protection des renseignements personnels dans les secteurs privé et public. Intitulé Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, ce projet de loi contient des exigences plus strictes en matière de protection des renseignements personnels, notamment une plus grande transparence ainsi que le renforcement des mesures de protections et du consentement. Ces exigences sont, sanctionnées par des amendes élevées et les pouvoirs de la Commission d’accès à l’information sont renforcés.

Le projet de loi 64 a été adopté par l’Assemblée nationale le 21 septembre 2021 et est maintenant désigné Loi 25. Les considérations immédiates incluent :

Déclaration de la création de toute activité de traitement de données biométriques à la Commission d’accès à l’information du Québec (CAI) au moins 60 jours avant la mise en service du système.
Désignation d’un responsable de la protection des renseignements personnels.
Déclaration obligatoire de tout incident de confidentialité.

Pourquoi ce projet de loi est-il important?

Ce projet de loi représente un changement majeur pour les entreprises québécoises en matière de gestion et de protection des renseignements personnels. Voici quelques-unes des principales dispositions qui, selon nous, entraîneront les répercussions les plus importantes sur les activités des entreprises :

Amendes plus élevées : Le projet de loi fixe de nouvelles infractions pénales assorties d’amendes élevées (jusqu’à 4 % du chiffre d’affaires annuel) et permet à la Commission d’accès à l’information (CAI) d’imposer aux entreprises des sanctions pécuniaires administratives pouvant atteindre : i) 10 000 000 $ CA, ou ii) le montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice précédent si ce dernier montant est plus élevé.
Exigences plus strictes en matière de protection des renseignements personnels : Ces exigences comprennent, entre autres, l’exécution d’évaluations des facteurs relatifs à la vie privée / EFVP obligatoires, l’exécution d’évaluations pour la communication de renseignements personnels à l’extérieur du Québec afin de maintenir une protection adéquate, un consentement « distinct » et « exprès » et de nouveaux droits individuels tels que la transférabilité des données.

Les entreprises québécoises sont-elles prêtes à se conformer au projet de loi 25?

En collaboration avec l’Association canadienne des compagnies d’assurances de personnes (ACCAP) et la Fédération des chambres de commerce du Québec (FCCQ), PwC Canada a mené un sondage en mai 2021 pour comprendre le degré de préparation, la sensibilisation et les effets escomptés des changements législatifs proposés dans le projet de loi 25. Nous avons interrogé près de 75 décideurs de haut rang au Québec responsables des enjeux de confidentialité et de données dans des secteurs et des entreprises de différentes tailles.

Nous vous présentons ci-dessous les résultats du rapport et les points saillants :

Seulement 35 % des entreprises prévoient d’être entièrement prêtes à se conformer
Près de quatre entreprises sur dix, en particulier les petites et moyennes entreprises, déclarent ne pas comprendre toute l’ampleur des répercussions du projet de loi 25 sur leurs activités et n’ont pas encore mis en place de mécanismes robustes de protection des renseignements personnels
Les entreprises s’attendent à devoir doubler les équipes chargées de la protection des renseignements personnels pour se conformer
Pour la moitié des répondants, ce sont les nouvelles obligations en matière de transfert de données à l’extérieur du Québec qui auront le plus d’incidence sur leurs activités

Téléchargez le PDF

Comment se préparer?

Les grandes entreprises du Québec travaillent actuellement à la mise en place de programmes pour se préparer, tandis que de nombreuses petites et moyennes entreprises sont freinées par les coûts nécessaires pour se conformer dans une conjoncture économique déjà difficile.

Nous avons déjà constaté avec le Règlement général sur la protection des données (RGPD) que les entreprises qui adoptent une approche de la protection des renseignements personnels stratégique centrée sur le client plutôt qu’une approche axée uniquement sur la conformité sont en mesure de tirer parti de la situation. Investir dans les domaines clés reposant sur la confiance dans les données (découverte, gouvernance, protection et minimalisation des données) peut permettre d’améliorer l’expérience client et d’instaurer la confiance nécessaire pour dégager la valeur des données et stimuler l’innovation et le développement économique. Cela nécessite toutefois une réflexion stratégique, le soutien de la direction et les fonds et ressources nécessaires pour y parvenir.