Capsule juridique Retour Date de publication : 13 septembre 2022
La Loi sur la protection des renseignements personnels dans le secteur privé sera modifiée afin d’y inclure de nouvelles obligations pour les personnes exploitant une entreprise. Voici un résumé des principales obligations légales auxquelles votre entreprise fera face à partir du 22 septembre 2022. D’autres s’ajouteront en septembre 2023 et 2024.
Ces nouvelles obligations s’appliquent à tous les membres de la CMMTQ puisqu’ils exploitent une entreprise.
Lire la suitePour obtenir des renseignements concernant les modifications qui s’appliqueront à partir du 22 septembre prochain et celles de 2023 et de 2024, veuillez consulter le site de la Commission d’accès à l’information :
Rappelons que le but de la Loi sur la protection des renseignements personnels dans le secteur privé est d’établir des règles à l’égard des renseignements personnels qu’une personne qui exploite une entreprise recueille, détient, utilise ou communique à des tiers. Votre entreprise doit notamment protéger les renseignements qu’elle détient et qui permettent d’identifier une personne physique. Ces renseignements sont confidentiels et, sauf exception, ils ne peuvent être communiqués sans le consentement de la personne concernée.
Un responsable de la protection des renseignements personnels (RPRP) doit être désigné à compter du 22 septembre 2022. Il s’agit, par défaut, de la personne ayant la plus haute autorité au sein de l’entreprise (ex. : le président ou le PDG). Cependant, la personne ayant la plus haute autorité peut déléguer cette responsabilité par écrit à une autre personne. Cette dernière peut être interne ou externe à l’organisation.
Le RPRP doit assurer le respect et la mise en œuvre de la Loi. Son titre et ses coordonnées doivent être publiés sur le site Internet de l’entreprise. Si vous n’avez pas de site Internet, vous devez rendre ces renseignements accessibles par tout autre moyen approprié.
Si vous avez des motifs de croire qu’un incident de confidentialité s’est produit, vous devez prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et pour éviter que des incidents surviennent de nouveau, par exemple :
Après évaluation de la situation, si l’entreprise conclut que l’incident risque de causer un préjudice sérieux :
Enfin, vous devez inscrire tout incident de confidentialité (présentant ou non un risque de préjudice sérieux) dans votre registre des incidents de confidentialité. Les renseignements contenus au registre doivent être tenus a? jour et conservés pendant au moins cinq ans après la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident.
En cas de cyberattaque, une cyberassurance ou assurance cyberrisque pourrait simplifier votre gestion de crise et vous permettre d’avoir accès à des services d’experts en sécurité informatique et en communication de crise ainsi que des conseils juridiques. Une telle assurance pourrait également couvrir les conséquences d’une atteinte aux systèmes de technologie de l’information ou aux données personnelles ou confidentielles de votre entreprise. Nous vous invitons à communiquer avec votre assureur ou votre courtier d’assurance à ce sujet.
Comme vous êtes obligé de protéger les renseignements personnels que vous détenez, vous ne pouvez pas les communiquer à des tiers sans le consentement de la personne concernée. Toutefois, si vous respectez certaines exigences, vous pourrez le faire si la communication est faite à des fins d’étude, de recherche, de production de statistiques ou dans le cadre d’une transaction commerciale.
L’adoption de nouvelles technologies peut apporter des avantages et des économies pour une entreprise qui œuvre dans l’industrie de la construction, mais elle peut aussi être source d’obligations légales additionnelles. Certains entrepreneurs ont ou auront peut-être recours à la reconnaissance faciale et à la biométrie pour sécuriser des chantiers ou pour surveiller et contrôler la productivité de leur main-d’œuvre. D’autres utiliseront peut-être des technologies de reconnaissance des empreintes digitales pour limiter l’accès à des locaux ou pour permettre l’enregistrement des heures travaillées par leurs salariés.
Dans de tels cas, vous recueillez des renseignements biométriques qui vous permettent d’identifier une personne grâce à des caractéristiques uniques (ex. : corporelles, comportementales ou biologiques). Il apparaît évident que ces renseignements personnels sont délicats, puisqu’ils sont intimement liés à l’identité.
Ainsi, à compter du 22 septembre 2022, vous devrez divulguer la création de toute banque de caractéristiques ou de mesures biométriques à la Commission d’accès à l’information, au moins 60 jours avant sa mise en service. Vous devrez également aviser la Commission avant d’utiliser un procédé permettant de vérifier ou de confirmer l’identité d’une personne à partir de caractéristiques ou de mesures biométriques. Un tel procédé nécessite aussi le consentement explicite de la personne.
Oui. Il n’y a pas de restrictions par rapport à la taille de l’entreprise et à la forme juridique. Si vous êtes seuls, vous êtes la personne qui doit assurer la protection des renseignements personnels et vous êtes le responsable de la protection des renseignements personnels.
Oui. Elles s’appliquent à toutes les personnes physiques ou morales exploitant une entreprise, peu importe leur taille ou leur forme juridique (ex. : entreprise individuelle, sociétés par actions, société en nom collectif, etc.).
La Loi définit un renseignement personnel comme étant tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier. Il est possible d’identifier une personne indirectement par inférence ou par croisement de différents jeux de données. Par exemple : nom, date d’anniversaire, numéro d’assurance sociale, adresse du domicile, adresse courriel personnelle, etc.
Les renseignements personnels sont confidentiels. Sauf exception, ils ne peuvent pas être communiqués sans le consentement de la personne concernée.
La Loi considère que les quatre types d’événements suivants constituent des incidents de confidentialité :
1. L’accès non autorisé à un renseignement personnel. Par exemple :
2. L’utilisation non autorisée d’un renseignement personnel. Par exemple, un employé qui usurpe l’identité d’une personne physique en utilisant des renseignements personnels auxquels il a accès dans le cadre de ses fonctions.
3. La communication non autorisée d’un renseignement personnel. Par exemple, par l’envoi d’un courriel contenant des renseignements personnels à un mauvais destinataire.
4. La perte d’un renseignement personnel ou une atteinte à la protection d’un tel renseignement. Par exemple :
Rappelons que tous ces incidents doivent être consignés au registre des incidents de confidentialité. Voir plus bas pour plus de détails sur le contenu du registre.
Plusieurs facteurs doivent être considérés pour évaluer s’il y a un risque de préjudice à une personne dont un renseignement personnel est concerné par un incident de confidentialité, notamment :
En outre, vous devrez consulter le RPRP.
Selon le gouvernement du Québec, un préjudice sérieux correspond à un acte ou à un événement susceptible de porter atteinte à la personne concernée ou à ses biens et de nuire à ses intérêts de manière non négligeable. Par exemple, il peut conduire à :
La Commission d’accès à l’information a mis à la disposition des entreprises un formulaire de déclaration d’un incident de confidentialité portant atteinte à des renseignements personnels sur son site Web.
Cet avis doit inclure les renseignements suivants :
1. le nom de votre entreprise et, le cas échéant, le numéro d’entreprise du Québec (NEQ) attribué par le registraire des entreprises du Québec;
2. le nom et les coordonnées de la personne à contacter au sein de votre entreprise pour avoir plus d’information concernant l’incident de confidentialité;
3. une description des renseignements personnels visés par l’incident de confidentialité ou, si cette information est inconnue, la raison justifiant l’impossibilité de fournir une telle description;
4. une brève description des circonstances de l’incident et, si elle est connue, la cause de l’incident;
5. la date ou la période où l’incident a eu lieu ou, si cette information est inconnue, une approximation de cette période;
6. la date ou la période au cours de laquelle votre entreprise a pris connaissance de l’incident;
7. le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec, s’ils sont inconnus, une approximation de ces nombres;
8. une description des éléments qui amènent votre entreprise à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées;
9. les mesures que votre organisation a prises ou entend prendre afin d’aviser les personnes dont un renseignement personnel est concerné par l’incident;
10. les mesures (et les délais) que votre organisation a prises ou entend prendre à la suite de la survenance de l’incident pour :
11. Le cas échéant, une mention précisant qu’une personne ou un organisme situé à l’extérieur du Québec et exerçant des responsabilités semblables à celles de la Commission d’accès à l’information à l’égard de la surveillance de la protection des renseignements personnels a été avisé de l’incident.
Cet avis doit inclure les renseignements suivants :
Le registre des incidents de confidentialité doit inclure les renseignements suivants :
Nous joindreSitués à Montréal, les bureaux de la CMMTQ sont ouverts du lundi au vendredi, de 8 h 30 à 12 h, et de 13 h à 16 h 30. Notre équipe répond à vos questions. |
Revue IMBPour connaître les nouvelles tendances et façons de faire, abonnez-vous gratuitement à la revue de la CMMTQ et recevez vos exemplaires par la poste. Référence pertinente pour l’industrie de la mécanique du bâtiment, IMB propose un contenu d’actualité et des dossiers complets sur une grande diversité de sujets techniques. |
© 2023 Corporation des maîtres mécaniciens en tuyauterie du Québec (CMMTQ) | Tous droits réservés. | Conception Web : ViGlob
Nous utilisons les cookies afin de fournir les services et fonctionnalités proposés sur notre site et afin d’améliorer l’expérience de nos utilisateurs. Parmi ces cookies, ceux qui sont jugés nécessaires au fonctionnement du site sont stockés sur votre ordinateur ou sur tout autre appareil.
Nous utilisons aussi des cookies tiers qui nous permettent de mieux comprendre l’utilisation que vous faites de notre site web. Ces cookies seront stockés sur votre appareil seulement si vous y consentez en cliquant sur «J’accepte ».
Vous pouvez toujours les désactiver ultérieurement mais votre expérience de navigation sur notre site pourrait s’en trouver affectée.