Protection des renseignements personnels : des réponses à vos questions
Article publié le 11 octobre 2022
Le 13 septembre dernier, la CMMTQ a publié un communiqué concernant les modifications à la Loi sur la protection des renseignements personnels dans le secteur privé qui sont entrées en vigueur le jeudi 22 septembre 2022. Vous trouverez ci-dessous les réponses aux questions les plus fréquemment posées par les membres de la CMMTQ.
Quels sont les renseignements personnels visés ?
Les renseignements personnels sont ceux qui portent sur une personne physique, par exemple vos clients et vos employés, et qui permettent de l’identifier. Ils sont confidentiels.
Dois-je aviser la CMMTQ en cas d’incident de confidentialité ou de quelque autre chose, comme le nom de mon responsable de la protection des renseignements personnels ?
Non. Ces obligations découlent d’une loi qui s’applique à toutes les entreprises du Québec. La Commission d’accès à l’information (site web) est responsable de son application..
Dois-je aviser la Commission d’accès à l’information en cas d’incident de confidentialité ou de quelque autre chose, comme le nom de mon responsable de la protection des renseignements personnels ?
Vous devez aviser la Commission d’accès à l’information lors d’un incident de confidentialité qui peut causer un préjudice sérieux à une personne physique. Toutefois, vous n’avez pas à transmettre le nom de votre responsable de la protection des renseignements personnels.
Est-ce qu’il y a un formulaire à remplir dans le dossier de membre CMMTQ ?
Comment nomme-t-on un responsable de la protection des renseignements personnels ?
Si vous souhaitez que le responsable soit la personne ayant la plus haute autorité au sein de l’entreprise, ou si vous êtes seul dans votre entreprise, vous devez seulement publier le nom, le titre (la fonction) et les coordonnées du responsable sur votre site Internet ou rendre cette information disponible par tout autre moyen approprié.
Si vous souhaitez déléguer cette responsabilité à une autre personne, vous devez le faire par délégation écrite. Le but est d’avoir un document qui désigne officiellement la personne comme responsable à l’interne au sein de l'entreprise. Ce document doit être conservé, mais il n’a pas à être transmis. Vous devrez cependant publier le nom, le titre (la fonction) et les coordonnées du responsable sur votre site Internet ou rendre cette information disponible par tout autre moyen approprié.
Qui peut être responsable de la protection des renseignements personnels ?
Selon la Loi, la responsabilité de la protection des renseignements personnels peut être déléguée à toute personne. Cependant, la Commission d’accès à l’information recommande de désigner une personne pouvant assumer efficacement ce rôle. Par exemple, elle devrait avoir les compétences requises et un pouvoir décisionnel. Il est important que le responsable soit appuyé par les ressources humaines, techniques et financières nécessaires pour assurer la conformité à la Loi.
Quels sont des exemples de moyens pour protéger les renseignements personnels ?
- Conserver les documents papier qui contiennent des renseignements personnels dans des classeurs ou des bureaux barrés.
- Choisir un mot de passe à toute épreuve pour se connecter aux ordinateurs et à l’infonuagique (mot de passe long qui inclut des majuscules, des minuscules, des chiffres et des caractères spéciaux).
- Utiliser l’authentification multifacteur lorsque possible.
- Limiter l’accès aux renseignements personnels des clients aux seules personnes qui en ont vraiment besoin pour leur emploi, comme vous le faites probablement déjà pour vos dossiers d’employés.
- Ne pas utiliser une adresse courriel à laquelle tous les employés ont accès pour échanger des renseignements personnels.
- Ne pas laisser de documents avec des renseignements personnels dans les véhicules.
- Sélectionner les paramètres de sécurité les plus élevés pour les logiciels, l’infonuagique, etc.
- Sécuriser les documents envoyés par courriel en exigeant un mot de passe pour les ouvrir.
Note : Les mesures listées précédemment sont fournies à titre indicatif seulement. Elles devraient être adaptées au niveau de sensibilité des renseignements personnels. Par exemple, un numéro d’assurance sociale constitue une information très sensible et devrait être très bien protégé grâce à des mesures assurant un niveau de sécurité élevé.