Action Paiement
- Étude d’impacts économiques
- Évolution du dossier
- Membres de la Coalition et équipe
- Contact
Assurances commerciales
- Sondage de la CMMTQ sur les assurances commerciales
- Les recommandations du groupe de travail Assurances
- Visionnez notre webinaire du 22 juin 2022
- Visionnez notre nouvelle formation et accumulez 1,5 heure
- Dernières nouvelles
Actualités / Publications
- Actualités en bref
- Communiqués de presse
- Revue IMB
- Bulletin L'Entre-Presse
- Guide de référence du maître mécanicien en tuyauterie
- Rapport annuel
- Catalogue
- Fiches informatives
- Guide sur les dispositifs antirefoulement
- Bulletins COVID-19
- Actualités en bref 2023
Vidéos
Formation
- Installations sous pression
- Gestion
- Plomberie
- Chauffage et combustion
- Gaz
- Réfrigération
  - Petits systèmes de climatisation
- Ventilation
- Juridique
  - La protection de vos créances
  - Le contrat d'entreprise
- Santé et sécurité du travail
- Soumettre votre besoin de perfectionnement
- Soutien financier
- Modalités d'inscription
- Fiers et compétents
- Formation continue obligatoire
  - Nombre d’heures de formation continue obligatoire par période de référence de deux ans, selon les sous-catégories de licence détenues par le répondant
Technique
- Fiches techniques
- Formulaires
- Produits certifiés
- Fiches d'auto-inspection
- Fiches Bonnes pratiques
- Codes et normes
- Autres informations
- Calculateurs
- Question / réponse
- Dénonciation – produit non certifié
- Installations sous pression
Juridique
- Fiches informatives
- Lois et règlements
- Modèles de lettres et formulaires
Gestion
- Fiches informatives
- Taux horaires
- Aides financières et programmes
- Main-d'oeuvre
  - Candidatures / étudiants et stagiaires
  - Établissements scolaires et services de placement
- Certificats de qualification hors construction et qualifications spécifiques
  - Qualification hors construction
  - Qualifications spécifiques
- Ratios d'entreprise
Santé et sécurité
- Fiches informatives
- Pauses-sécurité
Exercice illégal du métier
- Formulaire de dénonciation
- Liste des condamnations pénales
Plainte contre un membre de la CMMTQ
- Formulaire de plainte
Licence d'entrepreneur
- Mandat général
- Acheminement des demandes
- Délivrance de licence
- Droits et frais exigibles
- Admission à la CMMTQ
- Cautionnement de licence
- Examens
- Exemptions possibles
- Accès à l'information
- Entente Québec/Ontario/Terre-Neuve/Nouveau-Brunswick
- Documentation
Obligations professionnelles et éthiques
- Éthique et professionnalisme
- Actes dérogatoires
- Identification
- Procédure de traitement des signalements et plaintes
Normes graphiques
Vos avantages
- Services
- Programmes collectifs
- Travaux exclusifs
- Pourquoi une Corporation
Événements / Activités
- Tournoi de golf
- MCEE
- Colloque : transfert d'entreprise
- Webinaire juridique du 16 novembre 2021 - ACC 1 et CCDC 2
- 74e assemblée générale annuelle
- Journée formation 2022
- Congrès annuel de la CMMTQ
Accréditations
- Dispositifs antirefoulement
- Novoclimat
Programme d’accès à l’égalité des femmes dans l’industrie de la construction
- Bourse Jocelyne-Meunier-Desjardins
- La mixité en chantier
- Programme pour la formation des femmes en entreprise
Annonces classées
- Créer une annonce
- Consulter les annonces
Votre Dossier
Paiement

Protection des renseignements personnels : nouvelles obligations pour les entreprises

Article publié le 13 septembre 2022

La Loi sur la protection des renseignements personnels dans le secteur privé sera modifiée afin d’y inclure de nouvelles obligations pour les personnes exploitant une entreprise. Voici un résumé des principales obligations légales auxquelles votre entreprise fera face à partir du 22 septembre 2022. D’autres s’ajouteront en septembre 2023 et 2024.

Ces nouvelles obligations s’appliquent à tous les membres de la CMMTQ puisqu’ils exploitent une entreprise.

Pour obtenir des renseignements concernant les modifications qui s’appliqueront à partir du 22 septembre prochain et celles de 2023 et de 2024, veuillez consulter le site de la Commission d’accès à l’information :

Rappelons que le but de la Loi sur la protection des renseignements personnels dans le secteur privé est d’établir des règles à l’égard des renseignements personnels qu’une personne qui exploite une entreprise recueille, détient, utilise ou communique à des tiers. Votre entreprise doit notamment protéger les renseignements qu’elle détient et qui permettent d’identifier une personne physique. Ces renseignements sont confidentiels et, sauf exception, ils ne peuvent être communiqués sans le consentement de la personne concernée.

Responsable de la protection des renseignements personnels

Un responsable de la protection des renseignements personnels (RPRP) doit être désigné à compter du 22 septembre 2022. Il s’agit, par défaut, de la personne ayant la plus haute autorité au sein de l’entreprise (ex. : le président ou le PDG). Cependant, la personne ayant la plus haute autorité peut déléguer cette responsabilité par écrit à une autre personne. Cette dernière peut être interne ou externe à l’organisation.

Le RPRP doit assurer le respect et la mise en œuvre de la Loi. Son titre et ses coordonnées doivent être publiés sur le site Internet de l’entreprise. Si vous n’avez pas de site Internet, vous devez rendre ces renseignements accessibles par tout autre moyen approprié.

Réagir à un incident de confidentialité

Si vous avez des motifs de croire qu’un incident de confidentialité s’est produit, vous devez prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et pour éviter que des incidents surviennent de nouveau, par exemple :

faire cesser la pratique non autorisée;
récupérer ou exiger la destruction des renseignements personnels impliqués; et
corriger les lacunes informatiques.

Après évaluation de la situation, si l’entreprise conclut que l’incident risque de causer un préjudice sérieux :

Vous devez aviser la Commission d’accès à l’information par écrit de la survenance de cet événement.
Sauf certaines exceptions, vous devez aviser toutes les personnes dont les renseignements personnels sont concernés par l’incident.
Sous certaines conditions, il est aussi possible d’aviser toute personne ou tout organisme susceptible de diminuer le risque de préjudice.

Enfin, vous devez inscrire tout incident de confidentialité (présentant ou non un risque de préjudice sérieux) dans votre registre des incidents de confidentialité. Les renseignements contenus au registre doivent être tenus a? jour et conservés pendant au moins cinq ans après la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident.

En cas de cyberattaque, une cyberassurance ou assurance cyberrisque pourrait simplifier votre gestion de crise et vous permettre d’avoir accès à des services d’experts en sécurité informatique et en communication de crise ainsi que des conseils juridiques. Une telle assurance pourrait également couvrir les conséquences d’une atteinte aux systèmes de technologie de l’information ou aux données personnelles ou confidentielles de votre entreprise. Nous vous invitons à communiquer avec votre assureur ou votre courtier d’assurance à ce sujet.

Communication de renseignements personnels sans le consentement de la personne concernée

Comme vous êtes obligé de protéger les renseignements personnels que vous détenez, vous ne pouvez pas les communiquer à des tiers sans le consentement de la personne concernée. Toutefois, si vous respectez certaines exigences, vous pourrez le faire si la communication est faite à des fins d’étude, de recherche, de production de statistiques ou dans le cadre d’une transaction commerciale.

Caractéristiques et mesures biométriques

L’adoption de nouvelles technologies peut apporter des avantages et des économies pour une entreprise qui œuvre dans l’industrie de la construction, mais elle peut aussi être source d’obligations légales additionnelles. Certains entrepreneurs ont ou auront peut-être recours à la reconnaissance faciale et à la biométrie pour sécuriser des chantiers ou pour surveiller et contrôler la productivité de leur main-d’œuvre. D’autres utiliseront peut-être des technologies de reconnaissance des empreintes digitales pour limiter l’accès à des locaux ou pour permettre l’enregistrement des heures travaillées par leurs salariés.

Dans de tels cas, vous recueillez des renseignements biométriques qui vous permettent d’identifier une personne grâce à des caractéristiques uniques (ex. : corporelles, comportementales ou biologiques). Il apparaît évident que ces renseignements personnels sont délicats, puisqu’ils sont intimement liés à l’identité.

Ainsi, à compter du 22 septembre 2022, vous devrez divulguer la création de toute banque de caractéristiques ou de mesures biométriques à la Commission d’accès à l’information, au moins 60 jours avant sa mise en service. Vous devrez également aviser la Commission avant d’utiliser un procédé permettant de vérifier ou de confirmer l’identité d’une personne à partir de caractéristiques ou de mesures biométriques. Un tel procédé nécessite aussi le consentement explicite de la personne.

Foire aux questions

1. Mon entreprise est toute petite. Est-ce que ces obligations s’appliquent à moi ?

Oui. Il n’y a pas de restrictions par rapport à la taille de l’entreprise et à la forme juridique. Si vous êtes seuls, vous êtes la personne qui doit assurer la protection des renseignements personnels et vous êtes le responsable de la protection des renseignements personnels.

2. Ces nouvelles obligations s’appliquent-elles à tous les entrepreneurs ?

Oui. Elles s’appliquent à toutes les personnes physiques ou morales exploitant une entreprise, peu importe leur taille ou leur forme juridique (ex. : entreprise individuelle, sociétés par actions, société en nom collectif, etc.).

3. Qu’est-ce qu’un renseignement personnel ?

La Loi définit un renseignement personnel comme étant tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier. Il est possible d’identifier une personne indirectement par inférence ou par croisement de différents jeux de données. Par exemple : nom, date d’anniversaire, numéro d’assurance sociale, adresse du domicile, adresse courriel personnelle, etc.

Les renseignements personnels sont confidentiels. Sauf exception, ils ne peuvent pas être communiqués sans le consentement de la personne concernée.

4. Qu’est-ce qu’un incident de confidentialité ?

La Loi considère que les quatre types d’événements suivants constituent des incidents de confidentialité :

1. L’accès non autorisé à un renseignement personnel. Par exemple :

Un employé qui consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions en outrepassant ses droits d’accès;
Un employé qui reçoit par courriel des renseignements personnels sur un dossier qui ne le concerne pas;
Un pirate informatique ou toute autre personne qui s’infiltre ou s’immisce dans votre système informatique (banque de données, boîtes de courriels ou espace de stockage infonuagique).

2. L’utilisation non autorisée d’un renseignement personnel. Par exemple, un employé qui usurpe l’identité d’une personne physique en utilisant des renseignements personnels auxquels il a accès dans le cadre de ses fonctions.

3. La communication non autorisée d’un renseignement personnel. Par exemple, par l’envoi d’un courriel contenant des renseignements personnels à un mauvais destinataire.

4. La perte d’un renseignement personnel ou une atteinte à la protection d’un tel renseignement. Par exemple :

La perte ou le vol de documents contenant des renseignements personnels;
La perte ou le vol d’une clé USB ou d’un ordinateur portable contenant des renseignements personnels.

Rappelons que tous ces incidents doivent être consignés au registre des incidents de confidentialité. Voir plus bas pour plus de détails sur le contenu du registre.

5. Comment déterminer si l’incident de confidentialité présente un risque de préjudice sérieux ?

Plusieurs facteurs doivent être considérés pour évaluer s’il y a un risque de préjudice à une personne dont un renseignement personnel est concerné par un incident de confidentialité, notamment :

La sensibilité du renseignement concerné. Par exemple, un renseignement financier ou un renseignement d’identité;
Les conséquences appréhendées de son utilisation, notamment en matière d’atteinte à la vie privée;
La probabilité qu’il soit utilisé à des fins préjudiciables;
Les utilisations malveillantes possibles. Par exemple, en cas de vol d’identité, de fraude financière ou d’atteinte importante à la vie privée;

En outre, vous devrez consulter le RPRP.

6. Qu’est-ce qu’un préjudice sérieux ?

Selon le gouvernement du Québec, un préjudice sérieux correspond à un acte ou à un événement susceptible de porter atteinte à la personne concernée ou à ses biens et de nuire à ses intérêts de manière non négligeable. Par exemple, il peut conduire à :

L’humiliation;
Une atteinte à la réputation;
Une perte financière;
Un vol d’identité;
Des conséquences négatives sur un dossier de crédit;
Une perte d’emploi.

7. Existe-t-il un modèle pour les avis à envoyer à la Commission d’accès à l’information et aux personnes concernées ?

La Commission d’accès à l’information a mis à la disposition des entreprises un formulaire de déclaration d’un incident de confidentialité portant atteinte à des renseignements personnels sur son site Web.

8. Que doit-on inclure dans l’avis destiné à la Commission d’accès à l’information ? Est-ce qu’un contenu est obligatoire ?

Cet avis doit inclure les renseignements suivants :

1. le nom de votre entreprise et, le cas échéant, le numéro d’entreprise du Québec (NEQ) attribué par le registraire des entreprises du Québec;

2. le nom et les coordonnées de la personne à contacter au sein de votre entreprise pour avoir plus d’information concernant l’incident de confidentialité;

3. une description des renseignements personnels visés par l’incident de confidentialité ou, si cette information est inconnue, la raison justifiant l’impossibilité de fournir une telle description;

4. une brève description des circonstances de l’incident et, si elle est connue, la cause de l’incident;

5. la date ou la période où l’incident a eu lieu ou, si cette information est inconnue, une approximation de cette période;

6. la date ou la période au cours de laquelle votre entreprise a pris connaissance de l’incident;

7. le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec, s’ils sont inconnus, une approximation de ces nombres;

8. une description des éléments qui amènent votre entreprise à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées;

9. les mesures que votre organisation a prises ou entend prendre afin d’aviser les personnes dont un renseignement personnel est concerné par l’incident;

10. les mesures (et les délais) que votre organisation a prises ou entend prendre à la suite de la survenance de l’incident pour :

diminuer les risques qu’un préjudice soit causé;
atténuer le préjudice;
éviter que de nouveaux incidents de même nature ne surviennent de nouveau.

11. Le cas échéant, une mention précisant qu’une personne ou un organisme situé à l’extérieur du Québec et exerçant des responsabilités semblables à celles de la Commission d’accès à l’information à l’égard de la surveillance de la protection des renseignements personnels a été avisé de l’incident.

9. Que doit-on inclure dans l’avis destiné aux personnes concernées par l’incident de confidentialité ? Est-ce qu’un contenu est obligatoire ?

Cet avis doit inclure les renseignements suivants :

une description des renseignements personnels visés par l’incident de confidentialité ou, si cette information est inconnue, la raison justifiant l’impossibilité de fournir une telle description;
une brève description des circonstances de l’incident;
la date ou la période où l’incident a eu lieu ou, si cette information est inconnue, une approximation de cette période;
une brève description des mesures que votre organisation a prises ou entend prendre à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé;
les mesures que votre organisation suggère à la personne concernée de prendre afin de diminuer le risque qu’un préjudice lui soit causé ou afin d’atténuer le préjudice;
les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident.

10. Quels renseignements doit-on inscrire dans le registre des incidents de confidentialité ?

Le registre des incidents de confidentialité doit inclure les renseignements suivants :

Une description des renseignements personnels visés par l’incident de confidentialité ou, si cette information est inconnue, la raison justifiant l’impossibilité de fournir une telle description;
Une brève description des circonstances de l’incident;
La date ou la période où l’incident a eu lieu ou, si cette information est inconnue, une approximation de cette période;
La date ou la période au cours de laquelle votre entreprise a pris connaissance de l’incident;
Le nombre de personnes concernées par l’incident, s’il est inconnu, une approximation de ce nombre;
Une description des éléments qui amènent votre entreprise à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées;
Si l’incident présente un risque qu’un préjudice sérieux soit causé, les dates de transmission des avis à la Commission d’accès à l’information et aux personnes concernées, de même qu’une mention indiquant si des avis publics ont été donnés par l’organisation et la raison pour laquelle ces avis publics ont été donnés, le cas échéant;
Une brève description des mesures prises par votre organisation à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé.

Connexion

Liens rapides

Calculateurs Taux horaires Répertoire des membres Liste des condamnations

« Juin 2023 »

D	L	M	M	J	V	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

Tous les événements

CMMTQ - Corporation des maîtres mécaniciens en tuyauterie du Québec