Technologies de l'information
Article
Nouvelle
Étude de cas
Portrait de formateur

Loi 25 – rappel avant l’échéance de septembre

Technologia
par Technologia
Technologia
Loi 25 – rappel avant l’échéance de septembre

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels vise à donner aux citoyens un meilleur contrôle sur leurs renseignements personnels détenus par les entreprises … et impose certaines contraintes aux organisations.

Déjà fait ?

Depuis septembre 2022 les organisations sont censées avoir :

  • Désigné un responsable de la protection des renseignements personnels
  • Créé un registre des incidents de confidentialité (et défini le processus de notification qui l’accompagne)
  • Mis à jour leur gouvernance sur le sujet, même si elle est sous-traitée
  • Un inventaire de l’ensemble des renseignements personnels détenus par l’organisation
  • Élaboré un programme de formation des équipes sur le sujet de la protection des renseignements personnels.

Ce qui doit être en place pour septembre 2023

On continue sur la même lancée et on affine les pratiques :

  • Préciser les mesures de gouvernance en matière de protection, conservation, destruction, anonymisation
  • Définir le processus de traitement des plaintes (touchant la protection des renseignements personnels)
  • Afficher sur le site web de l’organisation les informations essentielles relatives à la protection des données personnelles
  • Réaliser une évaluation des facteurs relatifs à la vie privée, EFVP (notamment avant une acquisition, la refonte d’un système…)
  • Disposer d’un processus de collecte du consentement (récupération, détention, utilisation, etc. des renseignements personnels)
  • Être en mesure d’assurer la désindexation des systèmes de l’organisation (si demandée par l’usager)

À venir en septembre 2024

Le dernier élément de la Loi 25 vise à faciliter le droit à la portabilité des données, c’est-à-dire, la possibilité, pour la personne qui en fait la demande, d’obtenir une copie des renseignements personnels détenus par l’organisation visée (en dehors des renseignements dérivés de  ceux initialement collectés)

Pour aller plus  loin :

Loi 25 : se mettre en conformité