Déjà fait ?
Depuis septembre 2022 les organisations sont censées avoir :
- Désigné un responsable de la protection des renseignements personnels
- Créé un registre des incidents de confidentialité (et défini le processus de notification qui l’accompagne)
- Mis à jour leur gouvernance sur le sujet, même si elle est sous-traitée
- Un inventaire de l’ensemble des renseignements personnels détenus par l’organisation
- Élaboré un programme de formation des équipes sur le sujet de la protection des renseignements personnels.
Ce qui doit être en place pour septembre 2023
On continue sur la même lancée et on affine les pratiques :
- Préciser les mesures de gouvernance en matière de protection, conservation, destruction, anonymisation
- Définir le processus de traitement des plaintes (touchant la protection des renseignements personnels)
- Afficher sur le site web de l’organisation les informations essentielles relatives à la protection des données personnelles
- Réaliser une évaluation des facteurs relatifs à la vie privée, EFVP (notamment avant une acquisition, la refonte d’un système…)
- Disposer d’un processus de collecte du consentement (récupération, détention, utilisation, etc. des renseignements personnels)
- Être en mesure d’assurer la désindexation des systèmes de l’organisation (si demandée par l’usager)
À venir en septembre 2024
Le dernier élément de la Loi 25 vise à faciliter le droit à la portabilité des données, c’est-à-dire, la possibilité, pour la personne qui en fait la demande, d’obtenir une copie des renseignements personnels détenus par l’organisation visée (en dehors des renseignements dérivés de ceux initialement collectés)
Pour aller plus loin :
Loi 25 : se mettre en conformité