Tout ce que vous devez savoir sur la Loi 25, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels

• Désigner une personne responsable de la protection des renseignements personnels.
• En cas d’incident de confidentialité impliquant un renseignement personnel, veuillez :
  1. Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées, et pour éviter que des incidents semblables ne se reproduisent;
  2. Aviser la Commission d’accès à l’information du Québec (CAI) et la personne concernée, en remplissant ce formulaire;
  3. Tenir un registre des incidents, dont une copie devra être transmise à la Commission à sa demande.
• Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de production de statistiques et dans le cadre d’une transaction commerciale.
• Procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche, ou de production de statistiques.
• Aviser la Commission, avant de procéder à une vérification ou à une confirmation d'identité faite au moyen de caractéristiques ou de mesures biométriques, en remplissant ce formulaire.

• Élaborer une Politique sur les pratiques encadrant la gouvernance de l’entreprise en matière de protection des renseignements personnels.
  Cette politique devra notamment prévoir :
  1. Des règles de conservation et de destruction des renseignements personnels;
  2. Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
  3. Un processus de traitement des plaintes relatives à la protection des renseignements personnels.
• Respecter les nouvelles obligations de transparence.
• Obtenir, au préalable, le consentement libre et éclairé de la personne visée pour recueillir, communiquer et utiliser ses renseignements personnels et respecter les nouvelles règles de consentement.
• Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les rendre anonymes pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi.
• Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de transmettre des renseignements personnels à l’extérieur du Québec^*.
  ^*La communication d’un renseignement personnel hors Québec peut s’effectuer seulement si on évalue que ce renseignement jouit d’une protection adéquate.
• Respecter le Droit à la désindexation et à la cessation de la diffusion, c’est-à-dire que les personnes visées pourront demander aux entreprises d’interrompre la transmission de leurs renseignements personnels ou de désindexer tout hyperlien rattaché à leur nom donnant accès à de l’information personnelle, si cette diffusion leur cause préjudice ou contrevient à la Loi ou à une ordonnance judiciaire (droit à l’effacement ou à l’oubli).
• Respecter les nouvelles règles de communication des renseignements personnels facilitant le processus de deuil, c’est-à-dire qu’une organisation pourra communiquer un renseignement personnel sur une personne décédée à son conjoint ou à l’un de ses proches parents, si ce renseignement est susceptible d’aider cette personne dans son processus de deuil, à moins que la personne décédée n’ait consigné par écrit son refus d’accorder ce droit d’accès.
• Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur de moins de 14 ans, c’est-à-dire que ces renseignements ne pourront plus être collectés auprès de celui-ci, sans le consentement de l’autorité parentale ou du tuteur.
• Obligation de prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité d’un produit ou d’un service technologique offert au public^*.
  ^*Cette disposition ne s’appliquera pas aux paramètres de confidentialité d’un témoin de connexion.

Répondre aux demandes de portabilité des renseignements personnels, à savoir de transmettre, à la demande d’une personne concernée, ses renseignements personnels.