Actualités > Économie > Loi 25 : votre organisation est-elle bien préparée?
Économie

Loi 25 : votre organisation est-elle bien préparée?

Anne-Éloïse Bédard, associé et leader des Services de gestion du risque chez MNP. (Photo courtoisie Chambre de commerce et de l’industrie Rimouski-Neigette).

C’est le sujet de la conférence d’Anne-Éloïse Bédard, associé et leader des Services de gestion du risque chez MNP, dans le cadre d’un déjeuner-formation sur la Loi 25 organisé dans la dernière semaine par la Chambre de commerce et de l’industrie Rimouski-Neigette.

Les entrepreneurs et professionnels présents sur place ont soulevé plusieurs questions suite à la conférence, ce qui laisse planer l’impression que cette loi n’est peut-être pas si claire que ce que l’on peut bien le penser.

La Loi 25 modifie principalement le volet « protection des renseignements personnels »

Certaines modifications apportées par la Loi 25 constituent des écarts importants par rapport à la législation canadienne actuelle en la matière.

Voici quelques-unes des modifications apportées par la Loi 25 qui auront le plus d’incidence sur les organisations :

  • L’obligation pour toutes les organisations de désigner un responsable de la protection des renseignements personnels ou de créer un poste équivalent.
  • Des mesures précises liées à l’utilisation d’évaluations des facteurs relatifs à la vie privée.
  • Des politiques sur la protection des renseignements personnels accessibles au public et des exigences pour les pratiques internes relatives à la protection des données.
  • Une plus grande transparence au sujet du consentement et de la collecte de renseignements personnels.
  • Des avis obligatoires pour signaler les atteintes à la protection des renseignements, ce qui s’accorde avec les exigences fédérales actuelles.
  • La mise en œuvre des principes de confidentialité programmée dans la technologie et les systèmes.
  • De nouveaux droits en matière de données pour les personnes dont les renseignements personnels sont recueillis, notamment le droit à la portabilité des données, le droit à la prise de décision automatisée, les droits liés au profilage de données et le droit à l’oubli (à l’exception des renseignements d’intérêt public).

Des pénalités onéreuses

Les organisations qui ne respectent pas les dispositions de la Loi 25 et ses règlements d’application s’exposeront à des pénalités plus lourdes qu’aux termes du régime actuel. Ces pénalités varient en fonction de la taille de l’entreprise, mais suivent généralement les lignes directrices ci-dessous :

  • 10 millions de dollars, ou un montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent, pour les entreprises privées qui omettent d’appliquer la réglementation;
  • un montant correspondant à 4 % des ventes de l’organisation — ou se situant entre 15 000 $ et 25 millions de dollars — pour les entreprises privées qui s’exposent à des sanctions pénales;
  • deux catégories de pénalités pour les institutions publiques qui ne respectent pas la réglementation :
    • de 3 000 $ à 30 000 $;
    • de 15 000 $ à 150 000 $;
  • Pénalités de 5 000 $ à 100 000 $ pour les infractions commises par une personne physique.

La Loi 25 a été adoptée officiellement en septembre 2022. Cependant, elle entrera progressivement en vigueur sur une période de trois ans.

Les exigences de la première année (2022) sont déjà en vigueur. Celles des deuxième et troisième années entreront en vigueur en septembre 2023 et 2024, respectivement.

Source: MNP

Journal Le Soir.ca

Facebook Twitter Reddit