​Protection des renseignements personnels des clients – Nouvelles obligations pour les membres en pratique autonome ou en cabinet privé dès le 22 septembre 2023

Publié le

Les membres de l’Ordre qui exercent en pratique autonome ou au sein d’une société devront respecter de nouvelles obligations en matière de renseignements personnels à partir du 22 septembre 2023. Celles-ci résultent des modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé par la Loi 25 et s’ajoutent aux obligations entrées en vigueur le 22 septembre 2022.

 

Une personne membre concernée par ces obligation devra :

  • Établir des politiques et des pratiques visant à assurer la protection des renseignements personnels que vous détenez (proportionnées à la nature et à l’importance des activités de l’entreprise). Celles-ci doivent notamment prévoir l’encadrement applicable à la conservation et à la destruction de ces renseignements, prévoir les rôles et les responsabilités des membres de votre personnel eu égard à ces renseignements et prévoir un processus de traitement des plaintes relatives à la protection de ceux-ci.
  • Publier sur son site Web, ou en son absence, rendre accessible par un moyen approprié, des informations simples, claires et détaillées au sujet de ces politiques et pratiques.
  • Procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
  • Ne pas recueillir des renseignements personnels auprès d’un mineur de moins de 14 ans sans le consentement du titulaire de l’autorité parentale ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice de ce mineur.
  • Informer la personne auprès de qui l’on recueille des renseignements personnels :
    • des fins auxquelles ces renseignements sont recueillis;
    • des moyens par lesquels les renseignements sont recueillis;
    • des droits d’accès et de rectification prévus par la loi;
    • de son droit de retirer son consentement à la collecte des renseignements.
  • Avant de communiquer à l’extérieur du Québec un renseignement personnel, procéder à une évaluation des facteurs relatifs à la vie privée qui tient compte notamment des mesures de protection dont bénéficierait légalement ou contractuellement le renseignement transmis. La communication peut s’effectuer si l’évaluation démontre que le renseignement bénéficierait d’une protection adéquate et qu’elle fait l’objet d’une entente écrite. Une communication à l’extérieur du Québec inclut le stockage de donnée sur des serveurs situés à l’étranger.
  • Détruire les renseignements personnels recueillis au terme du délai de conservation prévu dans le Règlement sur la tenue des dossiers et des cabinets de consultation des membres de l’OTSTCFQ.

Pour de plus amples informations, nous vous invitons à consulter le site de la Commission d’accès à l’information.

Rappel sur les obligations entrées en vigueur le 22 septembre 2022

 

Rappelons que depuis le 22 septembre 2022 il faut :

  • désigner une personne responsable de la protection des renseignements personnels (personne qui détient la plus haute autorité dans l’entreprise ou personne à qui a été déléguée cette responsabilité) et publier ses coordonnées;
  • mettre en place et déployer un plan de gestion des « incidents de confidentialité » (accès, utilisation ou communication non autorisés d’un renseignement personnel, la perte d’un tel renseignement ou toute autre atteinte à la protection d’un tel renseignement);
  • constituer un registre des incidents de confidentialité et divulguer aux personnes potentiellement touchées ainsi qu’à la Commission d’accès à l’information tout incident menaçant la confidentialité de données confidentielles ou une cyberattaque dans les cas où il y a un risque de préjudice sérieux découlant de l’incident.

Pour en savoir davantage sur les obligations découlant de la Loi 25 et sur la façon de s’y conformer, le Conseil interprofessionnel du Québec (CIQ) a développé une formation à l’intention des membres des ordres professionnels.