Avis aux membres vendredi 4 octobre 2024
Depuis le 22 septembre 2024
La Loi 25 en vigueur dans son entièreté
La mise en vigueur de l’ensemble des dispositions de la Loi 25, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels est complétée. Parmi les obligations qui sont entrées en vigueur le 22 septembre 2024, certaines touchent les professionnels, incluant les avocats. Le Barreau du Québec invite donc ses membres à s’y conformer dès maintenant.
Adoptée en septembre 2021, la Loi 25 (anciennement le projet de loi 64) a introduit une importante réforme des lois en matière de protection des renseignements personnels au Québec.
Rappelons que celle-ci modernise l’encadrement applicable à la protection des renseignements personnels dans diverses lois, dont la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé.
Notamment, les obligations suivantes sont entrées en vigueur le 22 septembre 2024 :
- Le droit à la portabilité permet à toute personne qui le demande d’obtenir ses renseignements personnels informatisés, dans un format technologique structuré et couramment utilisé. Un format est dit « structuré et couramment utilisé » lorsque des applications logicielles d’usage courant peuvent facilement reconnaître et extraire les informations qui y sont contenues.
- Les cabinets d’avocats ont l’obligation de s’assurer que tout nouveau projet d’acquisition, de développement ou de refonte d’un système électronique permette une telle communication.
- Une personne peut aussi demander que ses renseignements personnels informatisés soient communiqués dans un format technologique structuré et couramment utilisé à une autre personne ou à une entreprise autorisée à les recevoir.
Les conditions d’application du droit à la portabilité
Plus généralement, pour que s’applique le droit à la portabilité, les renseignements personnels concernés doivent être :
- informatisés, c’est-à-dire organisés et structurés à l’aide de l’informatique;
- recueillis, directement ou indirectement auprès de la personne concernée, les renseignements obtenus par des tiers, de même que ceux créés ou inférés en étant exclus;
- sans risque d’engendrer des difficultés pratiques sérieuses, ce qui inclut notamment les coûts importants engendrés pour donner suite à une demande ou la complexité que nécessite le transfert dû au choix du demandeur quant à la forme.
La procédure d'accès aux renseignements personnels informatisés
La procédure à suivre pour répondre à une demande relative au droit à la portabilité est la même que pour toute demande d’accès et de rectification. Elle est assujettie à un délai de 30 jours.
Finalement, il est utile de rappeler que les cabinets d’avocats sont tenus de prendre des mesures de sécurité appropriées quand ils transmettent des renseignements personnels.