, Gowling WLG a mené une étude auprès de plus de 100 organisations de tous secteurs, opérant tant au Québec qu’à l’extérieur, et a découvert que la plupart des répondants cherchaient désespérément des éclaircissements et étaient préoccupés par les sanctions imposées par la nouvelle province. les réglementations et les exigences ont commencé. Les exigences supplémentaires s’appuient sur la première phase
de la loi, exécutée en 2015. Étant donné que le 22 septembre de 2022, tout service qui traite les informations d’identité numérique, même d’un célibataire au Québec, doit avoir un responsable désigné de la protection de la vie privée, établir une stratégie de gestion des incidents, construire un journal des événements liés à la vie privée, divulguer tout incident à la Commission d’accès à l’ informations( CAI), et révéler au CAI, au minimum 60 jours à l’avance, toute utilisation de procédures biométriques pour développer des bases de données. Il existe désormais une liste plus longue de règles et de politiques applicables. La deuxième étape oblige les services, entre autres, à publier une politique de confidentialité, à développer un mécanisme d’adhésion pour la collecte d’informations personnelles, à endommager ou à anonymiser les données personnelles des consommateurs déclarant le droit à l’oubli et à effectuer un effet de confidentialité. à tout moment, il envoie des informations personnelles à l’extérieur de la province. (JD Supra a d’ailleurs publié une liste détaillée des exigences de la loi 25.) Pour les répondants à l’étude de Gowling WLG, tout cela est excessif à gérer. Les interactions suscitent de vives inquiétudes, 69 pour cent des sondés déclarant qu’une plus grande clarté sur les spécificités de la loi est nécessaire. Les coûts liés à l’exécution et au non-respect sont également préoccupants. Plus de la moitié des personnes interrogées déclarent ne pas disposer des ressources nécessaires pour se conformer aux principales dispositions de la loi 25. Il n’est pas surprenant que 67 pour cent des répondants s’inquiètent des pénalités et des sanctions, qui peuvent atteindre 10 millions de dollars canadiens (actuellement environ 7,4 millions de dollars américains) ou 2 pour cent du chiffre d’affaires annuel d’une entreprise. Seulement 15 pour cent des participants estiment que ces chiffres sont justes. Pour les petites et moyennes organisations, c’est l’absence de seuil minimum dans la loi qui dérange le plus : les services qui traitent les données individuelles d’un seul Québécois subissent les mêmes exigences
que ceux qui traitent les informations biométriques de millions de personnes. La loi comprend un certain nombre de dispositions qui ont pu inciter les personnes interrogées à la qualifier de rigide et de trop ambitieuse. Il s’agit de la seule loi sur la protection de la vie privée explicitement facultative en Amérique du Nord, et elle prévoit de manière significative un droit d’action personnel, permettant aux personnes d’intenter une action en justice contre les entreprises qui violent leurs droits légaux à la vie privée. Antoine Guilman, co-dirigeant du groupe national de cybersécurité et de défense de l’information de Gowling WLG, a pris dans le langage officiel ce que les répondants ont qualifié de « grave problème ». « Bien que la Loi 25 ait parcouru un long chemin depuis son introduction sous la Dépense 64 », a-t-il déclaré, « les problèmes non résolus en matière d’analyse et d’exécution rendent difficile la mise en œuvre de la législation ».
Toute l’actualité en temps réel, est sur L’Entrepreneur
