De nouvelles obligations pour les avocats

Adoptée en septembre 2021, la Loi 25 ou Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (anciennement le projet de loi 64) introduit une importante réforme des lois en matière de protection des renseignements personnels au Québec. Rappelons que la Loi 25 modernise l’encadrement applicable à la protection des renseignements personnels dans diverses lois, dont la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé.

L’entrée en vigueur des dispositions de la loi s’échelonnera sur une période de trois ans, soit de 2022 à 2024. Parmi les obligations qui seront effectives à compter du 22 septembre 2022, certaines toucheront les professionnels, incluant les avocats. Par conséquent, le Barreau du Québec invite ses membres à se préparer à ces changements.

Notamment, les obligations suivantes seront en vigueur à compter du 22 septembre prochain :

• Investir de la responsabilité de la protection des renseignements personnels la personne qui détient la plus haute autorité dans l’entreprise et publier ses coordonnées. Il est également possible de déléguer cette fonction;
• Mettre en place et déployer un plan de gestion des incidents de confidentialité. Par incident de confidentialité, on entend l’accès, l’utilisation ou la communication non autorisés par la loi d’un renseignement personnel, la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
• Constituer un registre des incidents de confidentialité qui devra être communiqué à la Commission d’accès à l’information (CAI) sur demande. L’organisation est tenue de divulguer tout incident menaçant la confidentialité de données confidentielles ou une cyberattaque. Toutes les personnes potentiellement touchées par la faille de sécurité devront donc être avisées de même que la CAI si un risque de préjudice sérieux est relié à l’incident touchant les renseignements personnels.
• Divulguer toute banque de caractéristiques ou de mesures biométriques à la CAI au moins 60 jours avant sa mise en service; également, divulguer la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques.

Il est également recommandé, à titre de bonne pratique, de constituer et de mettre à jour un inventaire des renseignements personnels recueillis et conservés par le cabinet ou l’organisation.

D’autres dispositions de la loi touchant les avocats entreront en vigueur en 2023 et 2024. Le Barreau du Québec communiquera ces changements à venir aux membres de l’Ordre en temps opportun.

De plus, le Barreau du Québec proposera dans les prochaines semaines des formations sur la nouvelle Loi 25 et la protection des renseignements personnels. Restez à l’affût!