Projet de loi nº 25 : les entreprises québécoises sont-elles prêtes pour des changements majeurs?

Pourquoi ce projet de loi est-il important?

Ce projet de loi représente un changement majeur pour les entreprises québécoises en matière de gestion et de protection des renseignements personnels. Voici quelques-unes des principales dispositions qui, selon nous, entraîneront les répercussions les plus importantes sur les activités des entreprises :

• Amendes plus élevées : Le projet de loi fixe de nouvelles infractions pénales assorties d’amendes élevées (jusqu’à 4 % du chiffre d’affaires annuel) et permet à la Commission d’accès à l’information (CAI) d’imposer aux entreprises des sanctions pécuniaires administratives pouvant atteindre : i) 10 000 000 $ CA, ou ii) le montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice précédent si ce dernier montant est plus élevé.
• Exigences plus strictes en matière de protection des renseignements personnels : Ces exigences comprennent, entre autres, l’exécution d’évaluations des facteurs relatifs à la vie privée / EFVP obligatoires, l’exécution d’évaluations pour la communication de renseignements personnels à l’extérieur du Québec afin de maintenir une protection adéquate, un consentement « distinct » et « exprès » et de nouveaux droits individuels tels que la transférabilité des données.

Les entreprises québécoises sont-elles prêtes à se conformer au projet de loi 25?

En collaboration avec l’Association canadienne des compagnies d’assurances de personnes (ACCAP) et la Fédération des chambres de commerce du Québec (FCCQ), PwC Canada a mené un sondage en mai 2021 pour comprendre le degré de préparation, la sensibilisation et les effets escomptés des changements législatifs proposés dans le projet de loi 25. Nous avons interrogé près de 75 décideurs de haut rang au Québec responsables des enjeux de confidentialité et de données dans des secteurs et des entreprises de différentes tailles.

Nous vous présentons ci-dessous les résultats du rapport et les points saillants :

• Seulement 35 % des entreprises prévoient d’être entièrement prêtes à se conformer
  
• Près de quatre entreprises sur dix, en particulier les petites et moyennes entreprises, déclarent ne pas comprendre toute l’ampleur des répercussions du projet de loi 25 sur leurs activités et n’ont pas encore mis en place de mécanismes robustes de protection des renseignements personnels
  
• Les entreprises s’attendent à devoir doubler les équipes chargées de la protection des renseignements personnels pour se conformer
  
• Pour la moitié des répondants, ce sont les nouvelles obligations en matière de transfert de données à l’extérieur du Québec qui auront le plus d’incidence sur leurs activités
  

Téléchargez le PDF

Comment se préparer?

Les grandes entreprises du Québec travaillent actuellement à la mise en place de programmes pour se préparer, tandis que de nombreuses petites et moyennes entreprises sont freinées par les coûts nécessaires pour se conformer dans une conjoncture économique déjà difficile.

Nous avons déjà constaté avec le Règlement général sur la protection des données (RGPD) que les entreprises qui adoptent une approche de la protection des renseignements personnels stratégique centrée sur le client plutôt qu’une approche axée uniquement sur la conformité sont en mesure de tirer parti de la situation. Investir dans les domaines clés reposant sur la confiance dans les données (découverte, gouvernance, protection et minimalisation des données) peut permettre d’améliorer l’expérience client et d’instaurer la confiance nécessaire pour dégager la valeur des données et stimuler l’innovation et le développement économique. Cela nécessite toutefois une réflexion stratégique, le soutien de la direction et les fonds et ressources nécessaires pour y parvenir.

Mots clés

• Protection des données
• Confidentialité des données