Contexte réglementaire
La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est pleinement en vigueur depuis septembre 2024. Les organisations québécoises doivent avoir nommé un responsable de la protection des renseignements personnels, publié une politique de confidentialité, mis en place des processus de gestion des incidents et des évaluations des facteurs relatifs à la vie privée.
Les organisations qui opèrent aussi au fédéral doivent composer avec la PIPEDA et anticiper le projet de loi C-27 (CPPA, AIDA).
En cybersécurité, le Cadre de cybersécurité du MCN et les orientations du gouvernement du Québec ajoutent une couche supplémentaire d'exigences.
Points clés couverts
Loi 25 pleinement en vigueur depuis septembre 2024
Responsable de la protection des renseignements personnels obligatoire
Évaluations des facteurs relatifs à la vie privée (EFVP)
Notification d'incidents à la CAI dans les 72 heures
PIPEDA pour les activités interprovinciales et fédérales
Projet de loi C-27 (CPPA, AIDA) en préparation
Domaines évalués
Protection des données
Loi 25, PIPEDA
Gouvernance IA
Loi 25 (IA), C-27 (AIDA)
Cybersécurité
NIST, ISO 27001