LOI 25 – QUE FAUT-IL SAVOIR DE SON ADOPTION ET SON ENTRÉE EN VIGUEUR?
Loi 25 – Que faut-il savoir de son adoption
et son entrée en vigueur?
Vanessa Deschênes, Élisabeth Lesage-Bigras et Patrick Laverty-Lavoie [I]
ROBIC, S.E.N.C.R.L
Avocats, agents de brevets et de marques de commerce
Le 22 septembre 2021, l’Assemblée nationale adoptait le Projet de Loi n° 64 Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« PL 64 »), lequel, rappelons-le, avait été déposé le 12 juin 2020 afin de moderniser, entre autres, la Loi sur la protection des renseignements personnels dans le secteur privé(« LPRPSP »). Le but de cette modernisation était d’instaurer un régime plus strict, notamment en réponse aux brèches de confidentialité fortement médiatisées des dernières années, et afin d’emboîter le pas quant à la mise en place de standards plus élevés tels qu’instaurés par le Règlement général pour la protection des données (« RGPD ») en Europe. Concrètement, les impacts pratiques de cette réforme s’échelonneront sur une période de trois ans, l’entrée en vigueur de la loi (« Loi 25 ») se faisant de façon progressive sur trois ans, la première date butoir étant le 22 septembre 2022.
Pour en savoir davantage sur le PL 64, vous pouvez consulter notre bulletin : Projet de loi n° 64 – Comment la modernisation des obligations en matière de protection des renseignements personnels affectera-t-elle votre entreprise
I. Dispositions entrées en vigueur le 22 septembre 2022
1. Désignation d’un responsable de la protection des renseignements personnels
Une des premières obligations qui est entrée en vigueur en 2022 concerne la nomination d’un responsable de la protection des renseignements personnels. En effet, le nouvel article 3.1 LPRPSP spécifie que toute entreprise détenant des renseignements personnels est responsable de leur protection[1]. À cet effet, le responsable est d’office la personne « ayant la plus haute autorité[2] » au sein de l’entreprise, à moins que celle-ci ne délègue par écrit ses fonctions, en tout ou en partie, à toute autre personne. Alors que le PL 64 autorisait seulement une délégation à l’interne, la version finale adoptée dans la Loi 25 permet dorénavant à l’entreprise de déléguer à « toute personne », ouvrant désormais la porte à l’externalisation de cette responsabilité.
Qu’est-ce que cela implique pour l’entreprise ? Si vous faites déjà affaire dans d’autres provinces canadiennes, il y a fort à parier que vous avez déjà, au sein de votre entreprise, une personne désignée responsable des questions relatives à la protection des renseignements personnels, cette exigence étant déjà présente dans la loi fédérale ainsi que dans les lois des provinces de l’Alberta et de la Colombie-Britannique. Dans le cas contraire, vous devez non seulement désigner une personne responsable d’assurer le respect des obligations de l’entreprise et la mise en place des diverses pratiques et politiques encadrant la gestion et la protection des renseignements personnels, mais vous devez également publier le titre et les coordonnées de ce responsable sur le site Internet de votre entreprise ou, si vous ne détenez pas de site Internet, les rendre « accessibles par tout autre moyen approprié[3] ». Il est important de noter que le responsable doit être directement impliqué dans diverses activités de l’entreprise ayant un impact sur les renseignements personnels. À titre d’exemple, l’article 3.7 mentionne que le responsable de la protection des renseignements personnels devra être consulté lors de l’évaluation, par l’entreprise, du risque de préjudice sérieux lors d’un incident de confidentialité. Dans cette optique, si vous avez déjà un responsable désigné, il est important de vous assurer de revoir ses rôles et responsabilités ainsi que ceux d’autres joueurs clés au sein de votre organisation.
2. Programme de gestion des incidents de confidentialité
Comme c’est déjà le cas en Alberta ainsi qu’en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »), la Loi 25 instaure un nouveau régime de notification en cas d’incident de confidentialité impliquant des renseignements personnels si certains critères sont rencontrés. Par incident de confidentialité, on entend l’accès à, l’utilisation ou la communication non autorisée par la loi d’un renseignement personnel, la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Parmi les critères à prendre en considération pour l’obligation ou non de notifier, mentionnons, évidemment, la présence de renseignements personnels, ainsi que le risque de « préjudice sérieux » d’un tel incident. Ainsi, si l’incident vise des renseignements personnels et qu’il présente un risque qu’un préjudice sérieux soit causé, l’entreprise devra notifier la Commission d’accès à l’information (« CAI ») ainsi que l’individu concerné.
Il est important de noter que la loi fédérale ainsi que la loi albertaine, plutôt que « risque de préjudice sérieux », utilisent le vocable « risque réel de préjudice grave ». À noter que le nouveau projet de règlement sur les incidents de confidentialité, publié à la Gazette officielle le 22 juin 2022[4], ne définit pas l’expression et ne donne pas d’indication précise sur l’évaluation du « risque de préjudice sérieux ». Ainsi, il sera intéressant de suivre l’évolution de cette nouvelle disposition, notamment à travers les décisions ou ordonnances de la Commission d’accès à l’information, afin de préciser les nuances entre les deux formulations quant à l’évaluation du risque.
Qu’est-ce que cela implique pour l’entreprise ? Concrètement, une entreprise assujettie à la LPRPDE devrait déjà avoir en place les mécanismes permettant de répondre à cette nouvelle exigence. En effet, les ajouts proposés concernant l’obligation d’aviser et de maintenir un registre, ainsi que l’implication du responsable de la protection des renseignements personnels, sont très similaires à ce qui a été introduit en 2018 dans la loi fédérale.
Dans le cas contraire, si votre entreprise n’est pas déjà conforme à la LPRPDE, vous devez créer un registre des incidents et des procédures internes en vue, non seulement de traiter l’incident, mais également d’élaborer des critères afin de déterminer les cas où une notification doit être faite.
Dans tous les cas, le responsable de la protection des renseignements personnels doit collaborer de façon étroite avec le responsable de la sécurité de l’information au sein de votre entreprise afin de s’assurer de la cohérence des processus internes. Il y a fort à parier que vos équipes de sécurité de l’information possèdent déjà des registres des incidents de sécurité ou des plans d’intervention en cas d’incident.
II. Dispositions entrant en vigueur le 22 septembre 2023
3. Mise en œuvre de sanctions administratives et pénales
Dès 2023, les nouvelles sanctions administratives et pénales entreront officiellement en vigueur. S’agissant probablement d’un des changements les plus drastiques de la réforme, les entreprises ne respectant pas les dispositions en matière de protection des renseignements personnels pourront être assujetties à de lourdes sanctions administratives et pénales. En effet, les amendes administratives pourront atteindre 10 millions de dollars ou 2 % du chiffre d’affaires mondial de l’entreprise selon le montant le plus élevé[5]. En matière pénale, les amendes visées sont encore plus importantes, et l’entreprise pourrait être forcée de payer entre 15 000 et 25 millions de dollars ou 4 % de son chiffre d’affaires mondial, toujours selon le montant le plus élevé[6].
Enfin, l’article 93.1 LPRPSP prévoit aussi que l’entreprise contrevenant aux dispositions du Code civil du Québec en matière de protection de la vie privée, et ce, de façon intentionnelle ou par une faute qualifiée de lourde, pourrait se voir condamnée à payer des dommages punitifs d’au moins mille dollars[7].
Il est à noter qu’en ce qui concerne les sanctions administratives pécuniaires, les modifications apportées par la Loi 25 permettront à une personne (y compris une personne morale) de reconnaître une violation à la loi et de s’engager, auprès de la CAI, à prendre les mesures nécessaires afin de « remédier au manquement ou en atténuer les conséquences ». Dans une telle situation, si la CAI accepte l’engagement de l’entreprise, cette dernière ne pourra faire l’objet d’une sanction pécuniaire administrative pour les actes ou omissions décrits dans cet engagement. Cela n’est pas sans rappeler les accords de conformité en vertu de la LPRPDE, lesquels ont été introduits lors de la dernière réforme de la loi en 2014 via le projet de loi S-4.
Qu’est-ce que cela implique pour l’entreprise ? Les lourdes pénalités instaurées par le nouveau régime demandent que le respect des dispositions en matière de protection des renseignements personnels devienne une priorité pour l’ensemble des entreprises œuvrant au Québec. Concrètement, il pourrait être judicieux de revoir vos évaluations de risques d’entreprises, celles-ci ayant potentiellement un impact sur vos assurances ou, à tout le moins, sur le montant de la couverture d’assurance que vous désirez obtenir. Les entreprises auront ainsi jusqu’au 22 septembre 2023 pour se conformer à la nouvelle loi et se mettre à niveau avant de risquer de se voir assujetties à ces pénalités.
4. Obligation de mettre en place des politiques encadrant la protection des renseignements personnels
Comme nous l’avions mentionné dans nos articles précédents[8], l’un des aspects importants de cette réforme porte sur la nécessité pour l’entreprise de mettre en place des pratiques et politiques robustes en matière de protection des renseignements personnels et d’ainsi établir un cadre de gouvernance selon les meilleurs standards. En effet, rappelons que l’article 3.2 LPRPSP requiert l’instauration de politiques portant, notamment, sur la conservation et la destruction des renseignements personnels, sur le processus de traitement des plaintes ainsi que sur le rôle et les responsabilités des employés vis-à-vis la gouvernance des renseignements personnels détenus par l’entreprise[9]. Contrairement à ce qui avait été initialement prévu dans le PL 64, le texte de loi adopté n’oblige plus la publication des politiques et pratiques sur les sites Internet des entreprises, mais fait maintenant plutôt mention de la nécessité, pour l’entreprise, de publier « des informations détaillées au sujet de ces politiques et de ces pratiques ».
Qu’est-ce que cela implique pour l’entreprise ? Les pratiques et politiques de chaque entreprise en matière de protection des renseignements personnels devront, en plus d’être approuvées par le responsable de la protection des renseignements personnels, être « proportionnées à la nature et à l’importance des activités de l’entreprise[10] ». Les entreprises devront par ailleurs publier sur leur site Internet certaines informations sur ces politiques et pratiques, en termes qualifiés de « simples et clairs » par l’article 3.2 al. 1 LPRPSP [11]. Dans le cas où une entreprise n’aurait pas de site Internet, elle devra rendre ces informations disponibles par tout autre moyen approprié[12].
5. Obligation de transparence et d’information
Comme nous l’avons déjà mentionné, les entreprises devront publier sur leurs sites Internet de l’information détaillée quant à certaines de leurs politiques et pratiques, de même qu’une politique de confidentialité[13]. Toutefois, ces informations ne sont pas les seules devant être communiquées aux individus.
Parmi les modifications dignes de mention apportées par la Loi 25 et ses sous-amendements, rappelons désormais la nécessité, pour l’entreprise, de divulguer lorsqu’applicable le « nom du tiers pour qui la collecte est faite, du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements aux fins visées […] et de la possibilité que les renseignements soient communiqués à l’extérieur du Québec[14] ».
Qu’est-ce que cela implique pour l’entreprise ? Concrètement, les entreprises voudront sans doute apporter certains ajustements à leur politique de confidentialité actuelle afin de refléter ces nouvelles obligations. Toutefois, force est de constater qu’il pourrait, dans certains cas, être ardu de mettre le tout en pratique, ne serait-ce que du fait que les équipes détenant ces informations n’ont pas à interagir entre elles. À titre d’exemple, si vos équipes TI décident d’utiliser un nouveau fournisseur de services, lequel héberge des données dans une nouvelle juridiction, comment l’équipe responsable de votre site Internet et de la mise à jour de votre politique de confidentialité en sera-t-elle informée ? Dans les faits, vous devrez sans doute effectuer une évaluation des facteurs relatifs à la vie privée, et aurez normalement préalablement identifié ce besoin de mise à jour. Cet exemple illustre toutefois bien à quel point il peut y avoir un monde entre le texte de loi et la mise en conformité de votre entreprise.
6. Obligation de procéder à des évaluations de facteurs relatifs à la vie privée
Comme nous vous l’avions annoncé dans notre précédente publication, le nouveau régime obligera les entreprises à effectuer des évaluations de facteurs relatifs à la vie privée. En vertu de l’article 3.3 LPRPSP (telle qu’amendée en commission parlementaire), tout nouveau projet « d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels[15] » devra faire l’objet de cette évaluation.
Cette évaluation, à effectuer avant le début du projet et sous la supervision du responsable de la protection des renseignements personnels, pourra être « proportionnée à la sensibilité des renseignements concernés, à la finalité de l’utilisation, à leur quantité et à leur support[16] ».
Qu’est-ce que cela implique pour l’entreprise ? Tout nouveau projet entrant dans les catégories énoncées par l’article doit faire l’objet de cette évaluation. Concrètement, cela signifie que des processus et procédures devront être mis en place au sein de votre organisation afin de vous assurer et pouvoir démontrer qu’une telle analyse a été effectuée et que le responsable nommé au sein de l’organisation afin d’assurer la protection des renseignements personnels a été consulté dès le début du projet afin de pouvoir intervenir à tout moment pour suggérer les mesures appropriées. Par ailleurs, il est important de mentionner que l’article 3.4 LPRPSP permet au responsable de la protection des renseignements personnels d’instaurer certaines mesures de protection applicables aux projets, et ce, à toute étape de leur développement[17].
7. Nouvelles exigences en matière de consentement
La Loi 25 apporte aussi plusieurs modifications en matière de consentement et réitère la volonté du législateur d’en faire un principe fondamental. En premier lieu, il sera dorénavant important de s’assurer de ne pas collecter ou autrement utiliser les renseignements personnels d’enfants de moins de 14 ans, à moins d’avoir le consentement des titulaires de l’autorité parentale ou de leurs tuteurs[18].
Le nouveau régime semble accepter, dans certaines circonstances, l’emploi d’un consentement implicite. En effet, l’article 8.3 LPRPSP énonce que, dès lors que les utilisateurs fournissent leurs renseignements conformément aux dispositions de l’article 8 LPRPSP (voir section 4 du présent article), ils « consent[ent] à leur utilisation et à [leur] communication aux fins visées[19] » dans les politiques instaurées par l’entreprise. Il est à noter, toutefois, qu’une entreprise ne saurait se contenter d’un consentement implicite lorsque les renseignements en question sont des renseignements dits « sensibles »[20].
Malgré les nombreuses inquiétudes de l’industrie quant au fait de demander un consentement distinct de toute autre information lorsque la demande est faite par écrit[21], il est important de souligner que cette exigence présente dès la première mouture du PL 64 est demeurée inchangée et devra donc être mise en application par les entreprises.
Enfin, l’article 12 LPRPSP mentionne que les renseignements personnels ne peuvent être utilisés au sein de l’entreprise à des fins autres que celles pour lesquelles ils ont été collectés, à moins que l’utilisateur y consente[22]. Toutefois, l’entreprise pourra utiliser ces renseignements « à d’autres fins », et ce, dans certains cas, sans le consentement de l’utilisateur[23].
Qu’est-ce que cela implique pour l’entreprise ? Concrètement, outre les considérations théoriques, ces changements obligent les entreprises à se mettre à niveau. Non seulement doivent-elles s’assurer que leurs systèmes permettent de collecter les bons consentements auprès des bonnes personnes (c’est-à-dire des tuteurs, des enfants de plus de 14 ans ou des titulaires de l’autorité parentale), mais elles devront potentiellement s’assurer que le consentement implicite ou le partage des renseignements personnels sans le consentement des utilisateurs est fait de façon légale. Ainsi, une révision des pratiques internes en la matière est fortement recommandée.
8. Renforcement des exigences en matière de transferts transfrontaliers de renseignements personnels
La Loi 25 entraine d’importants changements en matière de transferts transfrontaliers de renseignements personnels. En fait, le nouvel article 17 LPRPSP impose aux entreprises d’effectuer une évaluation des facteurs relatifs à la vie privée avant la communication de tout renseignement personnel à l’extérieur de la province[24]. Une fois l’évaluation complétée, la communication ne peut être effectuée que si les résultats démontrent que « le renseignement bénéficierait d’une protection adéquate, notamment au regard des principes de protection de renseignements personnels généralement reconnus[25] ».
Par ailleurs, il est important de rappeler que le PL 64, tel que déposé en juin 2020, prévoyait que ce transfert ne pouvait se faire que si le territoire visé offrait un niveau de protection équivalent. Or, en raison de nombreuses préoccupations des entreprises, la version finale adoptée fait plutôt référence à une protection dite « adéquate », ce qui, d’ailleurs, est similaire aux termes utilisés dans le RGPD, eu égard aux principes de protection de la vie privée généralement reconnus.
Qu’est-ce que cela implique pour l’entreprise ? Toute communication de renseignements personnels hors province doit être analysée par l’entremise d’une évaluation des facteurs relatifs à la vie privée en plus d’être documentée au sein d’une entente écrite détaillant, entre autres, les conditions et modalités applicables afin « d’atténuer les risques identifiés dans le cadre de cette évaluation[26] ». Il est important de mentionner que si l’entreprise engage un sous-traitant se trouvant à l’extérieur du Québec afin de collecter, communiquer ou conserver des renseignements personnels en son nom, celui-ci est soumis aux mêmes obligations mentionnées ci-haut[27].
9. Droit à la désindexation
En plus des droits d’accès et de rectification déjà existants en vertu de la LPRPSP, la Loi 25 introduit un nouveau droit à la désindexation, à la réindexation et à la cessation de la diffusion. L’article 28.1 LPRPSP entrera en vigueur le 22 septembre 2023.
Le droit à la désindexation est le premier du genre au Québec et partage des similarités avec le « droit à l’oubli » prévu au RGPD[28]. Le droit à la désindexation permet à une personne concernée d’exiger, lorsque la diffusion d’un renseignement personnel contrevient à une loi ou à une ordonnance judiciaire, qu’une entreprise cesse de diffuser ce renseignement personnel ou qu’elle désindexe tout hyperlien rattaché au nom de cette personne et qui donne accès au renseignement par un moyen technologique[29]. En outre, une personne peut présenter une telle demande de désindexation à une entreprise lorsque : « 1° la diffusion de ce renseignement lui cause un préjudice grave relatif au droit au respect de sa réputation ou de sa vie privée ; 2° ce préjudice est manifestement supérieur à l’intérêt du public de connaître ce renseignement ou à l’intérêt de toute personne de s’exprimer librement ; 3° la cessation de la diffusion, la réindexation ou la désindexation demandée n’excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice[30] ». En pratique, plutôt que de viser la suppression du contenu qui fait l’objet d’une recherche en ligne, ce nouveau droit vise plutôt la suppression du résultat de la recherche renvoyant à ce contenu. Dans le même ordre d’idées, la Loi 25 donne aussi à la personne concernée le droit d’exiger la réindexation dans les mêmes circonstances où cette personne peut exiger la cessation de la diffusion ou la désindexation des hyperliens.
Qu’est-ce que cela implique pour l’entreprise ? Concrètement, les entreprises devront, à partir de l’entrée en vigueur de l’article 28.1, recevoir, traiter et répondre à des demandes découlant de ce droit à la désindexation, la réindexation et à la cessation de la diffusion. À cet effet, les articles 30, 32, et 34 de la LPRPSP, qui s’appliquent à l’exercice du droit ci-haut mentionné, et avec les adaptations nécessaires, précisent des modalités à respecter pour l’envoi des demandes par les individus concernés ainsi que pour les réponses à ces mêmes demandes[31]. Ainsi, selon l’article 32 de la LPRPSP, le responsable de la protection des renseignements personnels de l’entreprise doit, au plus tard dans les 30 jours de la réception de la demande, répondre par écrit et avec diligence à cette dernière. Lorsque l’entreprise acquiesce à une telle demande, le responsable de la protection des renseignements personnels doit aussi attester, dans sa réponse écrite, de la cessation de diffusion du renseignement personnel, de la désindexation ou de la réindexation de l’hyperlien[32]. À la lumière de ce qui précède, il serait vigilant pour les entreprises d’établir des procédures internes afin d’assurer le traitement adéquat des demandes qui seront présentées en vertu du droit à la désindexation.
III. Dispositions entrant en vigueur le 22 septembre 2024
10. Adoption d’un droit à la portabilité des données
La Loi 25 introduit, avec l’ajout de l’article 27 à la LPRPSP, un droit à la portabilité des données qui entrera en vigueur le 22 septembre 2024. Ce nouveau droit à la portabilité des données, qui peut être interprété comme une extension au droit d’accès existant en vertu des dispositions présentement en vigueur dans la LPRPSP, permet aux personnes concernées de demander la communication d’un renseignement personnel informatisé « sous la forme d’une transcription écrite et intelligible[33] ». La communication de ce renseignement est faite dans un « format technologique structuré et couramment utilisé », lorsque cela ne soulève pas de « difficultés sérieuses » et que le renseignement personnel a été recueilli auprès de cette personne concernée, par opposition à un renseignement créé ou inféré à partir d’un autre renseignement personnel concernant cette personne[34]. En effet, l’article 27 stipule que « [t]oute personne qui exploite une entreprise et détient un renseignement personnel sur autrui doit, à la demande de la personne concernée, lui en confirmer l’existence et lui donner communication de ce renseignement en lui permettant d’en obtenir une copie[35]. » L’article 27 énonce au surplus que « [c]e renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement[36] ». Ainsi, les personnes qui formulent une demande d’accès à une entreprise peuvent, selon le droit à la portabilité, exiger que le ou les renseignements personnels soient communiqués, à leur demande, à toute personne ou tout organisme autorisé. Par conséquent, ces communications permettront d’accroître la portabilité des renseignements personnels des individus.
Qu’est-ce que cela implique pour l’entreprise ? En pratique, les entreprises devront recevoir, traiter et répondre aux demandes de communication effectuées en vertu du droit à la portabilité. Puisque le législateur québécois a précisé un format à employer pour la communication de renseignements personnels informatisés, nous croyons que les entreprises devraient envisager d’offrir de la formation structurée à leurs employés, notamment afin de mieux les outiller pour répondre adéquatement, et dans le format approprié, aux demandes formulées en vertu du droit à la portabilité. Cette formation devrait idéalement s’effectuer conjointement avec l’élaboration et la mise en œuvre de procédures et de pratiques appropriées en matière de droits d’accès, le tout conformément à la LPRPSP et aux nouvelles dispositions découlant de l’entrée en vigueur de la Loi 25 .
Certes, les changements entrainés par cette réforme sont majeurs et demanderont une certaine mise à niveau des pratiques internes de la plupart des entreprises. Toutefois, l’échelonnement de l’entrée en vigueur de la réforme permet aux entreprises de bénéficier d’une période de transition. Ce faisant, celles-ci ont l’opportunité d’effectuer les modifications internes nécessaires à leur conformité, et ce, de façon graduelle. Vous souhaitez être accompagné(e) pour le rehaussement de vos pratiques en matière de protection des renseignements personnels ? Notre secteur Protection des données, vie privée et cybersécurité est là pour vous appuyer !
[1] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF1
[2] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF2
[3] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF3
[4] Projet de règlement sur les incidents de confidentialité, 29 juin 2022, Gazette officielle du Québec, Partie 2, pp. 3935 et suiv.
[5] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF4
[6] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#_ftn5
[7] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF6
[8] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF7
[9] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF8
[10] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF9
[11] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF10
[12] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF11
[13] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF12
[14] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF13
[15] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF14
[16] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF15
[17] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF16
[18] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF17
[19] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF18
[20] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF19
[21] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF20
[22] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF21
[23] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF22
[24] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF23
[25] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF24
[26] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF25
[27] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF26
[28] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF27
[29] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF28
[30] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF29
[31] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF30
[32] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF31
[33] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF32
[34] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF33
[35] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF34
[36] https://www.robic.ca/publications/projet-de-loi-n-64-que-faut-il-savoir-de-son-adoption-et-son-entree-en-vigueur/#RÉF35
Autres articles à lire sur le sujet:
- Projet de loi N.64 – Que faut-il savoir de son adoption et son entrée en vigueur
- Nouveau projet de loi en matière de protection des renseignements personnels
- Projet de loi n°19 : une petite révolution dans le domaine des données médicales
- Se dire conforme c’est bien, mais pouvoir le démontrer c’est encore mieux! : Regard sur le Projet de loi 64 et la notion de programme de gestion de la protection de la vie privée
- Projet de loi n°64 – Comment la modernisation des obligations en matière de protection des renseignements personnels affectera-t-elle votre entreprise?
- Projet de loi C-11 et renseignements personnels : le fédéral enclenche son processus de réforme