Votre organisation est-elle prête pour septembre 2022 ?
La croissance exponentielle de la quantité de données personnelles recueillies commandait une intervention du législateur afin de redonner aux citoyens le contrôle sur la collecte et l’utilisation des données les concernant.
Aussi, l’Assemblée nationale du Québec a-t-elle adopté, le 21 septembre 2021, le projet de loi no 64 - Loi modernisant des dispositions législatives en matière de protection des renseignements personnels qui a pour but de revoir le cadre législatif applicable à la protection des renseignements personnels.
En pratique, le gouvernement du Québec a entrepris une réforme majeure, inspirée du modèle européen, qui influera énormément sur les pratiques des entreprises quant à la collecte et à la conservation de renseignements personnels sur leurs clients, employés, fournisseurs, partenaires, etc.
Même si la mise en place de cette réforme s’échelonnera de 2022 à 2024, le temps presse pour toutes les entreprises, car la non-conformité aux nouvelles exigences les expose à des amendes particulièrement salées. Une première série de modifications entrera en vigueur dans quelques semaines à peine.
La personne ayant la plus haute autorité au sein de l’entreprise devra veiller à assurer le respect et la mise en œuvre de la Loi, ce qui signifie qu’elle exercera la fonction de responsable de la protection des renseignements personnels (RPRP). Elle pourra déléguer cette responsabilité à une autre personne, en tout ou en partie, et par écrit. Le titre et les coordonnées du RPRP devront être publiés sur le site web de l’entreprise. Si elle n’a pas de site web, ils devront être accessibles par tout autre moyen approprié.
Les entreprises seront obligées à 1) former un comité sur l’accès à l’information et la protection des renseignements personnels (seuls les organismes publics seront concernés par cette disposition), 2) aviser la CAI et toutes les personnes touchées par un incident de confidentialité relatif à un renseignement personnel présentant un risque sérieux de préjudice, et 3) tenir un registre susceptible d’être fourni à la CAI qui voit ses fonctions, pouvoirs et rôles modifiés et qui a désormais le pouvoir d’élaborer des lignes directrices.
Les entreprises devront adopter et mettre en œuvre des politiques et des pratiques relatives à la gouvernance encadrant les renseignements personnels des données et fournir des informations détaillées sur celles-ci.
De nouvelles obligations de transparence les contraindront à publier les règles encadrant la gouvernance relative aux renseignements personnels, à rédiger, dans un langage clair et simple, une politique de confidentialité si elles recueillent de tels renseignements par un moyen technologique et à aviser les personnes concernées des mises à jour de la politique.
En pratique, la collecte de renseignements personnels sera assujettie à l’obligation de préciser pour qui une entreprise recueille ces renseignements, les moyens utilisés ainsi que les droits d’accès, de rectification et de retrait du consentement des clients.
Les entreprises devront aussi informer leurs clients lorsque les renseignements personnels les concernant seront utilisés dans le but de prendre des décisions fondées sur leur traitement automatisé. Les clients pourront alors demander quels sont les renseignements utilisés, les principaux facteurs justificatifs des décisions et même la source utilisée pour obtenir les renseignements.
De plus, lorsque les entreprises recourront à une technologie d’identification, de localisation ou de profilage, elles devront en informer leurs clients, incluant les moyens offerts pour activer ces fonctions.
La destruction des renseignements personnels ou leur anonymisation (c’est-à-dire retrancher d’un ensemble de renseignements relatifs à une personne ceux qui permettent de l’identifier) sera obligatoire lorsque les fins pour lesquelles ils auront été recueillis seront atteintes. Il en va de même de la réalisation d’une évaluation des facteurs relatifs à la vie privée dans certaines situations ainsi que de la prévision, par défaut, des paramètres assurant le plus haut niveau de confidentialité d’un produit ou d’un service technologique offert au public.
En plus de nouvelles règles concernant le consentement, la Loi reconnaîtra un droit à la désindexation (c’est-à-dire un droit à l’effacement ou à l’oubli).
En 2024, la dernière étape de la réforme permettra la portabilité des renseignements personnels qui permettra aux clients de demander d’obtenir les renseignements collectés à leur sujet dans un format déterminé.
La CAI s’est vu attribuer le pouvoir d’imposer des sanctions en cas de 1) non-respect de l’obligation de signaler une violation de données, 2) non-respect de la protection des renseignements personnels, 3) collecte, utilisation ou diffusion illicites de renseignements, et 4) non-respect de l’obligation d’informer les personnes. Concrètement, elle peut contraindre les entreprises à modifier leurs pratiques et leur imposer des délais pour ce faire.
À compter de septembre 2023, la CAI pourra imposer des sanctions administratives pécuniaires, soit des amendes maximales de 50 000 $ pour les particuliers et, pour les entreprises, du montant le plus élevé entre 10 000 000 $ ou 2 % de leur chiffre d’affaires à l’échelle mondiale pour l’année précédente. La nature du délit pourrait également justifier une poursuite pénale assortie d’une amende maximale de 10 000 $ pour les particuliers et, pour les entreprises, du montant le plus élevé entre 25 000 000 $ ou 4 % de leur chiffre d’affaires à l’échelle mondiale. Ces sanctions seront doublées en cas de récidive.
La nature, l’ampleur et la complexité de cette réforme obligent les entreprises à prendre sans délai des mesures concrètes pour atteindre les buts visés par la Loi quant à l’identification, la destruction, l’anonymisation et la protection des renseignements personnels.
L’approche la plus prudente consiste de nommer rapidement le RPRP et d’évaluer le niveau de conformité de l’entreprise afin d’élaborer un plan d’action à mettre en œuvre dans les meilleurs délais.
Il faut identifier les risques juridiques auxquels l’entreprise est exposée, les lacunes à corriger (par exemple, des politiques et procédures internes à élaborer) ainsi que les meilleures pratiques à adopter.
Concrètement, il s’agit de déterminer 1) si l’entreprise recueille effectivement des renseignements personnels et, le cas échéant, 2) où et de quelle façon elle les conserve et les utilise, 3) si des tiers y ont accès, 4) si elle s’est dotée d’une politique et de mesures de protection des renseignements personnels qu’elle détient, 5) si elle utilise des technologies efficaces et sécuritaires, et 6) si elle a mis en place des moyens de contrôle appropriés ainsi que des protocoles pour gérer les incidents de sécurité. Il faut également effectuer un inventaire rigoureux et complet des contrats, ententes, mandats, formulaires de consentement, etc.
Une fois l’état de situation et l’inventaire complétés, il faut analyser rigoureusement les renseignements personnels détenus et évaluer leur degré de sensibilité afin de déterminer le niveau de protection requis. Il en va de même des technologies qui doivent impérativement satisfaire aux standards de sécurité les plus élevés.
Dépendamment de sa situation particulière, une entreprise doit établir, réviser ou adopter un cadre de gouvernance des renseignements personnels traitant, entre autres, des incidents de confidentialité, de l’évaluation des facteurs relatifs à la vie privée, du calendrier de conservation, des droits des personnes concernées, etc.
Finalement, toute entreprise avisée et responsable devrait se faire un devoir de mettre en place un programme de formation et de sensibilisation des employés à la nouvelle loi.
Les entreprises vont devoir changer la façon dont elles collectent et gèrent les renseignements personnels, car la réforme en cours d’implantation modifie radicalement les lois québécoises sur la protection de ces renseignements tant dans le secteur privé que dans le secteur public. Le temps où des données pouvaient être conservées « à vie » est fini.
Ne tardez surtout pas ! Pour bien comprendre les changements majeurs qui s’en viennent ainsi que les exigences pour s’y conformer, faites appel à des professionnels expérimentés. Compte tenu de la lourdeur des conséquences pécuniaires auxquelles s’exposent les entreprises en cas de non-conformité, leur image de marque et leur réputation sont aussi en jeu. //
Note de la rédaction. Ce texte a été écrit, révisé et mis en pages par Conseil et Investissement Fonds FMOQ inc. et ses mandataires. Il n’engage que ses auteurs.