Il se passe peu de semaines sans qu’on entende parler de fuites de renseignements personnels. En fait, ceux-ci se retrouvent un peu partout, tant au gouvernement que chez les employeurs, auprès d’agences de crédit ou encore auprès des commerçants.
Le 21 septembre 2021, l’Assemblée nationale du Québec a adopté la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels1. Anciennement appelé projet de loi 64, il est maintenant possible d’y référer par un nom plus court, soit la Loi 25.
Cette Loi prévoit une entrée en vigueur progressive des nouvelles obligations aux dates suivantes : le 22 septembre 2022, 2023 et 2024.
Un résumé de la Loi 25
La Loi 25 s’applique à la protection des renseignements personnels dans le secteur privé (LPRSP) au Québec. Cette Loi s’applique aux renseignements personnels, quelle que soit leur forme : écrite, graphique, sonore, visuelle, informatisée ou autre. La personne exploitant une entreprise visée par la loi doit assurer la confidentialité des documents qu’elle détient.
D’ailleurs, sauf les exceptions prévues par la loi, les renseignements personnels ne peuvent être communiqués à autrui et toute personne dont une entreprise détient un dossier la concernant peut en obtenir communication. Pareillement dans le cas échéant, la personne concernée peut faire une demande de révocation ou de correction d’un renseignement inexact. Cette loi comporte des aspects similaires à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE2).
Concrètement, les renseignements c’est quoi?
Les renseignements personnels sont les données qui concernent un « individu identifiable », c’est-à-dire des renseignements qui permettent de vous identifier en tant qu’individu. En général, il s’agit d’informations portant sur :
- La race, la nationalité ou l’origine ethnique et la religion;
- L’âge ou l’état civil;
- Les antécédents médicaux, scolaires ou professionnels;
- Les transactions financières et les numéros permettant de vous identifier;
- L’ADN;
- Les points de vue et les opinions en tant qu’employé.
Ce qui n’est généralement pas considéré comme des renseignements personnels peut inclure :
- Des renseignements qui ne concernent pas un individu, soit parce que le lien avec cette personne est trop vague ou trop distant;
- Des renseignements sur une organisation notamment une entreprise;
- Certains renseignements sur des fonctionnaires comme leur nom, le titre du poste qu’ils occupent;
- Les coordonnées d’affaires d’une personne qu’une organisation recueille, utilise ou communique uniquement pour entrer en contact avec elle dans le cadre de son emploi, de son entreprise ou de sa profession;
- L’information gouvernementale.
Quelles sont les actions à prendre en tant que dirigeant?
1. Identifier une personne Responsable de la protection des renseignements personnels
Dès le 22 septembre 2022, votre entreprise devra nommer par écrit, une personne responsable de la protection des renseignements personnels.
La principale responsabilité consiste à s’assurer que l’entreprise respecte et mette en œuvre la Loi 25. Le titre et les coordonnées de cette personne devront obligatoirement être publiés sur votre site Web d’ici le 22 septembre 2022. Voici quelques exemples de dossiers qui devront être pris en charge par le responsable :
- Mise en place de politiques et de pratiques encadrant la gouvernance des renseignements personnels au sein de votre entreprise, incluant notamment :
- La réalisation d’évaluation de facteurs relatifs à la vie privée;
- La gestion des incidents ainsi que du processus de notification;
- La communication aux membres de l’équipe afin qu’ils soient sensibilisés et formés sur la protection des renseignements personnels et ses enjeux;
- La mise en place des mesures afin de faciliter le droit à la conservation des données.
Évidemment, la réalisation de ces dossiers n’est pas obligatoirement réalisée par une seule personne. Celle-ci pourra s’entourer d’une équipe qui lui viendra en aide dans ses tâches et responsabilités. Il est important de garder en tête que son rôle et ses responsabilités demandent une connaissance approfondie de votre entreprise et des différents processus actuellement en place en termes de protection des renseignements personnels.
Prenez note que la personne ayant la plus haute autorité dans votre entreprise se verra automatiquement attribuer cette fonction si vous ne procédez pas à sa nomination.
2. Signaler les incidents de confidentialité
La deuxième obligation qui sera applicable dès le 22 septembre 2022 est le signalement des incidents de confidentialité. En effet, la Loi prévoit que les entreprises devront aviser la Commission d’accès à l’information (CAI3) ainsi que les personnes concernées de tout incident de confidentialité impliquant des renseignements personnels si l’incident présente un risque sérieux.
Un incident de confidentialité se traduit lorsqu’il y a un accès, une communication non autorisée, une autorisation, une perte ou toute autre atteinte à la protection des renseignements personnels de vos clients.
Afin de déterminer si l’incident présente un risque sérieux, il faut en outre prendre en considération le niveau de sensibilité des renseignements personnels, les conséquences de leur utilisation ainsi que la probabilité que ces renseignements soient utilisés de façon nuisible. Cette évaluation pourra être faite avec l’aide de votre Responsable de la protection des renseignements personnels ainsi que de votre avocat(e).
D’ailleurs, les entreprises devront tenir un registre de tous les incidents de confidentialité survenus. Ce registre devra être communiqué à la CAI à sa demande. Ces nouvelles obligations impliquent plusieurs considérations à ne pas négliger. En voici quelques-unes.
- Mettre en place des mesures de sécurité adéquates afin de prévenir efficacement la survenance d’incidents de confidentialité et de les détecter rapidement. Il est donc essentiel de conserver un inventaire des renseignements personnels collectés par votre entreprise.
- S’assurer d’avoir un processus de gestion des incidents afin de documenter l’incident, notamment en étant en mesure de déterminer si des renseignements personnels sont impliqués et en mettant en œuvre des solutions de corrections utiles et efficaces afin de minimiser le préjudice.
- Définir à l’avance les rôles et responsabilités de votre personnel lors d’un incident.
- S’assurer que le registre est documenté après chaque incident impliquant des renseignements personnels.
- Déterminer le processus lorsque l’incident présente un risque de préjudice sérieux et nécessitera la communication à la Commission d’accès à l’information et/ou aux personnes concernées ainsi que les mesures de remédiation qui leur seront proposées dans une telle situation.
Il est essentiel de considérer tous ces éléments avant l’apparition d’un incident de confidentialité. Il existe plusieurs outils qui peuvent être utilisés afin de vous y préparer, tels qu’un guide4 contenant des éléments à considérer lors de la perte ou du vol de renseignements personnels élaboré par la CAI à l’intention des entreprises.
Que doit-on retenir?
La Loi 25 s’applique aux renseignements personnels, quelle que soit la forme que les entreprises et les organismes œuvrant au Québec détiennent.
L’entrée en vigueur de la Loi peut donner une fausse impression aux dirigeants d’entreprises d’avoir beaucoup de temps afin de mettre en place les nouveaux processus. Ce n’est malheureusement pas le cas. Bien que la majorité des nouvelles obligations entrent en vigueur le 22 septembre 2023, il n’est surtout pas recommandé d’attendre quelques semaines avant cette date pour prendre action.
1 Loi sur la protection des renseignements personnels dans le secteur privé. (1er décembre 2021). Légis Québec. https://www.legisquebec.gouv.qc.ca/fr/document/lc/p-39.1
2 Survol de la LPRPDE. Commissariat à la protection de la vie privée au Canada. https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/la-loi-sur-la-protection-des-renseignements-personnels-et-les-documents-electroniques-lprpde/lprpde_survol/
3 Commission d’accès à l’information. https://www.cai.gouv.qc.ca/
4 Le vol d’identité en bref. Commission d’accès à l’information. https://www.cai.gouv.qc.ca/documents/CAI_FI_vol_rens_pers_citoyen.pdf
Loi 25 : Quoi faire maintenant. (4 avril 2022) Mondata. https://mondata.ai/en/apprendre/articles/loi-25-quoi-faire-maintenant/
