Peu de semaines passent sans qu’on entende parler de fuites de renseignements personnels. En fait, ceux-ci se retrouvent un peu partout, tant au gouvernement que chez les employeurs, auprès d’agences de crédit ou encore auprès des commerçants.
Le 21 septembre 2021, l’Assemblée nationale du Québec a adopté la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels1. Anciennement appelé projet de loi 64, il est maintenant possible d’y référer par un nom plus court, soit la Loi 25.
Le 22 septembre 2022, l’entrée progressive des nouvelles obligations a été amorcée, et se poursuivra, à pareille date, en 2023 et 2024.
Un résumé de la Loi 25
La Loi 25 s’applique à la protection des renseignements personnels dans le secteur privé (LPRSP) au Québec. Cette Loi s’applique aux renseignements personnels de toute forme : écrits, graphiques, sonores, visuels, informatisés ou autres. En d’autres mots, toute personne exploitant une entreprise visée par la Loi, doit assurer la confidentialité des documents qu’elle détient.
Sauf exception, les renseignements personnels ne peuvent être communiqués à autrui par l’entreprise qui les possède. Par contre, vous pouvez obtenir les informations vous concernant si vous en faites la demande. Par le fait même, vous pourriez faire une demande de révocation ou de correction d’un renseignement inexact. La loi 25 comporte des aspects similaires à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE2).
Concrètement, les renseignements, c’est quoi?
Les renseignements personnels sont des renseignements qui permettent de vous identifier en tant qu’individu. En général, il s’agit d’informations portant sur :
- La race, la nationalité ou l’origine ethnique et la religion
- L’âge ou l’état civil
- Les antécédents médicaux, scolaires ou professionnels
- Les transactions financières et les numéros permettant de vous identifier
- L’ADN
- Les points de vue et les opinions en tant qu’employé
Ce qui n’est généralement pas considéré comme des renseignements personnels peut inclure :
- Des renseignements qui ne concernent pas un individu, soit parce que le lien avec cette personne est trop vague ou trop distant
- Des renseignements sur une organisation
- Certains renseignements sur des fonctionnaires comme leur nom ou le titre du poste qu’ils occupent
- Les coordonnées d’affaires d’une personne qu’une organisation recueille, utilise ou communique uniquement pour entrer en contact avec elle dans le cadre de son emploi, de son entreprise ou de sa profession
- L’information gouvernementale
Quelles sont les actions à prendre en tant que dirigeant?
1. Identifier une personne responsable de la protection des renseignements personnels
Depuis le 22 septembre 2022, votre entreprise a nommé, par écrit, une personne responsable de la protection des renseignements personnels.
Sa principale responsabilité consiste à s’assurer que votre entreprise respecte et mette en œuvre la Loi 25. Le titre et les coordonnées de cette personne doivent obligatoirement être publiés sur votre site Web depuis le 22 septembre 2022.
Mais quels dossiers doivent être pris en charge par la personne responsable? En bref, il s’agit de la mise en place de politiques et de pratiques encadrant la gestion des renseignements personnels au sein de votre entreprise :
- La réalisation d’évaluation de facteurs relatifs à la vie privée
- La gestion des incidents, ainsi que du processus de notification
- La communication aux membres de l’équipe afin qu’ils soient sensibilisés et formés sur la protection des renseignements personnels et ses enjeux
- La mise en place des mesures afin de faciliter le droit à la conservation des données
Évidemment, la réalisation de ces dossiers n’est pas obligatoirement réalisée par une seule personne. Celle-ci pourra s’entourer d’une équipe qui lui viendra en aide dans ses tâches et responsabilités. Il est important de garder en tête que son rôle et ses responsabilités demandent une connaissance approfondie de votre entreprise et des différents processus actuellement en place en termes de protection des renseignements personnels.
La personne ayant la plus haute autorité dans votre entreprise s’est automatiquement vue attribuer cette fonction si vous n’avez pas procédé à la nomination d’un autre responsable.
2. Signaler les incidents de confidentialité
La deuxième obligation applicable depuis le 22 septembre 2022 est le signalement des incidents de confidentialité. En effet, la Loi prévoit que les entreprises devront aviser la Commission d’accès à l’information (CAI3) ainsi que les personnes concernées de tout incident de confidentialité impliquant des renseignements personnels si l’incident présente un risque sérieux.
Qu’est-ce qu’un incident de confidentialité? Il s’agit d’une communication non autorisée, une autorisation, une perte ou toute autre atteinte à la protection des renseignements personnels de vos clients.
Afin de déterminer si l’incident présente un risque sérieux, il faut prendre en considération le niveau de sensibilité des renseignements personnels, les conséquences de leur utilisation, ainsi que la probabilité que ces renseignements soient utilisés de façon nuisible. Il en revient à votre responsable de la protection des renseignements personnels ainsi qu’à votre avocat(e) d’en faire l’évaluation.
D’ailleurs, les entreprises devront tenir un registre de tous les incidents de confidentialité survenus. Ce registre devra être communiqué à la CAI à sa demande. Ces nouvelles obligations impliquent plusieurs considérations à ne pas négliger. En voici quelques-unes.
- Mettre en place des mesures de sécurité adéquates pour prévenir les incidents de confidentialité et les détecter rapidement. Votre entreprise doit donc conserver un inventaire des renseignements personnels collectés.
- S’assurer d’avoir un processus de gestion des incidents permettant de déterminer si des renseignements personnels sont impliqués et comportant des solutions de corrections utiles et efficaces en cas de fuite.
- Définir les rôles et responsabilités de votre personnel lors d’un incident.
- S’assurer que le registre est documenté après chaque incident impliquant des renseignements personnels.
- Déterminer la marche à suivre lorsqu’un incident survient et qu’il présente un risque sérieux. Dans un tel cas, cela impliquera des démarches de communication à la Commission d’accès à l’information et/ou aux personnes concernées, et la mis en place de mesures pour remédier à la situation.
Il est essentiel de considérer tous ces éléments avant l’apparition d’un incident de confidentialité. Il existe plusieurs outils qui peuvent être utilisés afin de vous y préparer, tels qu’un guide4 contenant des éléments à considérer lors de la perte ou du vol de renseignements personnels élaboré par la CAI à l’intention des entreprises.
Que doit-on retenir?
La Loi 25 s’applique à tous les renseignements personnels détenus par les entreprises et les organismes œuvrant au Québec.
L’entrée en vigueur progressive de la Loi 25 peut donner une fausse impression aux dirigeants d’entreprises d’avoir beaucoup de temps afin de mettre en place les nouveaux processus. Ce n’est malheureusement pas le cas. Bien que la majorité des nouvelles obligations soient entrées en vigueur le 22 septembre 2023, assurez-vous d’avoir un plan solide dès maintenant, et pour la suite.
1 Loi sur la protection des renseignements personnels dans le secteur privé. (1er décembre 2021). Légis Québec. https://www.legisquebec.gouv.qc.ca/fr/document/lc/p-39.1
2 Survol de la LPRPDE. Commissariat à la protection de la vie privée au Canada. https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/la-loi-sur-la-protection-des-renseignements-personnels-et-les-documents-electroniques-lprpde/lprpde_survol/
3 Commission d’accès à l’information. https://www.cai.gouv.qc.ca/
4 Le vol d’identité en bref. Commission d’accès à l’information. https://www.cai.gouv.qc.ca/documents/CAI_FI_vol_rens_pers_citoyen.pdf
Loi 25 : Quoi faire maintenant. (4 avril 2022) Mondata. https://mondata.ai/en/apprendre/articles/loi-25-quoi-faire-maintenant/
