Loi 25 et protection des données — Votre entreprise est-elle prête ?


Loi 25 et protection des données — Votre entreprise est-elle prête ?

Le gouvernement du Québec a adopté la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels le 21 septembre 2021. Il s’agit de la Loi 25, aussi connue sous « Projet de loi 64 ».

Cette loi crée de nouvelles obligations pour les entreprises opérant au Québec. Quelles sont-elles et comment s’y conformer ?

 

Le b.a.-ba de la protection des renseignements personnels

Pourquoi créer une loi protégeant les renseignements personnels des clientes, clients et partenaires des entreprises ? 

Les renseignements personnels sont désormais utilisés à toutes les sauces. On peut croiser des données comme le nom, le prénom, la date de naissance avec une panoplie d’autres informations privées pour offrir des services en tous genres : services bancaires, services de transports, services de santé…

Comme il s’agit là d’informations dites « sensibles » et de nature confidentielle, leur utilisation par les entreprises comporte certains risques.

 

Les risques

La confidentialité des données personnelles est primordiale puisque, entre les mains de personnes malintentionnées, ces renseignements peuvent mener à de la fraude.

La protection de leur intégrité s’avère aussi très importante pour éviter des problèmes informatiques.

Par exemple, une défaillance des données personnelles dans un système de paye pourrait avoir un impact sur les membres de vos équipes, qui recevraient des payes incorrectes, en retard, déposées dans un compte auquel ils n’ont pas accès ou tout simplement pas de paye de tout.

 

Les grands principes de la Loi 25 

 

Responsabilité

La Loi 25 vise à rendre obligatoire les bonnes pratiques en matière de protection des renseignements personnels. Pour ce faire, elle souhaite responsabiliser les entreprises en imposant des amendes administratives coûteuses en cas de non-respect de la Loi.

Sécurité

La Loi a pour objectif d’assurer la sécurité de toutes les activités de traitement de renseignements personnels. D’importantes normes logistiques de sécurité sont mises en place dans la Loi.

Finalité

La Loi vise aussi à assurer que tous les traitements de renseignements personnels aient une finalité précise et justifiée. Autrement dit, on ne traite pas des données pour rien.

Minimisation

Les renseignements personnels utilisés sont-ils utiles au traitement ? Traiter un minimum de données possibles et se limiter à celles qui sont nécessaires réduit les risques d’erreur. En s’assurant que seules les données nécessaires soient impliquées dans le traitement, on minimise aussi le risque de compromettre des données sensibles, si fuite devait se produire.

Consentement

Finalement, chaque traitement doit reposer sur le consentement des personnes concernées.

 

Des obligations entrant en vigueur dès 2022

Les entreprises doivent respecter certaines dispositions de la Loi 25 dès le 22 septembre 2022.

D’abord, chaque entreprise devra nominer une ou un Responsable de la protection des renseignements personnels, ou Responsable de la PRP.

Par défaut, c’est la ou le PDG d’une entreprise qui occupera cette fonction. Aucune qualification précise n'est requise au sens de la Loi. Ceci dit, les tâches qui lui incombent demandent certaines compétences.

Les Responsables de la PRP devront approuver une politique relative à la protection des données personnelles au sein de leur entreprise.

Ces derniers doivent être en mesure d’évaluer quelles pratiques de gestion documentaire, de protection des infrastructures physiques et quelles mesures de sécurité informatique doivent être mises en place pour protéger les données des clientes, des clients et des partenaires.

 

Brèche dans le système

Dès septembre 2022, si votre organisation devait subir un incident de sécurité de l’information, elle serait tenue de le signaler à la Commission d’accès à l’information du Québec et aux personnes concernées.

Un incident de sécurité de l’information se définit comme « l’accès, l’utilisation ou la communication non autorisée de renseignements personnels, la perte de renseignements personnels ou toute autre atteinte à la protection de renseignements personnels ».

— Loi 25, article 3.6

Chaque organisation est aussi responsable de déterminer précisément ce qui constitue un incident de sécurité en fonction des traitements de données qu’elle effectue.

Une autre exigence de la Loi est le recensement des activités qui impliquent des renseignements personnels des clientes, clients et partenaires, afin de mieux définir les types d’incidents auxquels les entreprises devront répondre.

 

Obligation de mesures raisonnables

La Loi impose aux entreprises qui croient qu’un incident de sécurité a eu lieu de prendre des « mesures raisonnables pour diminuer le risque qu’un préjudice soit causé et éviter que de nouveaux incidents se produisent ».

Cette obligation implique que votre organisation soit en mesure, à l’aide de dispositifs de sécurité de veille et de surveillance de vos réseaux, d’identifier si un incident s’est réellement produit.

Une mesure raisonnable pourrait être, par exemple, de créer une équipe de gestion de crise à l’interne pour répondre aux questions du public dans un bref délai.

 

Les obligations à surveiller en septembre 2023

C’est à partir de 2023 que les Responsables de la PRP sont tenus de mettre en œuvre leur politique de gouvernance des renseignements personnels. Cette dernière doit prévoir des modalités de conservation et de destruction des données.

Elle aura également à définir les rôles et responsabilités du personnel et assurer un traitement des plaintes.

Pour assurer que la politique trouve application de manière adéquate au sein de l’entreprise, les Responsables de la protection des renseignements personnels doivent mettre en place des formations adéquates pour les membres du personnel.

En outre, il est attendu que la politique de gouvernance des renseignements personnels soit accessible aux clientes et aux clients par l’entremise d’une page web.

 

L’évaluation des facteurs relatifs à la vie privée (EFVP)

À partir de septembre 2023, les Responsables de la PRP doivent s’assurer que chaque traitement de renseignements personnels ayant lieu dans leur organisation fasse l’objet d’une évaluation des facteurs relatifs à la vie privée.

Cette évaluation vise à attribuer le niveau de risque que représente chaque traitement au sein de l’entreprise.

 

Scénario X

Imaginons par exemple que votre département des plaintes enregistre des données personnelles pour chaque plainte déposée. Sont inscrites au registre le nom de la personne demanderesse, le contenu de sa plainte et ses coordonnées : courriel, numéro de téléphone et adresse postale.

Le ou la Responsable de la PRP et son équipe auront à évaluer si la procédure répond aux grands principes de la Loi :

  • Chacune des données recueillies est-elle nécessaire au bon traitement de la plainte ?
  • La personne ayant fait la plainte consent-elle à l'enregistrement de ces informations ?
  • Bénéficie-t-elle du plus haut niveau de protection de ses données personnelles ?

Dans ce scénario, le ou la Responsable de la PRP doit s’assurer que la personne soumettant une plainte est bien informée que ses données sont enregistrées. Et compte tenu de la nature des données collectées, il ou elle devra s’assurer que seuls les membres du personnel en ayant réellement besoin puissent y accéder.

 

Respecter la Loi... sinon ?

Le respect de la Loi 25 est assujetti à de nouvelles pénalités très importantes administrées par la Commission d’accès à l’information.

La Commission [d’accès à l’information du Québec] est à la fois un tribunal administratif et un organisme de surveillance qui veille à l’application de la Loi sur l’accès et de la Loi sur le privé. Elle voit aussi à la promotion et au respect des droits des citoyens à l’accès aux documents des organismes publics et à la protection de leurs renseignements personnels.

— cai.gouv.qc.ca

Des sanctions administratives et pénales peuvent être imposées à votre entreprise, allant jusqu’à 25 millions de dollars ou à 4% de votre chiffre d’affaires mondial.

De plus, les entreprises n’étant pas à niveau risquent de souffrir d’une atteinte à leur réputation.

De manière plus importante, respecter la Loi, c’est assurer la sécurité de données sensibles qui appartiennent aux clientes, clients et partenaires de votre organisation.

 

La Loi 25 — Texte vaste et complexe

La Loi 25 apporte une panoplie de modifications aux manières que les entreprises du Québec doivent désormais traiter les renseignements personnels.

Pour vous assurer que votre entreprise respecte toutes les nouvelles dispositions légales, consultez une ou un spécialiste de la protection des renseignements personnels.

Abonnez-vous à notre infolettre pour en savoir plus sur l'utilisation responsable de contenu