Loi modernisant des dispositions législatives en matière de protection des renseignements personnels : ce que doivent retenir les entreprises québécoises
Depuis 2001, la collecte et l’utilisation des renseignements personnels des consommateurs canadiens sont régies en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Celle-ci a été créée afin de favoriser la gestion responsable des données par les entreprises de commerce électronique, puis a été élargie au cours des deux dernières décennies pour s’étendre aux secteurs hautement réglementés ayant subi une importante transformation numérique, incluant les établissements bancaires et de soins de santé.
Au cours de la même période, d’autres régions du monde ont instauré des lois de protection des données encore plus strictes, telles que le Règlement général sur la protection des données (RGPD) de l’Union européenne et le California Consumer Privacy Act (CCPA) aux États-Unis. S’inspirant de la réglementation européenne, le Gouvernement du Québec a déposé en 2020 le projet de loi no 64 visant à adapter la législation relative à la protection des données et des renseignements personnels du secteur privé à la réalité du paysage numérique d’aujourd’hui. Le 22 septembre 2022, le projet de loi a été entériné et est devenu la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, communément appelée la loi 25.
Le Québec mène le bal depuis longtemps en matière de protection de la vie privée des consommateurs. En 1993, la province a adopté la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) – la toute première loi du genre au Canada. Avec sa loi 25, le Québec emboîte à nouveau le pas au gouvernement fédéral qui devra éventuellement modifier sa propre législation.
Articles de blogue
Nouvelles sanctions et politiques de conformité
Cette nouvelle loi plus stricte resserre la réglementation imposée aux entreprises concernant la conformité. Et celles qui ne s’y plient pas sont passibles d’amendes allant jusqu’à 10 millions de dollars ou 2 % de leurs revenus totaux bruts lors de l’année fiscale précédente – le montant le plus élevé étant retenu. De plus, la loi 25 introduit un nouveau droit privé d’action qui permet aux individus de demander une compensation aux entreprises ayant mal utilisé leurs données.
Le processus d’imposition des amendes change également. Comme le RGPD européen, la loi 25 donne à la Commission d’accès à l’information (CAI) la capacité d’imposer elle-même des pénalités administratives. La CAI devient ainsi le tout premier organisme canadien de protection de la vie privée à pouvoir soumettre les entreprises fautives à des amendes.
Autre particularité de la loi 25 : celle-ci ne permet pas d’invoquer la prise de précautions voulues. Les entreprises n’ont donc pas le choix de s’y plier et de mettre en place des protocoles, plans et processus de conformité.
Obligation de conformité
En vertu de la loi 25, toutes les entreprises ayant accès à des données de consommateurs doivent adopter des mesures de sécurité et de conformité afin de protéger ces données de manière proactive. Cela comprend la nomination d’un responsable de la protection des renseignements personnels, une analyse de l’impact sur la vie privée et la mise en place de nouvelles politiques et procédures de gouvernance – et toute l’information qui en découle doit être publiée sur le site de l’entreprise.
La Commission d’accès à l’information a également le pouvoir d’exiger aux entreprises de la documentation et des renseignements afin de vérifier leur conformité. En outre, les entreprises des secteurs public et privé doivent réaliser des analyses de l’impact sur la vie privée de tous leurs systèmes, projets et technologies pouvant servir à la collecte, l’utilisation, la divulgation, la conservation ou la destruction de renseignements personnels.
Consentement explicite renforcé
Le consentement est au cœur de la loi 25. C’est pourquoi les entreprises doivent désormais obtenir le consentement clair des individus avant de récolter leurs renseignements personnels en leur expliquant – en termes simples – pourquoi et comment ceux-ci sont recueillis.
Le consentement doit être demandé et donné pour chaque utilisation précise et l’identité des tiers qui auront accès aux données doit être divulguée. Les exigences en matière de transparence de la loi 25 obligent aussi les entreprises à informer les individus de l’utilisation de technologies permettant de les identifier, de les localiser ou de dresser leur profil.
Les consommateurs ont également droit à des explications sur la façon dont des technologies ou des systèmes automatisés pourraient décider de l’utilisation de leurs renseignements personnels et peuvent même exiger qu’un humain examine ces décisions.
Pour que le consentement soit considéré comme explicite et valide, il doit avoir été donné :
- À la suite d’explications en termes simples;
- Pour des utilisations précises – et demandé clairement pour chacune de ces utilisations;
- Par des individus de plus de 14 ans;
- En toute connaissance de ce qui suit :
o L’identité des tiers qui auront accès aux données – et, sur demande, des catégories d’employés qui y auront accès et pendant combien de temps;
o Le droit de retirer son consentement;
o La nature (obligatoire ou optionnelle) de la cueillette de renseignements par l’entreprise.
Prise de décision automatisée
Les risques et répercussions que peut avoir l’automatisation sur la vie privée ont été examinés attentivement dans le cadre du projet de loi no 64. L’automatisation est de plus en plus pratique pour les entreprises, particulièrement celles qui font le suivi et classent une quantité importante de données. Or, l’absence de qualités fondamentalement humaines, comme l’empathie et la raison, dans ces processus de décisions automatisés inquiète. La loi 25 stipule que toute entreprise ayant accès à des renseignements personnels qui repose uniquement sur ce type de processus pour la catégorisation ou l’utilisation des données doit informer l’individu avant ou lors de la prise de décision.
Mobilité des données et transfert d’information transfrontalier
Le RGPD a également grandement influencé la loi 25 en matière de transfert d’information transfrontalier. Avant de transférer tout renseignement personnel à l’extérieur de la province, les entreprises doivent effectuer une analyse de l’impact sur la vie privée afin de déterminer si la nouvelle destination est dotée d’un cadre juridique qui protégera tout aussi bien les données des consommateurs que la loi québécoise.
Comment les entreprises peuvent-elles se préparer?
Les nouvelles exigences du projet de loi no 64 sont déjà entrées en vigueur. En effet, depuis le 22 septembre 2022, date à laquelle le projet de loi est devenu la loi 25, les entreprises doivent démontrer qu’elles respectent les règlements suivants :
- Nomination d’un responsable de la protection des renseignements personnels
- Déclaration des incidents de confidentialité
- Inscription des bases de données biométriques
Plus d’exigences entreront en vigueur graduellement et il est attendu que toutes les entreprises soient conformes d’ici 2024.
Responsables de la protection des renseignements personnels
Le 22 septembre 2022, tous les chefs d’entreprise sont devenus responsables de la protection des renseignements personnels par défaut. Cependant, il est possible de déléguer – avec preuve écrite – le rôle à une autre ressource au sein de l’entreprise ou à un tiers. Selon la loi, la personne responsable ne doit pas obligatoirement être au Québec ou au Canada, mais elle doit bien connaître les exigences de la loi 25. Son nom et ses coordonnées doivent aussi être publiés sur le site de l’entreprise.
De plus, le RPRP est tenu de bien comprendre les tâches et les responsabilités associées à son rôle, notamment :
- Réaliser des analyses d’impact sur la vie privée et émettre des recommandations afin d’assurer la protection des renseignements personnels;
- Réviser et approuver les politiques et pratiques de gouvernance liées à la protection des renseignements personnels;
- Documenter et rapporter les failles et les incidents de confidentialité.
Travailler avec un tiers pour assurer la protection des renseignements personnels comporte divers avantages pour les entreprises. En effet, un partenariat avec un fournisseur de confiance peut mener à des analyses de l’impact sur la vie privée et des déclarations d’incident plus objectives en plus de dégager votre équipe interne des responsabilités liées à l’élaboration et à l’implantation des nouveaux protocoles et des politiques exigés par la loi.
Déclaration des incidents
Depuis le 22 septembre 2022, toute faille et tout incident de confidentialité doit être rapporté à la Commission d’accès à l’information et aux personnes concernées par la situation le plus rapidement possible. Les exigences liées à la déclaration d’incident de la loi 25 sont semblables à celles de la Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE) : les entreprises doivent tenir un registre des failles et, lorsqu’un incident survient, informer la CAI ainsi que les individus concernés lorsque les renseignements compromis sont particulièrement sensibles ou qu’ils pourraient être utilisés à des fins nuisibles.
Lorsqu’une faille est repérée, la rapidité est cruciale afin de contenir la menace et de récupérer les renseignements avant qu’il soit trop tard. Et, selon la loi 25, il est essentiel que les entreprises implantent des processus leur permettant non seulement de répondre à la menace promptement, mais aussi de les rapporter en temps opportun.
Pour préparer votre entreprise, assurez-vous de ce qui suit :
- Votre responsable de la protection des renseignements personnels comprend parfaitement la définition d’un incident de confidentialité selon la loi 25;
- Les plans de réponse aux incidents de l’entreprise sont à jour, conformes aux nouvelles exigences et contiennent une liste à cocher des renseignements devant être inclus dans les rapports obligatoires à la CAI et aux individus concernés;
- Un registre de tous les incidents de confidentialité est tenu de manière claire et régulière. Celui-ci doit comprendre les informations suivantes : les circonstances des incidents, le moment où ils sont survenus, le moment où l’entreprise s’est aperçue qu’il y avait une faille, les renseignements compromis, le nombre de personnes concernées, la preuve que la CAI et les individus concernés ont été mis au courant le cas échéant, les raisons expliquant la décision et les étapes prises pour réduire les risques de dommages sérieux.
Données biométriques
Le Québec a déjà des règlements liés aux données biométriques conformément à la Loi concernant le cadre juridique des technologies de l’information. L’existence de toute base de données dans laquelle est recueilli ce type de données doit être déclarée à la CAI. De plus, les entreprises souhaitant utiliser des données biométriques sont tenues de demander et de recevoir un consentement explicite des individus en plus de devoir s’engager à n’utiliser que le minimum de données requises. Enfin, les entreprises qui créent une base de données contenant des données biométriques doivent informer la CAI au moins 60 jours avant sa mise en service.
Les entreprises qui envisagent de récolter des données biométriques dans leurs bases de données devraient :
- Mettre à jour leur gabarit d’analyse d’impact sur la vie privée en y incluant des questions sur les renseignements et systèmes biométriques;
- Revoir et mettre à jour les processus de gestion des données biométriques au sein de l’entreprise ou par des tiers;
- S’assurer que toutes les bases de données comprenant des données biométriques sont rapportées à la CAI dans les délais demandés.
Conformité gérée : le soutien dont vous avez besoin
La conformité n’est plus optionnelle pour les entreprises en activité au Québec. Or, même si vous possédez les outils qu’il faut, leur configuration, surveillance et alignement sur les politiques de l’entreprise et la réglementation du gouvernement pourraient surcharger les équipes internes de TI.
Bulletproof 365 Compliance est un service géré de protection des renseignements axé sur la conformité qui s’intègre parfaitement à votre infrastructure Microsoft 365. B365C tire parti des outils avancés de Microsoft pour optimiser la protection des renseignements, réduire les risques internes de fuite et s’assurer que vous ne perdiez jamais le contrôle de vos données.
C’est le soutien externe dont votre entreprise a besoin pour trouver l’équilibre parfait entre favoriser l’efficacité de vos utilisateurs et vous conformer à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
À PROPOS DE BULLETPROOF
Possédant des bureaux partout dans le monde, Bulletproof est une entreprise appartenant au groupe GLI avec des décennies d’expérience en TI, en cybersécurité et en conformité. Bulletproof travaille avec des industries de toutes tailles, mettant à profit sa vaste expérience afin de gérer les risques et améliorer les processus, les systèmes et les infrastructures de ses clients.
Bulletproof a été nommée Partenaire de sécurité mondial Microsoft en 2021 pour son excellence dans l’innovation et le déploiement de solutions de sécurité de bout-en-bout.
Bulletproof est également membre de l’Association de sécurité intelligente de Microsoft (MISA).
Partenaire de sécurité Microsoft de l’année en 2021
Lauréat dʼun prix Impact à 5 reprises
Membre de l’Association de sécurité intelligente de Microsoft
Centre des opérations de sécurité (SOC) ultramoderne fonctionnant 24/7
Des utilisateurs sur six continents font confiance à Bulletproof pour la protection de leurs données, de leurs appareils et de leurs personnes.
Profitez de lʼexpertise Bulletproof
En savoir plus sur les services gérés de protection des renseignements de Bulletproof
Contactez-nous à l'aide de ce formulaire et nous vous mettrons en contact avec un expert de Bulletproof.