Loi 25 sur la confidentialité

En septembre 2021, afin d’assurer que les entreprises faisant des affaire accomplissent sécuritairement la gestion des renseignements personnels au sein de la Province du Québec, le Gouvernement du Québec a promulgué une nouvelle loi sur la protection des renseignements personnels qui a introduit des changements radicaux dans les procédures des entreprises. Ces changements ont été initiés dans le sillage du projet de loi C-11 relatif à la réforme fédérale proposée de la protection de la vie privée qui ne s’est pas concrétisée en raison du déclenchement anticipé des élections fédérales générales.

Contrairement au projet de loi fédérale C-11, la législation québécoise intitulée Loi sur la protection des renseignements personnels dans le secteur privé (communément appelée Loi 25, antérieurement dénommée « Projet de loi 64 »), a été promulguée en septembre 2021, légiférant sur des exigences en matière de protection des données fortement calquées sur le Règlement général sur la protection des données (RGPD) de l’Union Européenne. Par conséquent, la Loi 25 est bien plus actualisée que d’autres lois canadiennes comparables régissant la protection des données, surtout en termes des obligations qu’elle impose aux entreprises et les droits à la vie privée accordés aux membres du public.

De par ce fait, la nouvelle Loi 25 s’applique à toutes les entités du secteur privé et public faisant affaires au Québec, ainsi qu’à toutes les organisations hors province qui font des affaires en utilisant les renseignements personnels des résidents du Québec. Ainsi, les dispositions juridiques de la Loi 25 concernent non seulement les autres entités nationales, mais également toutes les entités étrangères qui font des affaires dans la Province du Québec.

Calendrier des exigences

En conformité avec la Loi 25, les obligations des entreprises sont conçues pour se déployer de manière à ce que, à la date anniversaire (septembre 2021) de sa promulgation jusqu’en 2024, un nouvel ensemble d’obligations gouvernant le respect de la vie privée devienne en pratique une loi contraignante. L’objectif est que toutes les parties de la Loi 25 soient contraignantes au plus tard en septembre 2024, permettant aux entreprises jusqu’à trois ans pour mettre en place et opérationnaliser leur programme de confidentialité. Abrégé ci-dessous, voici le déploiement des exigences à chaque date anniversaire :

2022

Embaucher un responsable de la confidentialité des données (un consultant ou un employé) qui va concevoir et superviser le Programme de gestion de la confidentialité d’une entreprise (en l’absence d’une telle personne, le PDG est par défaut le responsable de la confidentialité), et les coordonnées de cette personne doivent être accessibles, par exemple être publiées sur le site Web de l’entreprise (article 3.1).
Signalement obligatoire des atteintes à la vie privée : mettre en œuvre un protocole d’intervention en cas d’atteinte à la vie privée qui oblige les entités à signaler les « incidents de confidentialité » à l’organisme de régulation et/ou aux parties prenantes concernées, et à tenir un registre de ces incidents (alinéas 3.5-3.8).

2023

Consentement : s’assurer que le consentement est toujours libre et sans entrave, et qu’un préavis suffisant est donné aux personnes au moment de la collecte de leurs données. S’il y a une dérive dans la collecte des données, par exemple les données personnelles sont utilisées à des fins autres que celles pour lesquelles elles ont été initialement collectées (ou « fins secondaires »), une entité doit dûment obtenir un nouveau consentement (alinéas 8.3, 12, 14).
Collection de documents : établir des politiques et des procédures de confidentialité pour créer le cadre dans lequel une entité gère la confidentialité des données et s’assure que des mesures de protection de la vie privée sont mises en vigueur (article 3.2).
Des évaluations d’impact sur la vie privée (ÉIVP) doivent être réalisées sur tous les systèmes informatiques qui collectent, utilisent, divulguent et stockent massivement des renseignements personnels, en accordant une attention particulière à l’impact sur les personnes dont la vie privée a été violée, en particulier si des données personnelles très sensibles sont impliquées dans de telles violations (alinéas 3.3-3.4).
Transferts transfrontaliers de données : des ÉIVP doivent être effectuées sur des systèmes informatiques, des projets, des initiatives ou des procédures qui transmettent des données personnelles à l’extérieur du Québec (article 17).
Prise de décision automatisée : établir un processus par lequel, si une entreprise utilise des systèmes informatiques qui traitent des données personnelles pour prendre des décisions affectant les droits et libertés des personnes, elle avise ces personnes qu’elles s’appuient sur des mécanismes de prise de décision automatisés (article 12.1).
Transparence : au moyen des notifications claires et sans ambiguïtés, les entités se doivent d’informer toutes les personnes auprès desquelles elles collectent des données personnelles de la finalité, de l’utilisation, de la divulgation et du stockage de leurs données personnelles. Cette obligation s’applique à la fois aux notifications lors de la collecte et à la politique de confidentialité globale de l’entité (article 8, 8.2).
Transparence : grâce à la documentation pertinente, s’assurer que tout profilage effectué par une entreprise est transparent et ouvert aux requêtes du public (article 8.1).
Examiner les ententes d’externalisation pour s’harmoniser avec les exigences de protection des données (article 18.3).
Conservation et destruction : établissez et opérationnalisez des politiques et des procédures régissant le moment où une entité supprime des données. La conservation et la destruction ne sont pas toujours la même chose, car la destruction doit être un processus final pleinement opérationnel (article 23).
Droit de désindexation : droit accordé à une personne qui ordonne à une entité de détruire par elle-même toutes les données la concernant, sous réserve des exceptions prévues par la Loi 25 (article 28.1).

2024

Droit à la portabilité des données : une personne peut ordonner à une entité de lui fournir une copie de tous les renseignements personnels connexes et dérivés des données personnelles qu’elle a fournies à l’entité en question. L’ensemble des données doit être produit dans un format commun, lisible sur le plan des technologies de l’information.

Programme d’aide MaLoi25

Quelles sont les exigences opérationnelles?

En un coup d’œil, voici un survol de la manière dont une entreprise peut ou dev#ecececrait opérationnaliser ces exigences qui n’ont pas encore été remplies :

Pour septembre 2022

Responsable de la confidentialité des données

Recrutez un responsable de la confidentialité des données. Si vous n’en avez pas, le PDG est par défaut le responsable de la confidentialité. Un responsable de la confidentialité des données pourrait être un consultant à temps partiel qui agit comme conseiller auprès de l’entreprise, tandis que le véritable responsable de la confidentialité des données peut toujours être le PDG ou un employé.

Intervention obligatoire en cas de violation des données

Créez et testez un protocole d’intervention en cas de violation de la confidentialité, y compris des détails relatifs aux rôles, aux responsabilités, au flux de travail et aux modèles de documents de signalement des violations.

Pour septembre 2023

Obtenir le consentement

Assurez-vous que vos formulaires de consentement sont continuellement mis à jour et exactement précis, reflètent sans ambiguïté la manière dont votre entreprise recueille, utilise, divulgue et stocke les données personnelles.

Programme de gestion de la confidentialité

Établissez et maintenez une collection de documents qui englobe toutes les politiques (gouvernance) et procédures (opérationnelles) reliées à la confidentialité.

Évaluation de l’impact sur la vie privée (ÉIVP)

Effectuez une Évaluation de l’impact sur la vie privée (ÉIVP) au sujet de tous les systèmes informatiques où le traitement des renseignements personnels implique des données personnelles sensibles ou est considéré comme une activité à haut risque. Des évaluations de l’impact sur la vie privée (ÉIVP) devraient également être effectuées pour tous les projets ou systèmes informatiques où des renseignements personnels traversent les frontières ou sont envoyés à l’extérieur de la province.

Prise de décision automatisée

Veillez à ce que toute personne soit informée quand les décisions les concernant seront prises uniquement par des moyens automatisés, sans intervention humaine.

Documents externalisés

Examinez toutes les ententes de service, les conventions de licence ou documents similaires pour vous assurer que des calendriers de protection des données sont en vigueur.

Conservation et destruction

Établissez des politiques et des procédures à propos de la durée de conservation des données personnelles, le moment où elles doivent être supprimées et le flux de travail réel pour supprimer de telles données.

Droit de désindexation

Concevez un processus où les données personnelles peuvent être supprimées du traitement des renseignements personnels à la demande de la personne à laquelle ces données se rapportent, et toute exception à celle-ci.

Pour septembre 2022

Droit à la portabilité des données

Créez un flux de travail technique où une personne peut demander une copie de toutes les données personnelles de, à propos, dérivées de, ou se rapportant à elle.

Sanctions législatives

En ce qui a trait aux cas de non-conformité, le barème des sanctions de la Loi 25 se profile ainsi :

Pour les infractions administratives, les amendes peuvent atteindre 2 % du chiffre d’affaires annuel ou 10 millions de dollars canadiens;
Pour les infractions pénales (celles comportant un élément criminel), les amendes peuvent atteindre 4 % du chiffre d’affaires annuel ou 25 millions de dollars canadiens; et
Les articles 158 & 159 de la Loi 25 permettent d’imposer des amendes à la fois aux particuliers de même qu’aux entreprises contrevenantes : « quiconque commet une infraction est passible d’une amende de 5 000 $ à 50 000 $ s’il s’agit d’une personne physique, et de 15 000 $ à 150 000 $ dans tous les autres cas. »

Les amendes ci-dessus peuvent être imposées par le Régulateur québécois de la protection de la vie privée (Commission d’accès à l’information du Québec – CAIQ), ce qui signifie qu’une personne n’a pas besoin d’intenter une poursuite judiciaire juste pour faire appliquer les sanctions. Ces amendes n’empêchent personne d’engager des poursuites judiciaires contre une entreprise pour atteinte à la vie privée, ce qui peut inclure des recours collectifs pour atteinte majeure à la vie privée.

Quels sont les risques de non-respect des lois sur la confidentialité?

Dommage à la réputation ou préjudice à la marque d’une entreprise.
Baisse de rendement du cours des actions de l’entreprise (pour les entreprises cotées en bourse)
Perte des activités d’affaires.
Frais directs à débourser si une violation des données se produit et que les dommages doivent être atténués, dépenses telles que le maintien des équipes d’intervention en cas de violation de la sécurité informatique, des conseillers juridiques externes, des sociétés de gestion de crise et des publicistes.
Refus de la couverture d’assurance cyberresponsabilité : les assureurs peuvent regarder d’un mauvais œil le fait qu’une entreprise n’a pas rempli ses obligations de prudence et de diligence.

Comment puis-je être conforme à la Loi 25?

Il existe plusieurs étapes de diligence raisonnable qu’une entreprise peut prendre pour se conformer à la Loi 25, et In-Sec-M, par le biais de son Programme PARI (90 % + subvention) ou de son Programme Loi 25 (50 % + subvention pour les entreprises du Québec), dispose de ressources considérables pour connecter les entreprises avec leurs besoins de conformité. Il s’agit notamment des éléments suivants :

Recommander et nommer un responsable de la confidentialité des données pour, au nom de l’entreprise, répondre aux questions, préoccupations et plaintes;
Retenir les services d’un consultant externe afin de développer un Programme de confidentialité des données pour les besoins de l’entreprise;
Créer et maintenir un inventaire des données, avec des ensembles de données répertoriant tous les types de données personnelles collectées;
Mener un exercice d’évaluation des failles en matière de confidentialité pour identifier toute lacune dans la conformité à la confidentialité des données;
Réaliser des évaluations d’impact sur la vie privée (ÉIVP) en tant qu’outil de réduction des risques et d’exercice de diligence raisonnable;
Mettre en œuvre des mesures de sécurité et des protections informatiques suffisantes pour garantir la sécurité de votre milieu de travail;
Créer et opérationnaliser un protocole d’intervention face aux atteintes à la vie privée (en plus d’un protocole d’intervention face aux incidents informatiques);
Former régulièrement le personnel à la protection de la vie privée pour contribuer à favoriser une culture de sensibilisation à la protection de la vie privée dans l’ensemble de l’entreprise;
Créer une feuille de route de conformité vers la confidentialité (fondée sur les ressources de l’organisme régulateur), y compris une évaluation des lois applicables et des pratiques actuelles en vigueur; et
Consulter les conseillers juridiques et les assureurs pour s’assurer que la couverture d’assurance cyberresponsabilité est suffisante et que des mesures de diminution des risques sont en vigueur.

Sommaire

Il n’est pas exigé à toutes les entreprises d’accomplir chaque recommandation susmentionnée à moins que la nouvelle Loi 25 ne l’exige. Certaines des directives ci-dessus conviennent mieux aux grandes entreprises dotées d’une infrastructure de sécurité informatique complexe ou aux petites entreprises qui traitent des données hautement sensibles (telles que des dossiers de santé, des informations financières ou des antécédents criminels). Toutefois, la taille de l’entreprise ne libère pas ou n’exonère pas l’entreprise de sa pleine responsabilité en cas d’atteinte à la vie privée ou d’incident majeur de sécurité.