La nouvelle loi québécoise sur la protection de la vie privée, la Loi sur la protection des renseignements personnels – le secteur de la vie privée (alias PL 64, LQ 2021 c 25), est entrée en vigueur en septembre 2021. Elle met à jour et modernise la loi sur la protection de la vie privée et introduit de nouvelles exigences en matière de protection des renseignements personnels (RP). La législation précédente était dépassée car elle n’a pas suivi
l’évolution de la technologie et vise à garantir que toutes les entités qui collectent des RP disposent de garanties pour les protéger. La pandémie de Covid-19 a accéléré la transition des entreprises vers le commerce en ligne, ce qui a entraîné une augmentation des obligations des organisations en matière de collecte, d’utilisation, de divulgation et de stockage des RP.
Le PL 64 s’applique à toutes les entités du secteur privé basées au Québec, ainsi qu’à toutes les entreprises de l’extérieur de la province qui font des affaires impliquant les renseignements personnels de résidents québécois (alias « personnes concernées »). Par conséquent, sa portée inclut non seulement les autres entités nationales, mais aussi les entités étrangères qui font des affaires dans la province.
L’adoption de cette loi ne s’est pas produite dans un vide sociopolitique, car les flux de données transfrontaliers signifient que les lois doivent se moderniser et protéger les RP des ressortissants étrangers. Le Règlement général sur la protection des données (RGPD) de l’UE a d’abord été adopté en Europe en 2016 et est considéré comme la norme mondiale de facto en matière de réglementation de la confidentialité des données. Le RGPD définit des paramètres stricts sur la manière dont les entités traitent les RP, classe les RP par sensibilité (dont le traitement nécessite un consentement supplémentaire) et restreint, voire interdit carrément, le transfert des RP au-delà des frontières internationales.
Toutefois, un nombre restreint de pays ont été reconnus par la Commission européenne comme ayant des régimes législatifs adéquats pour protéger les RP à l’intérieur de leurs frontières, permettant ainsi un certain transfert transfrontalier des RP. Le Canada est depuis longtemps l’un de ces pays bénéficiant d’une décision d’adéquation, qui est examinée tous les quatre ans par la Commission européenne. La raison pour laquelle le projet de loi 64 a été introduit était en partie le désir d’aligner la législation provinciale avec une norme internationale reconnue comme le RGPD. Il n’est donc pas surprenant qu’un certain nombre de nouvelles exigences du PL 64 imitent ou ressemblent de près à celles du RGPD.
Qu’est-ce qui demeure inchangé dans le cadre du PL 64?
Toute entité, quel que soit son type d’activité, doit collecter un certain nombre de données personnelles pour mener à bien ses opérations commerciales normales. Elles doivent néanmoins fournir un avis de collecte des RP, ou obtenir le consentement des clients avant de commencer à traiter les RP. Les entités doivent également indiquer la finalité de la collecte des RP dans une notification écrite aux personnes concernées. En outre, si le consentement est obtenu, il doit être significatif, donné librement et sans contrainte. Pour être valable, le consentement ne peut être forcé.
Un avis solide de collecte des RP en vertu du PL 64 devrait inclure, au minimum, les éléments suivants :
- Un langage clair et facile à lire qui explique les RP collectés (il ne doit pas s’agir d’un jargon juridique trop compliqué)
- Une liste des RP collectés et la raison de la collecte
- Une brève description de la manière dont l’entité traite les RP et de toute divulgation des RP à d’autres prestataires de services ou organisations partenaires
- La ou les lois qui autorisent la collecte des RP
- Les coordonnées du responsable de la protection de la vie privée, au cas où le consommateur aurait des questions
Ce qui précède ne constitue pas une liste exhaustive des exigences relatives à une politique ou à un avis de confidentialité.
Le PL 64 ne divise pas les RP par sensibilité comme le fait le RGDP; une organisation doit donc évaluer la proportionnalité et la nécessité des IP collectées : en d’autres termes, l’entreprise doit déterminer la quantité de RP dont elle a besoin pour mener ses activités et être capable de justifier les raisons pour lesquelles elle le fait. Il n’existe pas de test unique pour déterminer la nécessité de la collecte. La seule façon de déterminer si la collecte et le traitement des RP sont conformes est d’évaluer les pratiques d’une entreprise par rapport au PL 64.
Comme auparavant, il ne doit pas y avoir « d’utilisation secondaire » des RP traités. Cela signifie qu’une entité ne peut pas utiliser les RP à des fins autres que la ou les raisons indiquées aux personnes concernées lors de la collecte initiale de leurs RP. Par exemple, il est raisonnable et nécessaire pour un détaillant en ligne de collecter la carte de crédit, l’adresse du domicile, l’adresse électronique et le numéro de téléphone d’un client, car ces données sont nécessaires pour le paiement et la livraison. Toutefois, un consentement ou une notification supplémentaire doit être fourni si l’entreprise a l’intention d’utiliser les RP des clients à des fins de marketing, car cela va au-delà de l’objectif initial de la collecte.
Quelle que soit la manière dont une entité traite les RP, elle doit toujours s’assurer que les éléments suivants soient en place :
- Disposer d’une politique de confidentialité à jour;
- S’assurer que l’avis de collecte des RP est conforme aux lois applicables;
- S’assurer que le consentement est obtenu si l’on a l’intention de collecter, de traiter ou d’utiliser les RP d’une manière qui diffère de l’objectif initial de leur collecte ou si la loi l’exige;
- Établir des paramètres internes clairs concernant l’utilisation des RP et former tous les services à l’accès et à l’utilisation de ces RP;
- Si nécessaire, contactez un consultant en protection de la vie privée pour vous aider à créer des politiques, des avis et des consentements internes et externes solides afin d’assurer la conformité. Une feuille de route pour la mise en conformité, conformément aux conseils et recommandations de l’organisme de réglementation de la protection de la vie privée, doit être mise en place.
De plus, bien qu’elle ne soit pas inscrite dans le projet de loi 64, la Loi sur les langues officielles du Québec exige que tous les avis juridiques soient rédigés en français.
Quelles sont les nouvelles exigences du PL 64?
Les exigences du projet de loi 64 seront mises en œuvre sur un cycle de trois ans, certaines devant être conformes plus tôt que tard au cours de la transition de trois ans vers la nouvelle législation. Il s’agit notamment des nouvelles exigences suivantes pour toutes les entités faisant des affaires au Québec :
Désigner un agent de protection de la vie privée
Il s’agit d’une exigence simple pour la plupart des organisations. Souvent, le rôle peut être combiné avec un autre poste s’il ne s’agit pas encore d’une activité à plein temps. En général, le rôle de responsable de la protection de la vie privée est confié à une personne travaillant dans le domaine de la sécurité informatique (comme un DPI ou un RSSI), au niveau de la direction (par exemple, le PDG d’une petite entreprise), dans le domaine des finances (par exemple, le directeur financier) ou au conseiller juridique interne.
Si une entité traite des quantités considérables de renseignements personnels provenant de clients et doit fréquemment faire face à des problèmes liés à la protection de la vie privée, il peut être judicieux d’engager un responsable de la protection de la vie privée à temps plein. Une autre solution consisterait à faire appel à un professionnel de la protection de la vie privée sur une base consultative pour fournir des conseils de manière continue, à condition que l’entité désigne également un personnel interne comme responsable de la protection de la vie privée pour répondre aux demandes de renseignements du public ou de l’autorité de réglementation.
Réponse obligatoire en cas de violation
Le PL 64 rendrait obligatoire le signalement de l’atteinte à la vie privée pour les entités qui subissent un incident de cybersécurité important au cours duquel des renseignements personnels ont été compromis. Le protocole devrait inclure les éléments suivants :
Des déclencheurs identifiables pour invoquer le protocole;
Méthodologie (y compris la technologie) pour suivre le cycle de vie de la violation, de l’incident initial à la résolution;
Les parties prenantes, ainsi que leurs rôles et responsabilités dans le traitement de la violation;
La tenue de registres internes, à des fins d’audit et d’enquête;
Matrice des risques ou méthode similaire pour évaluer le risque réel de préjudice important pour les personnes touchées par la brèche;
Chaîne de communication pour déterminer si l’organisme de réglementation de la protection de la vie privée ou les autorités chargées de l’application de la loi doivent participer à la gestion de la violation;
Modèle de documentation pour informer la ou les personnes concernées et l’organisme de réglementation de la violation.
Bien que les protocoles d’intervention en cas d’incident (PII) puissent comporter certaines des exigences susmentionnées, un protocole de traitement des atteintes à la vie privée devrait être créé. Idéalement, ce processus devrait être exécuté en même temps que le PII. Il est essentiel de définir les rôles et les responsabilités afin de s’assurer que les équipes chargées de la sécurité informatique et de la conformité sont pleinement informées du cycle de vie de la violation et conscientes des risques encourus. Cela favorise également la coopération afin de garantir que toutes les équipes requises participent à l’atténuation des risques. En outre, la communication peut inclure la notification de la violation au commissaire à la protection de la vie privée du Québec, la Commission d’accès à l’information du Québec (CAI) et la demande de conseils auprès de cette dernière.
Évaluations des incidences sur la vie privée / Protection de la vie privée dès la conception
La plupart des organisations achètent ou consomment des solutions SaaS destinées à automatiser leurs activités professionnelles, telles que des logiciels RH, des outils de suivi de la gestion de projets, des processeurs de paie et de facturation, des solutions de vidéoconférence et des applications de messagerie directe. Bien que la plupart des fournisseurs aient mis en place des contrôles de la protection de la vie privée, il n’est pas toujours certain que le fournisseur ou la solution soit conforme à la juridiction locale de l’utilisateur final ou du client. En particulier, les fournisseurs dont les solutions sont conformes aux lois de leur État américain peuvent ne pas avoir pris en compte les préoccupations ou les exigences en matière de protection de la vie privée au Québec.
Par conséquent, le PL 64 impose aux entreprises de réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP)
lorsqu’un logiciel est acheté auprès d’une source externe, ou si l’entreprise le développe à l’interne. Cette exigence a été mise en place pour s’assurer que si un programme est développé avec des RP, l’entité comprend l’impact sur les personnes dont les RP sont utilisées pour alimenter la solution. Une ÉFVP permet de s’assurer que les organisations restent conformes à le PL 64 dans le traitement des RP. Ceci est essentiel car lorsqu’une entité collecte des RP, elle est autorisée à le faire en vertu de la PL 64 et ne peut utiliser les RP au-delà de cette utilisation initiale que si elle a obtenu le consentement approprié des clients. Cela présente également l’avantage de permettre à une entreprise de comprendre le risque qu’elle court en tant qu’organisation, si elle décide de créer des solutions qui peuvent utiliser les RP au-delà de l’objectif pour lequel ils ont été initialement collectés.
En outre, des éléments de protection de la vie privée dès la conception (PVPC) doivent être intégrés dans l’organisation. Cela peut être interprété comme signifiant que les éléments suivants doivent être mis en place dans une organisation :
- Les procédures de flux de travail ou les processus qui soutiennent un tel système doivent suivre les exigences préétablies en matière de PVPC;
- Les points d’accès à ces systèmes doivent être réglementés et revus périodiquement;
- Toutes les autorisations d’accès aux RP doivent, par défaut, être définies à un niveau où la plus petite quantité possible de RP est visible, sans que l’utilisateur final ait à choisir ces paramètres;
- Les RP doivent être rendus anonymes ou pseudonymes (et agrégés, selon la situation) chaque fois que possible, s’il n’est pas nécessaire de les traiter sous une forme identifiable.
En d’autres termes, même si une entité ne réalise pas d’ÉFVP, des éléments de PVPC devraient être mis en place pour garantir la mise en place d’un programme complet de protection de la vie privée. Commencer par une politique interne de protection de la vie privée régissant l’utilisation et l’accès aux RP fournirait une orientation générale applicable à l’ensemble de l’organisation. Le fait que le responsable de la protection de la vie privée examine toutes les demandes de renseignements sur la protection de la vie privée et y réponde, et qu’il soit impliqué dans toute initiative impliquant des renseignements personnels, contribuera à cultiver le respect de la vie privée dans toute l’entreprise.
Le transfert des données
En vertu du RGDP, une personne concernée a le droit de demander une copie de toutes ses RP dans un format commun et lisible par ordinateur. Au Canada, le droit à la transférabilité des données n’existe à ce jour que dans le projet de loi 64, avec des exigences presque identiques à celles du RGDP.
Comme solution pratique, les entreprises disposent d’une option libre-service sur leurs sites Web externes permettant aux clients de télécharger une copie de tous les RP qu’ils ont fournies à une entité. Cette option existe pour les entreprises qui traitent des quantités considérables de RP (par exemple, les médias sociaux) et constitue une option efficace pour répondre partiellement à l’exigence de transfert des données. D’un point de vue pratique, cela signifie que les entreprises ont la possibilité de marquer les RP appartenant aux clients et d’automatiser la demande. Cependant, il n’est pas clair à l’heure actuelle si le droit de transférabilité des données du Québec s’applique à toute information qui est dérivée des RP qu’un client fournit à une entité.
En d’autres mots, le champ d’application du droit à la transférabilité des données peut également inclure des copies de tout RP au-delà de ce qu’un client fournit à une organisation.
En pratique, une entité opérant au Québec devrait disposer d’un flux de travail formel pour accepter, suivre et traiter les demandes de transfert de données. Idéalement, les RP devraient être étiquetés pour faciliter leur récupération et le responsable de la protection de la vie privée devrait les examiner pour s’assurer que seules les RP relatifs au client sont prises en compte dans le cadre de la demande. En fait, cela signifie que toute information étrangère (telle que les RP appartenant à une autre personne qui n’a pas été fournis par le client) doit être supprimés ou expurgés avant que les informations ne soient envoyées. Bien qu’il n’y ait pas de délai de réponse officiel, il n’est pas déraisonnable de traiter ces demandes dans les 30 jours (les jours civils ou ouvrables ne sont pas définis pour le moment).
Demandes de suppression
Le droit à la suppression, qui permet à une personne de demander à une entité de supprimer ses données personnelles, est un autre droit prévu par le RGDP qui a un lien avec le projet de loi 64. Appelé droit de « désindexation » dans le PL 64, cela signifie qu’une entité devrait avoir un processus formel pour examiner et répondre à de telles demandes. Idéalement, l’organisation devrait déjà avoir étiqueté les données pour faciliter leur récupération et leur examen.
La raison de l’existence d’un processus formalisé pour traiter les demandes de suppression est due au fait que le droit de supprimer des RP n’est pas inviolable. Il existe des raisons parfaitement valables et impérieuses pour lesquelles une organisation peut dire qu’elle ne peut pas supprimer des RP et qu’elle doit en fait en conserver certaines. Il s’agit notamment des raisons suivantes :
- Pour continuer à fournir des biens et des services : cela inclut les coordonnées, les informations de paiement et l’historique des achats (pour effectuer des retours ou fournir des garanties sur les produits éligibles);
- Exigences du droit du travail : cela concerne uniquement l’assurance sociale des employés de l’entreprise. Les données ne peuvent pas être supprimées ici, car l’entreprise est obligée de conserver des copies des dossiers des employés pour des raisons de diligence raisonnable et d’exigences réglementaires.
- Raisons juridiques : cela concerne les données relatives aux employés ainsi que tout différend ou litige en cours impliquant un client. Dans ces circonstances, le droit à la suppression ne peut pas l’emporter sur l’obligation d’une entité de conserver les RP si ceux-ci peuvent être considérés comme des preuves dans un tribunal.
Un processus formalisé aiderait le responsable de la protection de la vie privée à examiner les demandes, à déterminer ce qui peut être effacé ou conservé, et à répondre au demandeur. Comme pour le droit à la transférabilité des données, les demandes d’effacement devraient idéalement être traitées dans un délai de 30 jours.
Quels sont les risques liés au non-respect des lois sur la protection de la vie privée?
Le projet de loi 64 introduit de nouvelles amendes qui sont étonnamment similaires au RGPD :
- Pour les infractions administratives, les amendes peuvent atteindre 2% du chiffre d’affaires annuel ou 10 millions de dollars canadiens ;
- Pour les infractions pénales (celles qui comportent un élément criminel), les amendes peuvent atteindre 4% du chiffre d’affaires annuel ou 25 millions de dollars canadiens;
- Les articles 158 et 159 permettent d’infliger des amendes à des particuliers ainsi qu’à des entreprises : « toute personne qui commet une infraction est passible d’une amende de 5 000 à 50 000 dollars dans le cas d’une personne physique et de 15 000 à 150 000 dollars dans tous les autres cas. »
- Les amendes susmentionnées peuvent être imposées par l’organisme québécois de réglementation de la protection de la vie privée (CAI) et ne doivent pas être poursuivies devant les tribunaux par le biais d’une procédure judiciaire classique. Ces amendes n’empêchent pas non plus quiconque d’entamer une procédure judiciaire contre une entreprise pour atteinte à la vie privée, ce qui peut inclure des recours collectifs si un grand nombre de clients sont touchés par la même violation.
Enfin, en plus des amendes mentionnées, il y a une perte potentielle de confiance ou de réputation pour une organisation, qui peut être incalculable, car elle entraînerait une perte d’activité ou une chute du cours de l’action de la société. Cela n’inclut pas les frais engagés pour atténuer les dommages, comme le recrutement d’équipes d’intervention en cas de violation de la sécurité des TI, de conseillers juridiques externes, de sociétés de gestion de crise, de publicistes et de sociétés de marketing pour travailler sur les messages afin de réparer les dommages causés à la marque de l’entreprise. Il convient de noter que l’assureur ne couvre pas toujours ces coûts supplémentaires.
Comment puis-je me conformer au PL 64?
La meilleure façon de se conformer à la législation est d’effectuer une analyse des lacunes en matière de protection de la vie privée, en mesurant le programme de protection de la vie privée d’une entité par rapport au PL 64. Voici une courte liste qui peut être utilisée comme point de départ pour tout programme de protection de la vie privée :
- Désigner un responsable de la protection de la vie privée chargé de répondre aux demandes, aux préoccupations et aux plaintes au nom de l’entité;
- Si le responsable de la protection de la vie privée n’est pas en mesure de le faire, engager un consultant externe pour développer un programme de protection de la vie privée pour l’organisation;
- Réaliser un inventaire des données, avec des ensembles de données énumérant tous les types de RP collectés;
- Réaliser une évaluation des lacunes en matière de protection de la vie privée pour déterminer comment l’organisation traite les RP;
- Réaliser des évaluations de l’impact sur la vie privée en tant qu’exercice d’atténuation des risques et de diligence raisonnable;
- Mettre en œuvre des mesures de sécurité informatique suffisantes pour garantir la sécurité de votre environnement;
- Mettre en place un protocole de réponse aux violations de la vie privée (en plus d’un protocole de réponse aux incidents);
- Former le personnel à la protection de la vie privée sur une base régulière (p. ex. annuelle) afin de favoriser une culture de sensibilisation à la protection de la vie privée dans l’ensemble de l’organisation;
- Créer une feuille de route pour la mise en conformité, comprenant une évaluation des lois applicables et des pratiques en vigueur;
- Consulter le conseiller juridique et les assureurs pour s’assurer que la couverture est suffisante et que des mesures d’atténuation des risques sont en place.
Certaines des activités énumérées, voire toutes, peuvent être plus appropriées pour les grandes entreprises que pour les petites. Toutefois, si même une petite entreprise avec une poignée d’employés commence à recueillir un nombre considérable de renseignements personnels (en particulier des renseignements sensibles tels que des informations médicales ou financières), il est essentiel de disposer d’une feuille de route en matière de respect de la vie privée. La taille de l’organisation ne justifie ni n’exonère l’entreprise de sa responsabilité en cas de violation de la vie privée ou d’incident de sécurité majeur.