Entrée en vigueur du projet de loi 64/Loi 25

Le Québec a récemment adopté sa loi sur la confidentialité des données la plus restrictive à ce jour, modernisant de ce fait l'ensemble du cadre législatif québécois sur la protection des données. Toute entreprise qui procède au traitement de renseignements personnels dans la province devra désormais s’y conformer, et ce, dès septembre 2022.    

Considérant que cette législation impose des changements majeurs pour les entreprises, le gouvernement a décidé d’instaurer une mise en œuvre progressive des différentes dispositions du projet de loi 64/Loi 25 sur une période s’échelonnant sur trois ans à compter de l’assentiment royal. Par conséquent, il y a plus d'une date d'entrée en vigueur à garder à l'esprit. Cet article passe donc brièvement en revue la chronologie de la mise en œuvre graduelle en fournissant par le fait même les étapes qui vous serviront de guide utile sur lequel vous baser en vue de vous préparer aux principaux changements.  

‍

Les informations présentées ci-dessous ont été vérifiées par notre avocate à l’interne et spécialiste en confidentialité des données. Dans l’éventualité où vous souhaiteriez éviter les heures de recherche nécessaires pour comprendre la portée des changements à venir, nous vous invitons à vous référer à notre programme de formation.  

‍  

Septembre 2022  

‍

Nomination du responsable de la protection des données (DPD)  

L'un des changements importants que les entreprises québécoises devront planifier cette année est la nomination d'un responsable de la protection des données (DPD). Il sera important de choisir cette personne avec soin puisqu’elle sera chargée de superviser l'ensemble de la mise en œuvre de la nouvelle loi, et par le fait même, d’assurer la conformité de votre entreprise.  

Vous serez dans l’obligation d'annoncer le DPD désigné au grand public en publiant ses coordonnées professionnelles sur le site web de la compagnie.  

‍

Dans le cas où personne ne serait officiellement choisi pour occuper le poste d'ici septembre, le rôle sera automatiquement attribué, par défaut, à la personne ayant la plus haute autorité au sein de l'entreprise. Il s'agit généralement du PDG ou du président.  

‍

Le PDG ou le président sera toutefois autorisé à déléguer le rôle à une personne à l’interne ou alors à confier le poste à un tiers.  

‍

Contrairement à ce que l’on pourrait penser, le responsable des technologies de l’information ne serait pas le mieux placé pour remplir ce rôle en raison du risque de conflits d'intérêts qui pourraient survenir, ce que nous discutons d’ailleurs en détails au courant de notre formation.  

‍

‍

Signalement des incidents de confidentialité

Une autre disposition importante qui entrera en vigueur cette année est la mise en place d'un processus concernant les incidents de confidentialité.  

‍

Les organisations devront documenter à l’interne chaque cyber incident, y compris les fuites de données, la perte de renseignements personnels et/ou tout accès non autorisé. Un rapport d'incident devra être rédigé, quelle que soit la gravité de l'incident en question. Lorsque l'incident présentera un risque de préjudice grave, le signalement de l'incident sera obligatoire en vertu de la loi.  ‍  

‍

D’ici septembre 2023  

Responsabilité et Transparence

L’élément clé à retirer de cette nouvelle législation est sans contredit le fait que les organisations porteront dorénavant une plus grande responsabilité en lien au respect de la confidentialité des données et devront donc faire preuve d'une transparence et d'une ouverture totales quant à leurs activités de traitement des données. Plus précisément, elles devront divulguer de quelle façon elles protègent et utilisent les renseignements personnels.    

‍

Politiques de gouvernance

Chaque entreprise sera contrainte de revoir ses mesures organisationnelles et structurelles. Pour commencer, elles devront établir et mettre entièrement à jour leurs politiques et pratiques de gouvernance conformément aux nouvelles exigences. Celles-ci devront par conséquent être considérées comme étant les lignes directrices à suivre au sein de l'entreprise, de même que publiées sur le site web afin que la clientèle puisse être mis au courant en ce qui a trait au fonctionnement de l'entreprise.  

‍

Il sera obligatoire :

1. D’y inclure un cadre pour l’utilisation, la conservation et la destruction des renseignements personnels;
2. De définir les rôles et responsabilités du personnel tout au long du cycle de vie des renseignements personnels; et  
3. De mettre en place un processus de traitement des plaintes.  

‍

‍

Consentement  

Avec le projet de loi 64/Loi 25, les législateurs soulignent l'importance de cette exigence en mettant l'accent sur l'obtention d’un consentement adéquat de la part de vos clients. Chaque fois que des renseignements personnels seront recueillis pour une fin spécifique, il sera primordial d’obtenir un consentement quant à l’utilisation qui en sera faite.  

Advenant que la politique de consentement serait rédigée dans des termes peu claires ou que le consentement serait utilisé à d'autres fins que celles prévues, il sera jugé nul aux yeux de la loi et le traitement de ces données sera considéré comme étant illégal. Par conséquent, les entreprises devront revoir leur formulaire de consentement actuel.    

‍

Nouveaux droits à respecter  

En plus de donner aux citoyens davantage de pouvoir en lien avec la collecte de leurs données personnelles, des modifications substantielles ont été apportées aux droits préexistants dans le but de veiller à renforcer le contrôle que les individus ont sur leurs renseignements personnels. Compte tenu de cela, chaque organisation devra être prête à répondre à toute demande liée à ces droits.  

‍

À cet effet, les changements dans la loi introduisent des droits fondamentaux, tels que :  

• Le droit à la dé-identification  
• Le droit de désindexation ou de cessation de diffusion  
• Le droit de ne pas faire l'objet d'une prise de décision automatisée ou d'un profilage  
• Le droit à la portabilité des données    

‍

‍

‍Évaluation des facteurs relatifs à la vie privée (ÉFVP)

Les organisations n'auront d'autre choix que de se familiariser avec les ÉFVP puisqu'elles deviendront pratique courante. Il s’agit essentiellement d’une procédure de gestion des risques évaluant les facteurs liés à la vie privée d’un projet ou d’un système. Le projet de loi 64/Loi 25 prévoit d’ailleurs quatre (4) scénarios distincts dans lesquels il sera obligatoire de réaliser une ÉFVP. Notre formation aborde beaucoup plus en détails chacun des éléments en lien avec ce genre de procédure.  

‍

L'évaluation elle-même se devra d’être proportionnelle à la sensibilité des renseignements personnels concernés. Les entreprises devront :

1. Connaître le genre de renseignements personnels traités dans le cours de leurs activités
2. Disposer d'un processus de catégorisation, et  
3. Établir à quel point les ÉFVP devront être détaillées   

Traitement automatisé et fonctions de profilage

Il est possible que votre entreprise exploite des services et produits intégrant des processus automatisés ou peut-être même des processus de suivi des données personnelles. Si tel s’avère le cas, vous devrez revoir l’ensemble de vos systèmes afin de vous assurer de respecter les nombreuses restrictions qui y seront imposées.  

‍

Flux de données transfrontaliers et Externalisation

Chaque fois que votre entreprise transférera des renseignements personnels, un nouvel ensemble de règles s'appliquera à ces flux de données. Des accords contractuels clairs devront être mis en place. L'aspect le plus important à retenir quant à cette disposition est le fait que votre entreprise demeurera responsable de l’utilisation faite des renseignements personnels qui seront transférés à des tiers.  

‍‍  

‍

La confidentialité dès la conception et par défaut

La confidentialité dès la conception signifie que la vie privée est intégrée dans chacun de vos processus. Il sera nécessaire d'intégrer, par défaut, des paramètres de confidentialité au plus haut degré. Le respect de la vie privée devra également être pris en compte dès le début de tous vos projets impliquant des renseignements personnels. L’intégration de ce concept fournit aux utilisateurs la garantie que ceux-ci seront automatiquement protégés.  

‍  

‍

Rétention et destruction

Il sera crucial pour les entreprises de disposer de mécanismes spécifiques leur permettant de savoir quel type de données elles protègent, mais également pendant combien de temps elles doivent conserver ces données. Lorsque l'objectif initial de la collecte sera atteint, les données devront absolument être détruites. Dans certaines circonstances très spécifiques, les données peuvent être conservées uniquement si elles auront été préalablement anonymisées.  

‍

Sanctions et Pénalités  

Finalement, pour l'an prochain, de nouvelles peines sévères seront appliquées par l'autorité de surveillance et contrôle du projet de loi 64/Loi 25, soit la Commission d'accès à l'information (CAI), laquelle est désormais habilitée à voir à l’application de la nouvelle loi.  

‍

Ces pénalités pourraient atteindre des montants faramineux encore jamais vus dans le domaine de la vie privée au Québec. Du point de vue des entreprises, ces sanctions pourraient sans contredit s’avérer un énorme incitatif à se conformer à la loi. À titre d’exemple, les pénalités pourraient être de l’ordre de 25 millions de dollars.  

D’ici septembre 2024:   

‍  

Le droit à la portabilité des données

De l’ensemble des exigences que les entreprises devront mettre en œuvre, celle-ci sera fort probablement l'une des plus ardues puisque laborieuse à mettre en œuvre.  

‍

Ce droit permettra aux citoyens québécois de demander une copie du dossier concernant leur renseignements personnels qu'ils ont fournis à votre entreprise en format structuré et couramment utilisé.  

‍

En d'autres termes, les entreprises devront permettre aux individus d’obtenir une copie informatisée, donc sur un format technologique, des données personnelles que vous détenez à leur sujet. Pour ce faire, chaque compagnie devra adopter de nouveaux processus leur permettant de répondre à ces demandes. ‍  

‍

Conclusion  

Assurance IT comprend qu'il est difficile de s'y retrouver. Il ne fait aucun doute que le projet de loi 64/Loi 25 sera un défi pour toutes les entreprises québécoises.  

Considérant les heures de recherche qui vous attendent, il y a une manière plus simple pour savoir par où commencer.

Assurance IT offre une formation complète de 8 heures qui servira à vous préparer au nouveau cadre législatif québécois sur la confidentialité des données. Inscrivez-vous à la formation d'Assurance IT formation sur le projet de loi 64 /Loi 25 ici.

N’hésitez pas à nous faire parvenir un courriel à info@assuranceit.ca dans l’éventualité où vous auriez des questions à nous faire parvenir.

‍