Loi 25 : Quoi faire maintenant?  

Le 21 septembre 2021, l’Assemblée nationale du Québec a adopté la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels1. Anciennement appelé projet de loi 64, il est maintenant possible d’y référer par un nom plus court, soit la Loi 25.  

La Loi 25 prévoit une entrée en vigueur progressive des nouvelles obligations aux dates suivantes :  

  • le 22 septembre 2022; 
  • le 22 septembre 2023; et 
  • le 22 septembre 2024.  

Bien que la majorité des nouvelles obligations entreront en vigueur le 22 septembre 2023, les entreprises ne peuvent se permettre d’attendre que quelques semaines avant cette date pour se mettre au travail. En effet, il faut commencer dès maintenant si ce n’est pas encore le cas pour votre entreprise.  

Voici donc quelques conseils pratiques et des pistes de réflexion utiles à considérer dès maintenant en lien avec les deux nouvelles obligations de la Loi 25 qui entreront en vigueur dès septembre 2022.  

Nomination du Responsable de la protection des renseignements personnels 

Dès le 22 septembre 2022, votre entreprise comptera parmi ses rangs un(e) Responsable de la protection des renseignements personnels. En effet, même si vous ne procédez pas à sa nomination, la personne ayant la plus haute autorité dans votre entreprise se verra automatiquement attribuer cette fonction.  

La Loi 25 prévoit la possibilité pour la personne qui a la plus haute autorité de l’entreprise de déléguer cette fonction, soit pour toutes les obligations ou seulement pour certaines d’entre elles. La délégation devra être faite par écrit. À noter que le titre et les coordonnées de cette personne devront être publiées sur le site web de votre entreprise d’ici le 22 septembre 2022. 

La principale responsabilité associée à ce nouveau rôle consiste à s’assurer que l’entreprise respecte et mette en œuvre la Loi sur la protection des renseignements personnels dans le secteur privé2. Plus concrètement, voici quelques exemples de dossiers qui devront être chapeautés par votre Responsable de la protection des renseignements personnels :  

  • Mise en place de politiques et de pratiques encadrant la gouvernance des renseignements personnels au sein de votre entreprise, incluant notamment :  
    • Des règles de conservation et de destruction des renseignements personnels; 
    • L’attribution des rôles et des responsabilités du personnel tout au long du cycle de vie des renseignements personnels; 
    • La mise en place d’un processus de traitement des plaintes en matière de protection des renseignements personnels; 
  • La réalisation d’évaluation de facteurs relatifs à la vie privée (EFVP)3
  • La gestion des incidents de confidentialité ainsi que du processus de notification, au besoin; 
  • S’assurer que le personnel de l’entreprise soit sensibilisé et formé sur la protection des renseignements personnels et ses enjeux; 
  • Mettre en place des mesures afin de faciliter le droit à la portabilité des données. 

Bien entendu, tous ces dossiers ne devront pas être réalisés par une seule et même personne. La personne responsable de la protection des renseignements personnels pourra s’entourer d’une équipe qui lui viendra en aide dans ses tâches et responsabilités. Cette équipe sera plus ou moins grande, dépendamment de la taille de votre entreprise et de l’ampleur de la tâche.  

Il est à noter que plusieurs exemples précités sont des obligations prévues à la Loi 25 qui entreront majoritairement en vigueur à partir de septembre 2023. Toutefois, il ne faut pas oublier qu’une période d’ajustement sera possiblement nécessaire à la personne désignée pour exercer cette fonction. Son rôle et ses responsabilités demandent une connaissance approfondie de votre entreprise et des différents processus déjà en place en matière de protection des renseignements personnels. C’est pourquoi il ne peut qu’être bénéfique de commencer dès maintenant à se questionner au sujet de la personne à qui vous souhaitez attribuer cette fonction et de déterminer si un processus de recrutement devra être enclenché. Plus vite elle entre en poste, plus vite elle sera en mesure de débuter la mise à niveau des processus de gouvernance et de conformité de votre entreprise aux nouvelles obligations prévues à la Loi 25.  

Signalement des incidents de confidentialité 

La deuxième obligation qui sera applicable dès le 22 septembre de cette année est le signalement des incidents de confidentialité. En effet, la Loi 25 prévoit que les entreprises devront aviser la Commission d’accès à l’information (la « CAI ») ainsi que les personnes concernées de tout incident de confidentialité impliquant des renseignements personnels si l’incident présente un risque de préjudice sérieux.  

Un incident de confidentialité survient lorsqu’il y a accès, utilisation, communication non autorisée, perte ou toute autre atteinte à la protection des renseignements personnels.  

Afin de déterminer si l’incident présente un risque de préjudice sérieux, il faut prendre en considération le niveau de sensibilité des renseignements personnels impliqués, les conséquences de leur utilisation ainsi que la probabilité que ces renseignements soient utilisés à des fins préjudiciables. Cette évaluation pourra être faite avec l’aide de votre personne responsable de la protection des renseignements personnels ainsi que de votre avocat(e).  

Les entreprises devront également tenir un registre de tous les incidents de confidentialité survenus et ce registre devra être communiqué à la CAI à sa demande. D’ailleurs, un projet de règlement est actuellement à l’étude et permettra d’avoir plus de détails sur le contenu qu’il faudra retrouver dans ce registre.  

Ces nouvelles obligations impliquent plusieurs considérations à ne pas négliger. En voici quelques-unes :  

  • La mise en place de mesures de sécurité adéquates afin d’être en mesure de prévenir efficacement la survenance d’incidents de confidentialité et de les détecter rapidement;  
    • Pour ce faire, il est essentiel d’avoir un inventaire des renseignements personnels collectés par votre entreprise. En effet, on ne peut pas protéger des données de manière adéquate si l’on ne connaît pas leur nombre exact ainsi que leur emplacement; 
  • S’assurer d’avoir un processus de gestion des incidents en place vous permettant de documenter l’incident, notamment en étant en mesure de déterminer si des renseignements personnels sont impliqués et, le cas échéant, de quelle manière ils sont impliqués, et de mettre en œuvre des solutions de remédiation utiles et efficaces afin de minimiser le préjudice; 
  • Définir à l’avance les rôles et responsabilités de votre personnel lors d’un incident; 
  • S’assurer que le registre est mis à jour après chaque incident impliquant des renseignements personnels; 
  • Déterminer la marche à suivre lorsque l’incident présentera un risque de préjudice sérieux et nécessitera une notification à la CAI ou aux personnes concernées ainsi que les mesures de remédiation qui leur seront proposées dans une telle situation. 

Il est essentiel de considérer tous ces éléments avant la survenance d’un incident de confidentialité. C’est de cette manière que vous pourrez être véritablement prêt lorsqu’un incident surviendra. D’ailleurs, il existe plusieurs outils qui peuvent être utilisés afin de vous y préparer. Par exemple, la CAI a élaboré un guide à l’intention des organismes et des entreprises contenant des éléments à considérer lors de la perte ou du vol de renseignements personnels qui est disponible sur son site web4

Conclusion 

L’entrée en vigueur progressive de la Loi 25 peut donner une fausse impression aux entreprises d’avoir beaucoup de temps devant elles afin de mettre en place les nouveaux processus assurant leur conformité aux nouvelles obligations. Ce n’est malheureusement pas le cas.  

La préparation à l’entrée en vigueur des nouvelles obligations devrait déjà être commencée et si ce n’est pas le cas, nous espérons que cet article aura su vous éclairer sur les premières étapes à réaliser dans ce processus de mise en conformité. D’ailleurs, nos experts chez Mondata sont à votre disposition pour toute question relative à la sécurité de votre entreprise et en matière de réponse aux incidents!