Cet article fait partie de notre série de blogues sur le projet de loi 64, qui offre aux lecteurs une vue d’ensemble du projet de loi 64 et des modifications importantes qu’il apporte à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « Loi sur le secteur privé »). Pour consulter les autres entrées de la série de blogues, veuillez visiter cette page.

La Loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels (le « projet de loi 64 » ou le « projet de loi ») a reçu la sanction royale le 22 septembre 2021 et devrait apporter des changements importants à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « Loi sur le secteur privé »). Dans le cadre d’une série de blogues sur la façon dont les entreprises peuvent se préparer au mieux à l’introduction de ces nouvelles obligations, ce blogue traite des obligations de gouvernance qui incombent aux entreprises et qui devraient entrer en vigueur dès le 22 septembre 2022.

Les modifications notables apportées par le projet de loi 64 à la Loi sur le secteur privé en matière de gouvernance corporative exigent certaines démarches de la part des entreprises, incluant :

  • la nomination d’une « personne responsable de la protection des renseignements personnels » (la « PRPRP ») au sein de l’organisation ;
  • l’établissement et la publication de politiques et de pratiques de gouvernance en matière de renseignements personnels ;
  • la réalisation d’une évaluation de la protection des renseignements personnels pour le développement, l’acquisition ou le remaniement de projets de services électroniques impliquant des renseignements personnels ; et
  • l’établissement de procédures de réponse aux demandes basées sur les droits présentées par des personnes dont les renseignements personnels peuvent être recueillis.

Politiques et publication

La Loi sur le secteur privé ne requérait pas strictement que les entreprises élaborent une politique de gouvernance concernant le traitement des renseignements personnels, bien que cette pratique se soit répandue à l’initiative des entreprises. Les entreprises devront désormais maintenir des politiques et des pratiques de gouvernance visant à protéger les renseignements personnels et qui sont proportionnelles à la nature et à la portée de leurs activités.[1] Ces politiques doivent être rédigées de manière claire et publiées par des moyens appropriés par l’entreprise, y compris sur son site web.[2] Parmi les exigences de base qui devront être abordées dans une politique de gouvernance :

  • un système de conservation et de destruction des renseignements personnels recueillis;
  • des rôles et responsabilités définis pour le personnel tout au long du cycle de vie des informations personnelles détenues ;
  • un processus de traitement des plaintes concernant la protection des renseignements personnels détenus ; et
  • une obligation spécifique pour les entreprises qui collectent des informations à l’aide d’un moyen technologique tel qu’un site web, de publier la politique de protection des renseignements personnels et les modifications ultérieures sur leur site web.[3]

Les entreprises qui se conforment à la Loi fédérale sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») devraient déjà connaître les principes du projet de loi 64 à cet égard, puisque des exigences similaires sont prévues par le principe de « responsabilité ».[4] Le RGPD suit une approche alternative, exigeant la divulgation des avis de protection des renseignements personnels dans le cadre du principe de transparence.[5] Lorsque des informations personnelles sont recueillies auprès d’une personne, le responsable du traitement doit lui fournir l’identité, les coordonnées, les objectifs de la collecte et les méthodes pour déposer une plainte, généralement par écrit.[6] Bien que cela ne soit pas explicitement requis, la conformité au RGPD implique généralement la publication d’une politique de protection des renseignements personnels complète sur le site Web d’une entreprise afin de respecter le principe de transparence.[7]

L’approche du projet de loi 64 concernant les exigences en matière de politique et de procédure s’aligne en grande partie sur les exigences existantes de la LPRPDE et du RGPD. Une distinction potentielle est la nature détaillée des divulgations de politiques et de procédures requises pour se conformer à la Loi 64. Le projet de loi 64 exige que les politiques établissent le cycle de vie des renseignements personnels ainsi que les responsabilités du personnel à l’égard des renseignements personnels. Une deuxième distinction est la méthode de diffusion requise par la Loi sur le secteur privé, qui exige une divulgation plus fréquente et publique que la LPRPDE ou le RGPD. Le projet de loi 64 exige que les entreprises diffusent publiquement l’intégralité de leurs politiques de protection des renseignements personnels. Le bureau et les directives du Commissaire à la protection des renseignements personnels ont donné une interprétation similaire au principe de « transparence » de la LPRPDE, bien que moins rigoureuse et explicite.[8] Les organisations conformes à la LPRPDE doivent rendre les informations sur les politiques et procédures facilement accessibles sans effort déraisonnable, ce qui inclut la divulgation sur des sources accessibles au public comme un site Web, ou dans l’accord où le consentement est obtenu.[9] De même, le RGPD exige une certaine divulgation publique des politiques de protection des renseignements personnels, mais la politique complète ne doit pas être diffusée avant qu’une demande ne soit soumise ou que des données ne soient collectées.

Exigences de réponse

Tel que discuté dans un billet précédent, la Loi sur le secteur privé ne contenait pas d’exigences spécifiques pour aviser les individus ou la Commission d’accès à l’information (la « CAI ») en cas d’incident de confidentialité. Les ajouts du projet de loi 64 à la Loi sur le secteur privé exigent que les entreprises avisent rapidement la CAI, ainsi que toute autre personne dont les renseignements personnels ont été touchés, dès que survient un incident de confidentialité qui pose un « risque de préjudice sérieux ».[10] Les entreprises doivent également tenir un registre de tous les incidents de confidentialité, quelles que soient les conséquences de l’atteinte, et envoyer le registre à la CAI sur demande.[11]

Le projet de loi 64 aligne plus étroitement les exigences en matière d’intervention en cas d’incident de confidentialité, de déclaration, et de tenue de registres sur les exigences existantes de la LPRPDE et du RGPD. La LPRPDE exige que les organisations tiennent et conservent des dossiers sur chaque atteinte aux mesures de sécurité touchant les renseignements dont elles ont le contrôle, qu’elle pose ou non un « risque réel de préjudice grave », et qu’elles fournissent un registre au Commissaire à la protection de la vie privée sur demande.[12] Lorsque les atteintes posent un « risque réel de préjudice grave », les entreprises doivent signaler l’atteinte au Commissariat à la protection de la vie privée et aux personnes concernées dès que possible.[13] Le RGPD maintient des exigences similaires, bien que plus strictes. Les entreprises sont tenues de conserver, de maintenir et de fournir sur demande aux autorités de surveillance, un registre des atteintes à la confidentialité et des mesures correctives adoptées.[14] Dans le cas où une atteinte entraîne un risque élevé de préjudice pour une personne concernée, l’entreprise doit faire rapport à l’autorité de surveillance compétente dans les 72 heures, et les personnes concernées doivent être informées sans délai.[15]

Le projet de loi 64 accorde également aux individus le droit de présenter des demandes concernant leurs renseignements personnels. Les entreprises doivent répondre à ces demandes rapidement. Les individus ont le droit de demander l’accès, de corriger des informations erronées, de faire désindexer ou réindexer leurs données, et de faire transmettre les renseignements personnels détenus par l’entreprise à un tiers dans un format structuré. Dans chaque cas, les entreprises doivent disposer d’un moyen pour accepter la demande, y répondre et l’exercer dans un délai raisonnable. Ces dispositions du projet de loi 64 reflètent le plus étroitement possible celles du RGPD, pour lequel chacun de ces types de demandes doit également faire l’objet d’une réponse de la part des entreprises dans un délai raisonnable.

Exigences opérationnelles

En vertu de la version précédente de la Loi sur le secteur privé, les entreprises étaient responsables dans leur ensemble de la mise en œuvre de mesures visant à protéger les renseignements personnels de leur clientèle. Alors que la nomination de responsables de la protection des renseignements personnels était une pratique courante parmi les entreprises avant le projet de loi 64, un nouveau rôle est désormais obligatoire pour toute entreprise exerçant une activité commerciale, la PRPRP.[16] La PRPRP sert à la fois de liaison principale entre le public et l’entreprise pour les questions relatives aux renseignements personnels et il est responsable de la mise en œuvre des mesures de protection des renseignements personnels au sein de l’entreprise. Ces mesures incluent :

Sous la version précédente de la Loi sur le secteur privé, les entreprises étaient responsables dans leur ensemble de la mise en œuvre de mesures visant à protéger les renseignements personnels de leur clientèle. Alors que la nomination de responsables de la protection des renseignements personnels était une pratique courante parmi les entreprises avant le projet de loi 64, un nouveau rôle est maintenant obligatoire pour chaque entreprise engagée dans une activité commerciale, la « Personne responsable de la protection des renseignements personnels ». La PRPRP sert à la fois de liaison principale du public et de l’entreprise pour les questions relatives aux renseignements personnels et est responsable de la mise en œuvre des mesures de protection des renseignements personnels au sein de l’entreprise. Ces mesures incluent :

  • répondre dans un délai de 30 jours aux demandes d’accès et de rectification ;
  • fournir des raisons écrites pour justifier leur refus d’accepter les demandes d’accès ou de rectification ;
  • enregistrer la communication des notifications d’incidents de confidentialité à des tiers susceptibles de réduire les risques ;
  • évaluer le risque de préjudices lors d’un incident de confidentialité ;
  • servir de point de contact pour les demandes de collecte de renseignements personnels auprès des individus ; et
  • attester de la désindexation ou réindexation et de la cessation de la diffusion des renseignements personnels, lorsque la Loi sur le secteur privé modifiée l’exige ;

Par défaut, la personne ayant la plus haute autorité dans l’entreprise remplis la fonction de PRPRP. Toutefois, cette fonction peut être déléguée à toute autre personne par écrit, y compris à des personnes extérieures à l’entreprise. Le PRPRP doit également voir son titre et ses coordonnées publiés sur le site Web de l’entreprise.[17]

Un autre changement opérationnel, abordé dans notre billet précédent TechLex sur les transferts transfrontaliers, est l’introduction de nouvelles exigences en matière d’évaluation de la protection des renseignements personnels. La Loi sur le secteur privé exige que le PRPRP soit consulté dès le début de tout projet d’acquisition, de développement et de remaniement d’un système d’information ou d’un projet de prestation de services électroniques.[18] De plus, les données qui sont transférées à l’extérieur de la province doivent également faire l’objet d’une évaluation des incidences sur les renseignements personnels qui tient compte de la sensibilité des renseignements, des mesures de protection contractuelles et autres adoptées et du cadre juridique de la juridiction cible du transfert.[19] Les exigences du projet de loi 64 sont plus lourdes par rapport à celles requises par le RGPD. Le RGPD exige une évaluation de la protection des données (« EPV ») uniquement lorsque le traitement des données implique un « risque élevé pour les droits et libertés des individus ».[20] Lorsque le traitement des données implique une combinaison de profilage, de décisions automatisées ayant des conséquences juridiques, de données spécifiquement sensibles, ou une fusion de données, une EFDP peut être requise avant le traitement. En comparaison, le projet de loi 64 exige qu’une EFVP soit menée afin d’établir ces risques, et dans tous les cas impliquant l’acquisition de systèmes informatiques ou le transfert transfrontalier de données plutôt que seulement ceux présentant un risque élevé. Les entreprises devront aligner leurs politiques et processus internes pour se conformer aux exigences de l’évaluation d’impact, conjointement avec la supervision du PRPRP.

Avec la diversité des exigences de gouvernance d’entreprise introduites par le projet de loi 64, les entreprises devraient envisager les mesures concrètes suivantes pour assurer leur conformité:

  1. Nommer une personne responsable des renseignements personnels

La nomination d’une PRPRP doit être traitée en priorité car cette obligation doit entrer en vigueur le 22 septembre 2022 (alors que la plupart des modifications entreront en vigueur le 22 septembre 2023). La Loi sur le secteur privé modifiée exige que chaque entreprise exerçant une activité commerciale nomme un PRPRP (en interne ou par un tiers). Les entreprises devraient examiner leurs options et la capacité nécessaire des personnes nommées par la PRPRP, étant donné la vaste portée des obligations incombant à la PRPRP en vertu des modifications apportées par le projet de loi 64.

  1. Établir un registre des incidents de confidentialité

Une obligation tout aussi pressante qui entrera en vigueur le 22 septembre 2022 est l’établissement d’un registre des atteintes et des politiques et procédures connexes. Les modifications du projet de loi 64 exigent que les entreprises tiennent un registre accessible de tous les incidents de confidentialité, et pas seulement de ceux qui entraînent un risque de préjudice grave. Les entreprises qui se conforment déjà aux régimes de protection des renseignements personnels existants devraient adapter leurs pratiques et leurs politiques afin de se conformer aux obligations de déclaration des atteintes prévues par le projet de loi 64, y compris les procédures de redressement.

  1. Planifier la réponse aux demandes

Les entreprises devraient envisager de planifier leurs réponses aux demandes fondées sur les droits introduites par le projet de loi 64. Il faut notamment commencer à rédiger des politiques et à établir des procédures pour répondre en temps utile aux demandes d’accès, de rectification, de réindexation, désindexation et de portabilité des données. Notez que la conformité aux demandes de portabilité des données est soumise à la période d’entrée en vigueur plus longue de 3 ans (22 septembre 2024).

  1. Créer des politiques de gouvernance claires concernant les renseignements personnels

À titre d’obligation à long terme, mais néanmoins importante, les entreprises devraient commencer à rédiger une politique de gouvernance précise en matière d’informations personnelles. La loi modifiée sur le secteur privé exige que les politiques de protection des renseignements personnels fournissent des informations détaillées et complètes concernant le cycle de vie des données recueillies par l’entreprise. Cela nécessite également un recensement des données, ce qui pourrait nécessiter du temps. Les politiques de gouvernance doivent également être diffusées de manière appropriée, ce qui doit être pris en compte pour les entreprises qui ne maintiennent pas une présence en ligne significative. Parmi les politiques de gouvernance nécessaires, on trouve un modèle d’évaluation de l’impact sur la vie privée et des procédures connexes à appliquer lorsque de nouveaux systèmes informatiques sont introduits et lorsque des informations personnelles sont transférées à des tiers. L’élaboration d’une politique de gouvernance complète est également l’occasion d’examiner la stratégie globale de l’entreprise en matière de protection des renseignements personnels, et de rectifier toute omission pour assurer la conformité d’ici le 22 septembre 2023.

Conclusion

Le projet de loi 64 a apporté des modifications substantielles aux exigences de déclaration qui s’appliquent aux entreprises qui traitent des renseignements personnels au Québec. Les modifications à la Loi sur le secteur privé concernant la gouvernance d’entreprise doivent entrer en vigueur dès le 22 septembre 2022, et les sanctions sévères en cas de non-conformité entreront en vigueur le 22 septembre 2023, les entreprises devraient commencer à planifier la façon d’aligner leurs pratiques de gouvernance sur les nouvelles exigences du projet de loi 64.