Par Sabrina Leung
Le 22 septembre 2023, des modifications apportées par la Loi 25 modernisant la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « LPR ») sont entrées en vigueur. Pour les entreprises québécoises, cela signifie la mise en place de nouvelles mesures visant à protéger la vie privée du public à l’égard de leurs renseignements personnels.
Gouvernance des données personnelles
Afin de se conformer aux nouvelles obligations prévues à la LPR, une entreprise devra donc désormais avoir établi des politiques et pratiques encadrant la gouvernance des renseignements personnels, notamment en vue d’en assurer la protection et la saine gestion.
Mentionnons que le champ d’application de la LPR vise toute personne exploitant une entreprise, qu’elle soit ou non à caractère commercial, et indépendamment de sa taille. La mise en place des mesures prévues à la LPR doit cependant être proportionné à la réalité de l’entreprise et de ses activités.
Évaluation des facteurs de risque
En pratique, cela s’accompagne d’une obligation pour l’entreprise de réaliser une évaluation personnalisée des facteurs relatifs à la vie privée pour toute activité impliquant la gestion de toutes données personnelles, tant des clients que des employés. Un tel examen implique entre autres l’identification des situations dans lesquelles des données personnelles sont en jeu. Les activités visées sont par exemple celles impliquant la collecte, l’utilisation, la communication, la protection, la destruction ou l’anonymisation de données personnelles.
Objectivement, l’évaluation de facteurs relatifs à la vie privée permet à une entreprise d’identifier ses principaux facteurs de risques en la matière. La mitigation de tels risques passe alors par la mise en place de processus réfléchis et contextualisés en fonction de la réalité de l’entreprise. Si les risques ponctuels sont ceux ayant la plus grande probabilité de survenance, ce sont souvent les risques systémiques qui posent un risque plus important en cas d’occurrence, tant pour l’entreprise elle-même que pour le public.
Ces récentes mesures s’ajoutent à celles déjà en place depuis septembre 2022, notamment celle requérant la désignation d’un responsable de la protection des renseignements personnels. Ce responsable peut de ce fait, directement ou indirectement, coordonner l’implantation processuelle au sein de l’entreprise.
De tels processus permettent d’englober l’ensemble du cycle de vie d’une donnée personnelle au sein de l’entreprise. Ainsi, il sera pertinent de s’interroger sur la pertinence et la nécessité initiale de l’entrée même d’une donnée personnelle au sein de l’entreprise, puis de sa gestion et de sa fin d’existence.
Mitigation des risques
La mitigation adéquate des risques implique pour une entreprise un système cohésif et proportionné de gestion des incidents de confidentialité. Cela passe entre autres par la tenue d’un registre des incidents. Si la prévention de tels incidents demeure la clé, un processus rigoureux d’identification et de gestion d’incidents en cas de survenance s’avère vital. En effet, ce n’est pas tous les incidents qui représentent un risque sérieux, mais si tel est le cas, certaines situations exigent que l’incident soit divulgué à la Commission d’accès à l’information.
Contrôle de l’application de la loi
C’est effectivement la Commission d’accès à l’information qui est chargée de la vérification et de l’application des mesures prévues à la LPR. Ces nouvelles dispositions législatives ne sont donc pas à prendre à la légère. La Commission peut notamment imposer des sanctions allant jusqu’à 25M$ ou équivalent à 4% du chiffre d’affaires mondial de l’entreprise. Par ailleurs, certains manquements peuvent entraîner la responsabilité personnelle des administrateurs d’une entreprise. Soulignons cependant que les nouvelles mesures législatives n’exigent pas l’absence d’incidents, mais bien la mise en place de mesures adéquates en fonction du contexte de l’entreprise pour encadrer la protection des données personnelles.
Il s’avère par conséquent d’autant plus fondamental pour une entreprise de mettre au défi ces processus et de s’accorder la flexibilité afin de les améliorer en cas de besoin, notamment à la suite de la survenance d’un incident. À l’image du monde qui l’entoure, une entreprise croit et évolue au fil du temps, et son adaptabilité s’avère souvent gage de succès. Rappelons-nous que ce sont les processus qui sont au service de l’entreprise, et non l’inverse.
Pour toute question concernant l’élaboration ou la mise en place de tels processus au cœur de votre entreprise, ou pour des clarifications concernant les modalités de la LPR, n’hésitez pas à contacter un membre de notre équipe!
CMKZ remercie Florence Beauregard, stagiaire en droit, pour la préparation de cet article.