Skip to content

Projet loi 64 – Protection des données personnelles

Loi 64 - Responsabilités des données personnelles

Devant les cyberattaques qui se multiplient et les masses de données personnelles qui sont exfiltrées, le besoin d’un changement est apparu rapidement. La volonté du gouvernement de mieux protéger les renseignements personnels (RP) des Québécoises et Québécois est devenue une nécessité et une priorité. En conséquence, le projet de loi no 64 (Maintenant connue sous la Loi 25) fut adopté à l’Assemblée nationale en septembre 2021.

Cette nouvelle loi n’a rien de bien plaisant pour les entreprises. Pas plus pour moi comme « Monsieur TI Sécurité » étant une entreprise incorporée, que pour vous comme entrepreneurs ou gestionnaires d’entreprise. Par contre, socialement il est important que certaines choses soient faites avec plus qu’un minimum de rigueur pour que nos données personnelles ne se retrouvent pas partout sans notre consentement. Ces nouvelles dispositions législatives responsabilisent donc entre autres les entreprises privées. C’est autant les très petites entreprises (TPE), les PME que les grandes entreprises qui y sont assujetties. Ceci arrive déjà à grands pas pour la première phase.

Gestion responsable

Tout réside dans la gestion des données personnelles et la responsabilité qui vient avec celles-ci.

De toute évidence, on ne peut nier qu’en tant qu’entreprise, nous recueillons et manipulons des données personnelles. Aujourd’hui toutes celles-ci sont en majorité informatisées. Pour une très petite entreprise (TPE), c’est possiblement plus simple. Mais si votre entreprise comporte plusieurs activités complexes incluant la manipulation des données de vos employés, vos fournisseurs ainsi que vos clients et autres, alors il devient d’autant plus difficile à bien encadrer toutes leurs gestions de façon responsables.

À titre d’exemple, juste d’un point de vue des ressources humaines et de la paie, il y a les données personnelles des employés. On y retrouve leur : nom, prénom, date de naissance, numéro d’assurance sociale, salaire, adresse, téléphone, courriel, etc. Il y a des entreprises qui détiennent ou manipulent beaucoup de données personnelles. Il n’y a qu’à penser aux bureaux de notaire, une pharmacie, et sûrement d’autres d’autant plus importantes sinon plus.

Par ce que tout est pratiquement informatisé de nos jours, alors on se doit d’avoir des systèmes informatiques qui offrent la possibilité de très bien contrôler les accès aux données avec rigueur. De plus, il est important de conserver la traçabilité des activités. Alors, un système informatique doit aussi offrir la création et conservation des journaux des activités d’accès et de manipulation des données. Cette solution offre tout cela est même davantage. De cette façon, il devient très simple de savoir qui a eu accès à quoi et à quel moment. Bien évidemment, il est super important aussi d’avoir des sauvegardes régulières et chiffrées « Backups » selon la norme reconnue de la The 3-2-1 Backup Rule. Raison de plus d’avoir une bonne solution de sauregardes. Elle vous permettra aussi de sortir plus rapidement d’une mauvaise situation de « Ransomware ».

Commission d’accès à l’information

Dans le projet de loi, il y est mentionné que la Commission d’accès à l’information (CAI) du Québec élaborera des lignes directrices afin d’en faciliter l’application. Leur documentation pourra donc aider les entreprises à se conformer adéquatement à ces modifications. Sachez que vous en serez tout de même responsable et les choses ne s’organiseront pas toutes seules. Alors, faites appel à des spécialistes en technologie de l’information (TI) et en sécurité informatique qui ont l’habitude de ces choses-là pour bien vous orienter.

Mise en application

Parlons maintenant des grandes lignes de ces nouvelles responsabilités que nous devons considérer. Ces responsabilités sont assez exigeantes et vaut mieux y voir au plus tôt que tard. Sachez tout de même que le délai de leurs mises en application est prévu sur une période de trois ans. Chaque année, vous devrez avoir pris les mesures nécessaires. Voici la ligne de temps qui est imposée.

Ce qui est prévu à la phase 1 doit être fait avant le 22 septembre 2022. Voyons les points saillants de cet échéancier de trois ans.

Phase 1 – Pour le 22 Sept. 2022

Les organisations doivent désigner un responsable de la protection des données personnelles qui sera chargé de la conformité.

Les organisations sont aussi tenues d’informer la Commission d’accès à l’information en cas de violation des données.

Les personnes victimes ou touchées par toute utilisation non autorisée de leurs renseignements personnels doivent également être informées.

Sous toute réserve, je crois qu’à défaut d’avoir nommé une personne responsable, le ou les dirigeants légaux seront responsablent conjointement.

Phase 2 – Pour le 22 Sept. 2023

L’obligation pour chaque organisation d’établir et de mettre en œuvre des politiques et des pratiques concernant la gouvernance des données.

Les organisations doivent effectuer des évaluations des facteurs relatifs à la vie privée (EFRVP) pour les opérations de traitement qui nécessitent la collecte, la divulgation, l’utilisation ou la destruction de données personnelles.

Le droit pour les personnes de demander aux organisations de cesser de diffuser leurs renseignements personnels et de désindexer tout hyperlien associé à leur nom.

L’obligation pour les organisations de détruire les renseignements personnels une fois que l’objectif pour lequel ils ont été recueillis est atteint.

Les organisations qui transfèrent des données à des tiers doivent conclure un accord écrit avec ces derniers. L’autre partie doit fournir une description des mesures prises pour préserver la confidentialité des données.

Les organisations doivent obtenir un consentement explicite pour utiliser les renseignements de nature délicate des clients à des fins secondaires.

Lors de la collecte de données personnelles, les organisations doivent fournir les renseignements suivants :

  • L’objectif de la collecte;
  • Les méthodes utilisées pour la collecte;
  • Les droits d’accès et de rectification;
  • Le droit de retirer le consentement;
  • Les organisations doivent rédiger ces changements dans un langage clair et simple et les documenter.

Phase 3 – Pour le 22 Sept. 2024

Portabilité des données — Une personne peut demander que les renseignements personnels recueillis à son sujet lui soient communiqués ou soient communiqués à une autre organisation dans un format déterminé.

Traitement automatisé — Obligation pour les organisations d’informer les personnes lorsque leurs renseignements personnels sont utilisés pour prendre des décisions fondées sur le traitement automatisé de ces renseignements. À la demande de la personne, les organisations doivent lui indiquer les données précises utilisées et les principaux facteurs qui ont conduit à ces décisions.

Source de l’information — Si une personne le demande, les organisations doivent fournir la source utilisée pour obtenir ses données.

Responsabilités

Voici la liste des responsabilités qui sont sanctionnables quant à la gestion que nous devons faire des renseignements personnels (RP).

  • défaut d’informer les personnes concernées de l’objet du dossier, de l’utilisation qui sera faite des RP, des catégories de personnes qui y auront accès, de l’endroit et de la durée de conservation de ses RP, ainsi que des droits d’accès ou de rectification;
  • collecte ou d’utilisation de RP en contravention avec les dispositions de la présente loi;
  • non-déclaration d’un incident de confidentialité à la CAI ou aux personnes concernées;
  • défaut d’informer la personne concernée qu’une décision fondée exclusivement sur un traitement automatisé a été prise à son sujet.

Sanctions

Maintenant voici les sanctions pour la non-conformité. La Commission d’accès à l’information du Québec aura le pouvoir d’imposer des sanctions pour non respect de certaines de vos responsabilités quant à la gestion des renseignements personelles (RP).

Sanctions administratives

Il y a de lourdes sanctions en cas de non-conformité. Ces sanctions administratives peuvent atteindre 50 000$ pour une personne physique et 10 000 000$ pour une organisation ou 2 % du chiffre d’affaires mondial de l’exercice financier précédent, si ce dernier montant est plus élevé.

Sanctions pénales

Quant aux sanctions pénales, elles peuvent être imposées dans plusieurs autres cas, et atteindre 50 000 $ dans le cas d’une personne physique et 25 000 000 $ pour une organisation ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent, si ce dernier montant est plus élevé.

Conclusion

Vous devez considérer la gestion des données personnelles comme quelque chose de très sérieux. Les responsabilités qui incombent sont importantes et les sanctions sont d’autant plus coûteuses. Alors, faites vos premiers pas rapidement, pour obtenir une bonne gestion de vos données personnelles, car le temps passe rapidement et vous risquez d’être pris au dépourvu. Parce que tout est informatisé, un système informatique offrant une gestion d’accès rigoureuse à ces données est fortement suggérée afin d’obtenir une imputabilité et une traçabilité lors d’audit. La source d’information sur le sujet est la CAI. Elle nous offrira les lignes directrices. De plus, des consultants d’expérience en TI ou en sécurité informatique pourront aussi vous assister.

Pour plus d’information, n’hésitez pas à joindre le groupe d’entraide ou me contacter directement pour de l’accompagnement.

Offrez-vous « LA PAIX d’ESPRIT » avec cette solution adaptée pour TPE et PME

Devenez vous aussi rapidement avisés, proactifs et Cybersécuritaire !
« Les bénéfices d’une prévention minimale en sécurité dépassent largement son investissement »
– Joel Dubois

Facebook
LinkedIn
YouTube