Loi 25 et protection des renseignements personnels : un enjeu de première importance pour les organisations du Québec

Depuis que nous vivons à l’ère numérique, les technologies de l’information (TI) ont radicalement changé nos modes de vie dans toutes les sphères de l’activité humaine. En effet, désormais toutes nos données (écrits, sons, voix, images, etc.) peuvent être converties dans un format standard et facilement transférable partout dans le monde sur n’importe quelle plateforme³ par l’entremise d’Internet. Indiscutablement, ces nouvelles technologies ont apporté bien des bienfaits dans la vie de tous les jours, tant au niveau professionnel que personnel. Par contre, elles ont également entraîné une forte dépendance aux TI ainsi qu’une consommation sans cesse grandissante de données de toutes sortes. Il suffit de penser au nombre de fois que nous manipulons notre téléphone intelligent chaque jour…

Parallèlement, 2 phénomènes importants sont apparus. D’une part, les entreprises ont commencé à accumuler de plus en plus de données, incluant les renseignements personnels, ce tant pour leurs opérations que pour les analyser (Big Data) à des fins commerciales. Ce faisant, les entreprises ne se souciaient guère, bien souvent, du consentement de leurs clients ni de la protection ou de la confidentialité des personnels qu’elles collectaient auprès d’eux. 

D’autre part, l’ère numérique a vu l’émergence du fléau de la cybercriminalité, un mouvement endémique qui ne cesse de croître et de causer des ravages importants à l’échelle mondiale. En effet, les criminels du monde entier ont rapidement compris la valeur stratégique que représentaient les données des organisations. C’est pourquoi ils se sont mis à lancer des attaques de toutes sortes, souvent du confort de leur foyer, à l’aide notamment de rançongiciels⁴. Vu le taux élevé de succès de ces attaques, le faible risque de se faire prendre, et le coût abordable des logiciels malicieux en vente libre sur Internet, cette tendance en pleine effervescence n’est pas près de s’atténuer, bien au contraire.

C’est pourquoi les cracks de l’informatique répètent à qui veut les entendre : ce n’est pas si mais quand vous allez vous faire pirater…⁵

Ces facteurs combinés ont donné lieu à de spectaculaires attaques informatiques entraînant la compromission de millions de renseignements personnels aux dépends de la sécurité des personnes concernées⁶. Devant l’indignation générale reprise par les médias et aggravée par le manque d’imputabilité des organisations fautives, les autorités du monde entier, Europe en tête, ont décidé de dépoussiérer des lois devenues inefficaces et obsolètes pour mieux protéger les renseignements personnels. 

C’est dans ce contexte que la Loi 25 a vu le jour avec pour objectifs de 1) faire de la protection des renseignements personnels un droit fondamental, et 2) pour redonner aux citoyens le contrôle sur ceux-ci^7.

Essentiellement, la Loi 25 se distingue par des dispositions qui se fondent sur 3 thèmes principaux. Il y a d’abord l’obligation pour les entreprises d’obtenir le consentement de leurs usagers, avant de procéder à la collection et de faire usage de leurs renseignements personnels. La nature du consentement varie en fonction du degré de sensibilité des renseignements personnels concernés, et le consentement doit porter sur des finalités claires et non équivoques. 

Deuxièmement, les entreprises doivent faire preuve de transparence à l’égard du traitement et de la gestion qui seront réservés à ces données. Par exemple, une organisation ne pourra pas normalement utiliser des renseignements personnels à des fins autres que celles pour lesquelles les usagers ont donné leur consentement. En outre, une Politique de confidentialité affichant les mesures prises par une entreprise devra être publiée sur son site web. 

Par ailleurs, les personnes concernées par ces données disposeront dorénavant de nouveaux droits (en plus du droit à l’accès et du droit à la rectification dont ils disposaient déjà), incluant 1) le droit à l’oubli suivant lequel un usager peut demander à un moteur de recherche d’effacer ou de désindexer des renseignements le concernant s’il rencontre les conditions prévues par la loi⁸, 2) le droit à l’information suivant lequel un usager peut avoir accès à des renseignements additionnels sur les processus, les accès et les technologies qui pourraient être impliqués, et 3) le droit à la portabilité qui confère à une personne l’opportunité de récupérer l’intégralité de ses données sur un format numérique intelligible et couramment utilisé⁹. 

De plus, la loi prévoit la création d’une nouvelle fonction en entreprise, soit celle du Responsable de la protection des renseignements personnels (RPRP) dont la tâche, à défaut d’être déléguée, relève par défaut de la plus haute autorité de l’organisation. Le rôle de ce RPRP est fort important car il agit à titre d’agent de conformité au sein de l’entreprise. Dans le cadre de ses obligations, qui incluent, entre autres, celles de répondre aux demandes et aux plaintes des usagers, le RPRP doit veiller à l’intégration et au respect des règles de gouvernance de l’organisation en matière de protection des renseignements personnels.  

Le troisième volet de la Loi 25 porte sur l’imputabilité des entreprises à l’égard des renseignements personnels qui leur sont confiés. Désormais, elles seront responsables de leur confidentialité et de leur sécurité dès qu’elles les collecteront, et ce, jusqu’à leur date de péremption, c’est-à-dire le moment où ces données auront atteint leur fin de vie utile et qu’elles auront été détruites… Désormais, cette responsabilité sera maintenue même si ces renseignements sont confiés à des tiers-fournisseurs. De plus, l’entreprise qui les communique devra les assujettir à des ententes de confidentialité dont elles demeureront tributaires. Par ailleurs, une attention particulière devra être portée aux tiers-fournisseurs hors-Québec puisqu’une Évaluation des facteurs relatifs à la vie privée (EFVP) devra être réalisée avec chacun d’eux (en plus d’une entente de confidentialité!) afin de vérifier si la protection accordée aux renseignements personnels sera adéquate. 

Lors de l’adoption de la Loi 25, en 2021, le législateur avait prévu une entrée en vigueur par étapes successives entre septembre 2022 et septembre 2024. En date des présentes, l’essentiel des dispositions de la Loi 25 sont désormais en vigueur, à l’exception du droit à la portabilité dont l’échéance est prévue pour septembre 2024.

Pour inciter les organisations du Québec à se conformer sans retard à cette nouvelle Loi, le législateur a prévu des sanctions administratives et pénales qui actuellement sont les plus sévères au pays. En effet, la Commission d’accès à l’information, qui agit à titre d’autorité réglementaire à l’égard de la Loi 25, a le pouvoir d'imposer des sanctions administratives pécuniaires allant jusqu'à 10,000,000 $ (ou 2% du chiffre d'affaires mondial) et des sanctions pénales allant jusqu'à 25,000,000 $ (ou 4% du chiffre d'affaires mondial). Comme ces dispositions sont en vigueur depuis septembre 2023, les conseils d’administration des entités concernées devraient voir à ce que leur mise en conformité, si ce n’est déjà fait, devienne prioritaire à défaut de quoi leur responsabilité personnelle pourrait être engagée.

Ceci dit, est-ce que toutes les organisations du Québec sont visées par la Loi 25 ?

A priori, la réponse est oui. Quelle que soit la taille de votre organisation, votre chiffre d’affaires, qu’il s’agisse d’une organisation publique, privée, d’un OSBL, toutes sont visées par la loi (à moins que vous ne traitiez aucun renseignement personnel, ce qui est improbable). 

Vu ce qui précède, comment procède-t-on à une mise en conformité à la Loi 25 ?  

Essentiellement, ce processus peut se diviser en 3 phases¹⁰. Dans un premier temps, il est utile de procéder à une sorte d’audit de conformité pour déterminer ce qui a été mis en place pour assurer la protection des renseignements personnels et pour déterminer la nature, la volumétrie, et la distribution de ceux-ci à l’intérieur et à l’extérieur de l’organisation. Ceci permet d’identifier les lacunes et les démarches qui devront être prises en compte dans le plan de mise en conformité.

Ensuite, suivant les spécificités de l’organisation concernée, il faut développer les outils et la documentation légale nécessaires. Ceci inclut la désignation du RPRP, l’établissement d’un plan d’urgence en cas d’incident de confidentialité¹¹, l’élaboration des politiques et règles de gouvernance de l’organisation pour assurer la protection des renseignements personnels, la détermination des rôles, devoirs et responsabilités des membres du personnel à toutes les étapes du « cycle de vie » des renseignements personnels, etc. C’est aussi à cette étape que différents registres doivent être préparés (incluant, notamment, le registre des incidents de confidentialité et le calendrier de rétention et destruction des renseignements personnels) et que différentes informations doivent apparaître sur le site web de l’organisation (politique de confidentialité, sommaire détaillé des règles de gouvernance, et coordonnées pour rejoindre le RPRP). 

Une fois cette étape importante franchie, la troisième consiste à intégrer et à mettre en application les politiques et règles de gouvernances précitées. Ceci inclut, entre autres, la formation du personnel, la vérification des contrats de services avec les tiers-fournisseurs qui ont accès aux renseignements personnels pour valider les clauses de confidentialité qu’elles contiennent (le cas échéant), et la mise en place d’un processus de réponse aux demandes et aux plaintes des usagers/clients de l’entreprise à l’égard des renseignements personnels.

Par la suite, étant donné que l’interprétation de la Loi 25 est appelée à évoluer par l’entremise de la Commission de l’accès à l’information ou les tribunaux, le RPRP devra s’assurer de faire des mises à jour régulières afin de maintenir un niveau de conformité acceptable pour son organisation.

Vu ce qui précède, il est indéniable que les organisations du Québec devront se retrousser les manches, mettre de l’ordre dans leurs données et se réorganiser pour se conformer à la loi 25.

Pourtant, à l’ère numérique où l’information que l’on détient représente à la fois un atout et un risque pour les individus concernés, cette démarche s’avère nécessaire et dans l’intérêt de tous.