Vie privée / Conformité Loi 25

Ces dernières années, l'omniprésence des ordinateurs et d'Internet a entraîné ce que l'on appelle désormais « l'ère numérique ». Celle-ci se distingue par une interconnectivité et une interopérabilité sans précédent entre les individus, les machines et les réseaux à travers le monde.

L'un des aspects les plus remarquables de cette révolution technologique est la capacité de convertir tout type d'informations (mots, images, sons, etc.) en une forme standard, c'est-à-dire en « données » ou « data », et de pouvoir les communiquer sur Internet avec des tiers où qu’ils soient presque instantanément.

En l'espace de 2-3 décennies, cette révolution a complètement bouleversé notre société, en particulier la façon dont nous interagissons, communiquons et menons des affaires. C'est pourquoi une grande majorité d'entreprises ont développé une dépendance aux systèmes d'information connectés à Internet pour gérer leurs opérations. Cette dépendance devrait s’accentuer considérablement avec l'émergence de l’intelligence artificielle, l'automatisation (industrie 4.0), le développement de l’Internet des objets (IoT) et le déploiement de la technologie 5G.

Bien que ces innovations technologiques offrent des avantages significatifs à leurs utilisateurs, elles soulèvent également d'importantes questions relatives à la cybersécurité, la confidentialité et la vie privée qui sont lourdes de conséquences.

Qu'est-ce que le droit à la vie privée?

La vie privée peut être définie comme le droit d'un individu de ne pas partager ou divulguer certaines informations personnelles, ou le droit de les garder anonymes ou confidentielles. Parce que ce droit est un principe fondamental d'une société démocratique, il est notamment reconnu à l'article 5 de la Charte des droits et libertés de la personne du Québec.

Pourtant, quotidiennement, les gens sont régulièrement appelés à révéler d’une façon ou d’une autre une partie de leur vie privée. En effet, dans le cours normal de leurs activités, les organisations recueillent, utilisent et divulguent systématiquement des renseignements personnels ou « RP » (comme le numéro d'assurance sociale, l'adresse, le numéro de téléphone, la date de naissance, les revenus, le numéro d'assurance-maladie, etc.) concernant leurs employés, clients, partenaires, etc. Naturellement, si les individus acceptent ou sont obligés de divulguer leurs RP afin d'obtenir un service, ils sont en droit de s’attendre que ceux-ci soient utilisés à des fins légitimes et raisonnablement protégés, à défaut de quoi leur utilisation illégale ou non-autorisée pourrait s’avérer très préjudiciable pour les personnes concernées (violation de la vie privée, atteinte à la réputation, fraude, usurpation d'identité, etc.).

Pourquoi se soucier du droit à la vie privée en entreprise?

La confidentialité et la protection des renseignements personnels sont devenues des préoccupations grandissantes au sein de la population. En effet, les citoyens s'intéressent de plus en plus aux politiques de confidentialité et à la réputation des entreprises avant de faire des affaires avec elles ou de leur confier leur RP. Cette méfiance est imputable aux abus fréquents entourant la collecte et la protection des renseignements personnels par les organisations au fil des ans, ce qui a contribué dans une large mesure à la compromission de millions de comptes d'utilisateurs contenant des RP.

Devant cette complaisance généralisée à l’égard de la sécurité des RP, diverses juridictions ont exprimé la volonté d'adopter des lois plus restrictives et contraignantes à l’égard des organisations afin de mieux protéger les RP. L’adoption du Règlement général sur la protection des données (ou « RGPD ») en Europe et du Consumer Privacy Act (ou «CCPA») en Californie sont des exemples éloquents de cette tendance. Pour sa part, le gouvernement fédéral au Canada a déposé le projet de loi C-27 (Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications connexes et corrélatives à d'autres lois).

De son côté, le gouvernement du Québec a  adopté une loi ambitieuse, la Loi 25 intitulée Loi modernisant les dispositions législatives concernant la protection des renseignements personnels, laquelle est entrée en vigueur dans toutes ses dispositions le 22 septembre 2024. Cette nouvelle législation signale de grands changements pour la communauté d’affaires du Québec car elle comporte de nouvelles obligations pour les organisations privées et publiques dont les suivantes: celle de désigner une personne responsable de la gestion des RP, d'établir des règles de gouvernance relatives aux RP, de divulguer les incidents de confidentialité et d'obtenir un consentement libre et éclairé avant de collecter les RP. Elle prévoit également de nouveaux droits pour les individus dont le droit à l'information, au retrait du consentement, à l’accès et à la rectification, et à l'effacement des archives de l'entreprise. La mise en application de cette loi entraîne une véritable révolution dans la gestion des RP d’autant plus que son non-respect exposera les entreprises à amendes sévères.

Compte tenu du temps et des ressources qui seront nécessaires pour se conformer aux nouvelles exigences de la Loi sur la Protection des Renseignements Personnels dans le Secteur Privé (modernisée par la Loi 25), et considérant les effets bénéfiques qu’elle sous-tend en matière de contrôle des données et de gestion de risque, il est dans l'intérêt des entreprises québécoises de revoir leurs priorités en conséquence afin d’éviter de procéder à des investissements coûteux qui pourraient s’avérer non-conformes.

Quels sont les risques inhérents aux renseignements personnels?

La plupart des organisations collectent pour divers motifs des RP dans le cours normal de leurs affaires, que ce soit pour les RH, les services, le marketing, la santé, les finances, les contrats, etc. En tant que telles, ces organisations sont tout autant exposées aux cybermenaces que celles qui n’en gèrent pas. Cependant, en cas de cyber incident impliquant la compromission des RP, les questions relatives à la vie privée et à la confidentialité peuvent considérablement augmenter le risque d’une entreprise à l’égard de ses opérations, sa réputation, sa responsabilité et/ou sa conformité.

Du point de vue du droit à la vie privée, les risques sous-jacents à un incident de confidentialité impliquant des RP peuvent être détaillés comme suit :

1. Risque opérationnel : La compromission de RP peut obliger une organisation à interrompre partiellement ou complètement ses opérations pendant un certain temps afin de déterminer la source/cause d’un incident de confidentialité, d'isoler et d'éradiquer la menace, et de déterminer quels RP ont été compromis afin de prendre les mesures de contingence appropriées. Le temps d'arrêt qui s'ensuit peut s’avérer très coûteux et même fatal pour une organisation compte tenu de l'impact négatif que ceci entraînera sur le moral, la performance et l’image de l'entreprise.
2. Risque de poursuites : Un incident de sécurité impliquant des RP exposera immanquablement l'organisation à des poursuites judiciaires, notamment des recours collectifs, pour les dommages subis par les victimes (utilisateurs, clients, employés, partenaires commerciaux, actionnaires, etc.). Plus le nombre de victimes est important, plus le risque potentiel sera grand.
3. Risque réputationnel : La compromission des RP peut s’avérer très préjudiciable à l'image et à la réputation d'une organisation surtout si l’aspect relations publiques est négligé et/ou s’il s’avère qu’elle a été négligente dans la protection des RP. Les conséquences peuvent se traduire par un déclin des commandes car cela ne manquera d’affecter la confiance des clients, des employés, des partenaires commerciaux, des fournisseurs d'assurance et, nécessairement, la valeur même de l'organisation.
4. Risque de non-conformité : Les organisations ont le devoir de se conformer aux exigences de la loi. Bien que les lois québécoises relatives à la protection de la vie privée aient été jusqu'à présent plutôt permissives à l’égard des entités qui négligeaient la protection des RP, la Loi 25 ne manquera pas d’apporter des changements de comportement significatifs au sein des entreprises à l’égard de la gestion des RP tout en prévoyant de sévères amendes pour les contrevenants. En conséquence, le devoir de conformité deviendra désormais un enjeu important à considérer dans l’analyse de risque que devront faire les entreprises en matière de gestion des RP.