La Loi 25, adoptée en 2021, vise à réformer la réglementation en matière de protection des renseignements personnels. Elle a introduit des exigences accrues en matière de consentement, de transparence et de sécurité des données pour les entreprises du Québec.
La mise en application de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels s’est échelonnée sur trois ans. La dernière portion, axée sur le droit à la portabilité des données, est entrée en vigueur le 22 septembre dernier.
Depuis, les organisations ont l’obligation de communiquer un renseignement personnel informatisé recueilli par elles à toute personne concernée ou à un organisme autorisé à le recueillir, lorsque la demande en est faite. Cette communication doit être effectuée dans un format technologique structuré et couramment utilisé, par exemple un format de type CSV ou XML, précise le gouvernement du Québec.
Le droit à la portabilité vise à encourager la concurrence et à faciliter le droit du consommateur à changer de fournisseur, que ce soit pour un service Internet ou une institution financière, illustre Kateri-Anne Grenier, associée et cocheffe, protection des renseignements confidentiels, vie privée et cybersécurité, et avocate en litige commercial chez Fasken.
Cela fait en sorte qu’on ne peut pas refuser de remettre les informations fournies pour constituer son dossier à la personne ou à un nouveau fournisseur en invoquant la non-disponibilité de l’information sur un format technologique facile à utiliser.
Le droit à la portabilité ne vise toutefois pas les renseignements personnels recueillis en format papier ni ceux créés ou induits par une entreprise, par exemple pour un profil d’utilisateur sur le Web.
Des défis à relever
La mise en place de cette législation a posé et pose toujours des défis pour les entreprises. L’avocate explique que « tout le monde est visé par la loi, même les entreprises qui font du B2B. Ces entreprises ne recueillent peut-être pas des renseignements sur leurs clients en tant qu’individus, mais elles ont des employés. À partir du moment où une entreprise a des employés au Québec, elle est assujettie à la loi 25 ».
Or, bien que la Loi sur la protection des renseignements personnels dans le secteur privé existe depuis 1994, « les entreprises avaient manifestement peu investi de ressources et avaient mis en place peu de processus », constate-t-elle. Mais, la loi 25, qui augmente les obligations des entreprises et ajoute des sanctions importantes, « a créé un effet de réveil collectif ».
L’un des défis qu’ont dû relever la majorité des entreprises a été de procéder à un inventaire de données duquel doivent découler leurs politiques et leur cadre. « Et ça, je vous dirais que ce n’était pas fait dans la plupart des entreprises, observe Kateri-Anne Grenier. […] Et l’inventaire, c’est un défi, mais ça se fait avec des solutions humaines et technologiques. C’est une étape qui est primordiale dans un exercice sérieux. »
L’autre défi, une fois qu’un programme de conformité à la loi 25 a été mis en place, consiste à le mener à bien à l’intérieur de l’entreprise. « Donc, une fois que c’est fini, ça recommence, c’est-à-dire qu’on a adopté notre cadre, les politiques, on a renégocié nos contrats avec les fournisseurs, on a sécurisé nos systèmes, on a donné des rôles et des responsabilités aux acteurs à l’interne, et après, il faut faire des vérifications ponctuelles, annuelles, bisannuelles, et auditer ces processus pour savoir s’ils fonctionnent, s’ils peuvent être améliorés, s’ils sont respectés », explique-t-elle.
Une démarche de conformité à la loi 25 implique forcément des coûts, mais aussi des avantages. Cela permet de valoriser les données et de bien les caractériser, selon Kateri-Anne Grenier. « Ça permet aussi de réaligner les objectifs des équipes de marketing et de vente sur ce qui est conforme et non conforme […]. Ça permet de protéger l’entreprise quand elle négocie les contrats, parce que maintenant, les obligations sont telles que l’entreprise qui veut confier des renseignements à l’extérieur du Québec doit prendre certaines précautions. Elle doit, lorsqu’elle a de nouveaux projets technologiques, faire les EFVP [évaluations des facteurs relatifs à la vie privée] », ajoute l’avocate.
Une telle démarche, quand elle est faite en amont, permet une meilleure gestion des risques. « Une entreprise qui garde trop de données trop longtemps, ou qui a des données qu’elle n’aurait pas dû collecter à la base, s’expose de façon évidente lors d’incidents de confidentialité et devra faire face à une gestion de crise. Cela concerne particulièrement les entreprises qui font affaire avec les consommateurs où le risque réputationnel est non négligeable », prévient Kateri-Anne Grenier.
La loi 25 prévoit d’ailleurs la possibilité pour la Commission d’accès à l’information d’imposer des sanctions administratives pécuniaires dans le secteur privé. Ces sanctions peuvent s’élever jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial si ce montant est plus élevé.
« Lorsque des données d’individus – que ce soient des employés ou des clients – sont exfiltrées, poursuit-elle, et qu’elles sont de nature à poser un risque de préjudice pour ces personnes, par exemple un risque de vol d’identité, nous devrons non seulement assumer des frais pour notifier individuellement ces individus, mais il est fréquent que l’entreprise propose également des mesures de protection pour les aider, notamment des facilités pour s’inscrire gratuitement à un service de surveillance du crédit comme Equifax ou TransUnion. »
En fin de compte, la plupart des entreprises que Fasken a accompagnées voient dans la démarche de conformité « une mesure de prévention, et sont d’avis que les coûts investis vont être moindres que le coût de faire face à une crise soudaine […] », fait valoir Kateri-Anne Grenier.