Depuis le 22 septembre dernier, le gouvernement du Québec oblige toutes les entreprises, villes, municipalités et organismes à se conformer à la Loi 25 relative à la protection des données personnelles. Même si depuis bientôt cinq mois elle est en vigueur, elle ne séduit toujours pas les entrepreneurs !
La Commission d’Accès à l’Information (CAI) qui régit la Loi 25 a mentionné dans le cadre d’un article paru dans La Presse, qu’elle recevait un signalement par jour de violation de données, c’est-à-dire qu’on l’informait quotidiennement de l’existence d’une cyberattaque.
Les attaques informatiques sont devenues récurrentes et ne sont pas cantonnées à un secteur d’activité en particulier, et même, comme elles sont susceptibles d’atteindre toutes les entreprises actives au Canada et à travers le monde, il est important plus que jamais de se protéger pour minimiser les vols de données personnelles provenant des employés, des fournisseurs et des clients. Les données financières sont parmi les principales motivations d’un pirate informatique, celui-ci pouvant même rechercher un arrêt de production et de transactions dans le but de mettre à mal un secteur d’activité ou l’économie du pays.
Devant l’importance de ces données, qui se vendent à prix d’or sur le Dark Web, le Gouvernement du Québec a mis en place la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, connue comme la Loi 25, qui positionne le Québec à l’avant-garde en la matière.
Première phase (en vigueur depuis le 22 septembre 2022)
- Obligation d’exercer la fonction de responsable de la protection des renseignements personnels ou de la déléguer par écrit à une autre personne et de publier les coordonnées du responsable ;
- Obligation de former un comité sur l’accès à l’information et la protection des renseignements personnels ;
- Obligation d’aviser la Commission et la personne concernée de tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice et de tenir un registre devant être fourni à la Commission sur demande ;
- Nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale ;
- Obligation de divulguer toute banque de caractéristiques ou de mesures biométriques à la Commission au moins 60 jours avant sa mise en service.
Seconde phase (en vigueur à compter de septembre 2023)
- Obligation de mettre en œuvre des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier des informations détaillées au sujet de celles-ci ;
- Nouvelles obligations de transparence comme celles :
- de publier les règles encadrant sa gouvernance à l’égard des renseignements personnels ;
- de publier une politique de confidentialité rédigée en des termes simples et clairs si vous recueillez par un moyen technologique des renseignements personnels et aviser les personnes concernées de ses mises à jour ;
- d’informer la personne concernée lorsqu’elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé ;
- d’informer la personne lors du recours à une technologie d’identification, de localisation ou de profilage et des moyens offerts pour activer ces fonctions.
- Anonymisation des renseignements personnels ;
- De nouveaux assujettis à la Loi sur le privé, comme les partis politiques provinciaux ;
- Obligation de réaliser une évaluation des facteurs relatifs à la vie privée dans certaines situations ;
- Nouvelles règles entourant le consentement ;
- Droit à la désindexation (ou droit à l’effacement ou à l’oubli) ;
- Nouvelles conditions de communication des renseignements personnels à l’extérieur du Québec ;
- Nouvelles conditions de communication des renseignements personnels facilitant le processus de deuil ;
- Nouvelles conditions entourant la collecte de renseignements personnels concernant un mineur de moins de 14 ans ;
- Obligation de prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public ;
- Possibilité pour la Commission d’imposer des sanctions administratives pécuniaires.
Troisième phase (en vigueur à compter de septembre 2024)
À cette étape, le droit à la portabilité sera la toute dernière disposition à entrer en vigueur, à la fois dans les secteurs public et privé. Il est important de s’y préparer dès que possible, puisque cette obligation peut impliquer des changements plus structurants de la part des organisations.
Les sanctions
Mécanismes réparatoires dès septembre 2023
La Loi 25 reconnait le droit d’un particulier d’être indemnisé pour le préjudice résultant de l’atteinte illicite à ses droits par dommages-intérêts compensatoires.
Sanctions :
- Dépend du montant de dommages-intérêts compensatoires octroyé.
- En cas de faute lourde ou intentionnelle, le tribunal doit imposer des dommages-intérêts punitifs d’au moins 1000$.
Sanctions administratives pécuniaires
Il est à noter que la CAI peut imposer des sanctions administratives pécuniaires pour les manquements. De même, ’une entreprise ayant fait l’objet d’une sanction administrative et qui continue de contrevenir à la loi pourrait être sanctionnée en vertu du régime pénal.
Sanctions :
- Pour une personne physique : Montant maximal de 50 000$.
- Dans les autres cas : Montant maximal de 10 M$ ou 2% du chiffre d’affaires mondiales.
Poursuites pénales
La CAI peut intenter des poursuites pénales pour les infractions. En effet, toute poursuite pénale doit être intentée dans un délai de cinq ans de la perpétration de l’infraction.
Sanctions :
- Pour une personne physique : de 5000 $ à 100 000 $.
- Dans les autres cas : de 15 000 $ à 25 M$ ou 4 % du chiffre d’affaires mondiales.
Le non-respect de la loi peut engager la responsabilité des administrateurs d’une personne morale.
Vers un registre provincial des incidents ?
Selon mon analyse, il ne serait pas étonnant de voir apparaître dès septembre 2024, un registre provincial répertoriant les incidents avec les sanctions émises en découlant. Cet outil serait sans doute un incitatif important permettant d’assurer de bonnes pratiques en matière de protections des données des entreprises.
Une bonne communication
Une bonne communication devra être un des principaux cheval de bataille au moment où surviendra un incident et devra répondre aux attentes des investisseurs et des clients. Les communications formatées à partir d’outils de marketing n’auront plus leur place. La gestion de ce type de crise devra viser à rassurer et en même temps, à démontrer le mécanisme mis en place pour enrayer l’incident.
Conclusion
Disons-le tout de suite, si vous attendez une subvention pour vous conformer à la Loi 25, c’est peine perdue. Cette mise en place incombe à toutes les entreprises et sera, en 2024, aussi légale que le droit de vote ! Rien de moins.