Inspiré par le modèle européen de protection des données, le projet de loi 64 a apporté de nouvelles modifications à la Loi québécoise sur la protection des renseignements personnels dans le secteur privé. L'entrée en vigueur de l'ensemble des nouvelles obligations décrites dans le projet de loi adopté a été répartie sur trois ans, à compter du 22 septembre 2022.
Les experts de Systèmes de Sécurité Hitachi ont déjà fourni un aperçu pratique sur comment choisir un responsable à la protection des renseignements personnels ou un délégué à la protection des données, l'une des nouvelles obligations prévues pour cette première série de changements. Dans le cadre de la série d'obligations prévues à partir de septembre 2022, les organisations devront également mettre en œuvre des mécanismes renforcés de réponse aux violations de renseignements personnels.
Nos experts ont préparé la liste suivante avec quatre actions majeures pour soutenir la conformité à cette nouvelle obligation.
Pour assurer l'efficacité de toute mesure de protection de la vie privée et des renseignements personnels, les organisations doivent mettre en place des procédures claires et spécifiques conformément aux exigences légales applicables. Dans le cas de violations de renseignements personnels impliquant la juridiction du Québec, l'un des premiers éléments qui doit être inclus dans ces procédures est la manière d'évaluer si une telle violation présente un risque de préjudice grave. Il est crucial de pouvoir l'identifier le plus rapidement possible, car si l'atteinte présente un risque de préjudice grave, l'organisation doit en aviser sans délai la Commission d'accès à l'information (CAI) ainsi que les personnes dont les renseignements personnels ont été impliqués, comme nous le présenterons plus loin dans cette liste.
Par conséquent, ces procédures (ou la procédure) devraient au moins préciser comment garder un registre des violations de renseignements personnels, comment le plan d'intervention doit être mis en place pour atténuer le risque de préjudice, et comment procéder en cas de demande de la CAI concernant des incidents ou des violations impliquant des renseignements personnels.
Les organisations devraient mettre en œuvre un plan de réponse aux incidents clair afin de déterminer si un incident ou une violation de renseignements personnels s'est produit et de prendre des mesures raisonnables pour réduire le risque de préjudice et prévenir des événements similaires. Ce document guide les équipes sur la manière de procéder en cas de violation de renseignements personnels ou de suspicion de violation. Même s'il est recommandé de traiter ces violations au cas par cas, ce document fournira un plan d'action approprié pour les décisions urgentes et soutiendra le contrôle des risques et des dommages.
Conformément aux dispositions légales et à celles décrites dans les procédures et le plan de réponse aux incidents, l'organisation doit être prête non seulement à répondre à la CAI lorsqu'on le lui demande, mais aussi à la notifier en cas de violation des renseignements personnels – ainsi qu'aux personnes dont les informations ont été affectées. Cette notification doit être envoyée par écrit et fournir une gamme d'informations liées à la violation, telles que (i) le nom de l'organisation ou le numéro d'entreprise au Québec, (ii) le nom et le contact d'une personne responsable pour discuter des questions liées à l'événement, et (iii) les mesures prises ou prévues par l'organisation après l'événement, entre autres informations.
Les organisations doivent également savoir que dans certaines situations, elles peuvent donner un avis public, par exemple lorsque les coordonnées de la personne concernée sont inconnues ou lorsque l'envoi d'un avis individuel est susceptible de causer un préjudice injustifié à l'organisation. Ces exceptions et d'autres doivent être correctement observées et documentées.
Finalement, les organisations doivent documenter les violations de renseignements personnels qui se sont produites. Ce document est communément appelé registre des incidents ou des violations et comporte généralement, au moins, les éléments suivants :
- une description des renseignements personnels impliqués.
- une brève description de l'incident (date/heure, comment, qui, quand, où, pourquoi – toute information de contexte disponible).
- le moment où l'organisation a pris connaissance de la violation ou de l'incident.
- combien de personnes et/ou de renseignements personnels ont été affectés par l'incident/la violation (même s'il s'agit d'un nombre approximatif).
- l'existence (ou non) d'un risque de préjudice grave pour les personnes concernées et comment l'organisation est parvenue à cette conclusion.
- Le cas échéant, la date à laquelle les notifications appropriées de l'incident/de la violation ont été transmises à la CAI ou aux personnes concernées (ou les avis publics, le cas échéant).
- les mesures mises en œuvre par l'organisation pour contrôler et/ou atténuer les risques de préjudice.
Lorsque l'une des informations ci-dessus n'est pas identifiée ou identifiable, vous devez également le documenter, afin de justifier l'absence de cette information.
Chacune de ces mesures comporte plusieurs étapes pour atteindre un niveau acceptable de conformité à la nouvelle législation. Par conséquent, chacune d'entre elles nécessite du temps et la disponibilité de ressources (qui peuvent être internes ou externalisées, par exemple en utilisant les services fournis par Systèmes de Sécurité Hitachi).
C'est pourquoi, même si la mise en œuvre de cette réforme au Québec s'échelonnera de 2022 à 2024, les organisations doivent entamer immédiatement leurs processus de mise en conformité afin de ne pas manquer l'échéance et de s'exposer à de lourdes sanctions. Si votre entreprise ne se conforme pas aux nouvelles exigences, elle s'exposera à des conséquences importantes, notamment de lourdes amendes et tous les effets négatifs découlant d'une atteinte à la réputation.
C'est pourquoi il est si important non seulement de connaître les nouvelles exigences légales, mais surtout de les mettre en pratique, ce qui peut être fait avec l'aide de l'expertise de ceux qui sont dans le domaine de la protection des renseignements personnels et de la cybersécurité depuis des années.
Cliquez ici pour planifier un rendez-vous en ligne gratuit avec nos experts en protection des renseignements personnels. Ils vous aideront à mieux comprendre les obligations applicables à votre organisation et la meilleure façon d'aborder les nouvelles exigences dans votre cas.
