Nous sommes heureux de vous retrouver pour la deuxième partie de l'entretien avec Mathilde Canque, responsable de la protection des renseignements personnels et experte en gestion de risques et conformité chez Hitachi Systems Security. Dans la première partie, nous avons énuméré et défini le déploiement en trois phases de la législation, discuté des principaux éléments de la loi 25 et vous avons donné le point de vue de Mme Canque sur le rôle du responsable de la protection des renseignements personnels et des mesures organisationnelles à mettre en œuvre en général. Dans cette deuxième partie de la série en deux parties, nous poursuivrons notre entretien avec Mme Canque pour discuter du reste de la loi 25 ainsi que de la manière dont les organisations peuvent se préparer aux mandats de conformité de la loi.
Question: La définition d' « incident de confidentialité » de la nouvelle loi québécoise est-elle la même que celle d’ « atteinte aux mesures de sécurité » de la législation fédérale actuelle ?
Réponse: Elle est similaire, mais il y a quelques différences essentielles.
Une " atteinte aux mesures de sécurité" est définie dans la LPRPDE comme la communication non autorisée ou perte de renseignements personnels, ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation ou du fait que ces mesures n’ont pas été mises en place.
La loi 25 définit l'"incident de confidentialité" comme tout accès, utilisation ou communication non autorisés d'un renseignement personnel, la perte d'un renseignement personnel ou tout autre atteinte à la protection d'un tel renseignement..
La loi 25 inclut également l'utilisation non autorisée de renseignements personnels, ce qui la rend plus large que la définition d’ "atteinte aux mesures de sécurité" dans la législation fédérale actuelle.
Question: Si une organisation a des raisons de croire qu'un incident de confidentialité s'est produit, l'obligation de prendre des mesures raisonnables pour réduire le risque de préjudice et prévenir de futurs incidents de même nature découle-t-elle uniquement de la nouvelle loi québécoise ?
Réponse: Bien que la définition de ce qu'est un incident ou une atteinte affectant des renseignements personnels puisse différer d'une législation à l'autre, la loi 25 n'est pas la seule réglementation exigeant la prise de mesures appropriées pour réduire les risques associés. En effet, des exigences similaires peuvent être observées dans le cadre de la LPRPDE, ou du Règlement général sur la protection des données (RGPD) dans l'Union européenne.
Lorsqu'un tel événement se produit et que l'organisation découvre l’incident, la loi 25, la LPRPDE ou le RGPD exigeront de l'organisation qu'elle enquête sur la violation pour évaluer le risque et prendre les mesures appropriées, notamment :
En effet, en vertu de la loi 25, si la documentation de l’incident est toujours requise pour démontrer la conformité aux législations sur la protection de la vie privée (principe de responsabilité), la notification d'un tel événement sera requise en cas de "risque de préjudice sérieux", ce qui est similaire à un "risque réel de préjudice grave" en vertu de la LPRPDE.
L'évaluation du risque sera effectuée au cas par cas, en considérant par exemple :
Les mesures existantes au moment de l'incident et les mesures supplémentaires prises et/ou proposées pour atténuer les risques doivent également être prises en compte pour l'évaluation des risques.
Question: Les organisations doivent-elles commencer à tenir un registre de toutes les violations en vertu de la nouvelle loi québécoise ?
Réponse: Oui, de manière similaire à la LPRPDE et au RGPD, les organisations soumises à la loi 25 devront garder trace de chaque incident de confidentialité dans un registre dédié afin de maintenir leur activité en conformité avec la loi. De cette façon, l’organisation sera en mesure de fournir des informations à la CAI (l’autorité de protection des données du Québec) sur demande et de démontrer sa conformité à la loi. En outre, les organisations doivent conserver la documentation pendant une période de cinq ans, soit trois ans de plus qu'en vertu de la LPRPDE.
En outre, dans la phase 2, qui débutera fin 2023, la CAI disposera d'une large autorité pour ordonner à toute personne impliquée dans un incident de confidentialité de prendre toute mesure nécessaire pour protéger les droits des personnes concernées.
Cela inclut, mais n'est pas limité à :
Alors que l'application de la loi 25 a commencé en septembre 2022 avec la première étape des exigences, la plus grande partie de la loi est pour septembre 2023. À cet égard, et si elles n'ont pas déjà commencé, les organisations devront établir et mettre en œuvre un cadre de protection de la vie privée comprenant des pratiques et des politiques proportionnelles à l'étendue et à la nature des activités de l'entreprise pour protéger les renseignements personnels
La loi 25 définit des exigences spécifiques concernant la protection et la destruction des renseignements personnels , les responsabilités et les rôles des membres du personnel tout au long du cycle de vie des renseignements personnels , ainsi que la mise en œuvre d'un processus de traitement des plaintes.
Élaborez et mettez en œuvre un cadre de protection de la vie privée décrivant vos politiques et pratiques en ce qui concerne l'utilisation et la protection des renseignements personnels = par l'organisation. Ce cadre devrait notamment inclure un plan de réponse aux incidents de confidentialités , des calendriers de conservation des données, les rôles et responsabilités des membres du personnel de l'organisation tout au long du cycle de vie des renseignements personnels , ainsi que des procédures pour les demandes d'accès et le traitement des plaintes.
Publiez des informations claires, simples et détaillées sur les pratiques de l'organisation sur votre site web, par le biais d'une politique de confidentialité.
Si vous recueillez des renseignements personnels par des moyens technologiques, fournissez une politique de confidentialité rédigée dans un langage clair et simple sur votre site web.
En outre, l'organisation doit réaliser des évaluations des facteurs relatifs à la vie privée (EFVP) dans certains cas. Tout d'abord, l'organisation doit réaliser une EFVP pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels
Deuxièmement, les entreprises doivent effectuer des ÉFVP avant de communiquer un renseignement personnel à l’extérieur du Québec. Dans le cadre de cette évaluation, l'entreprise doit tenir compte de la sensibilité des renseignements, des fins auxquelles ils seront utilisés et des mesures de protection utilisées pour le transfert. Les entreprises doivent également évaluer si les renseignements recevront une protection adéquate conformément aux "principes de protection des données généralement reconnus" dans la juridiction vers laquelle ils sont envoyés.
Enfin, une organisation doit réaliser une EFVP lorsqu'elle divulgue des informations personnelles couvertes "à des fins d'étude ou de recherche" sans le consentement des personnes concernées.
Le RGPD R a établi le "droit à l'oubli" et le "droit à la portabilité" et la loi 25 crée des droits très similaires à ceux offerts par le RGPD . Le droit à l'effacement des renseignements personnels entre en vigueur en septembre 2023 et exige que les personnes puissent demander aux organisations de cesser de diffuser leurs renseignements personnels. Dans les cas où cette diffusion leur cause un préjudice (ou lorsqu'elle contrevient à une décision de justice), ils auront également le droit de faire désindexer tous les liens Internet associés à leur nom.
En outre, tout comme le RGPD ou le CCPA en Californie, aux États-Unis, en vertu du droit à la portabilité, les organisations seront tenues de fournir aux personnes les renseignements personnels recueillies à leur sujet dans un format technologique structuré et couramment utilisé afin de permettre la réutilisation des renseignements personnels pour, par exemple, un service similaire. L’exigence en matière de portabilité est la seule disposition modifiant la loi sur le secteur privé qui prendra effet lors de la phase 3 ou en septembre 2024.
La loi 25 rapproche les lois québécoises en matière de protection de la vie privée au RGPD, le principal cadre de référence en protection des données dans le monde. Étant donné que les États-Unis ne sont pas régis par une loi fédérale globale sur la protection de la vie privée, le California Consumer Privacy Act (CCPA) est considéré comme l'une des évolutions les plus importantes en la matière dans le pays.
Pour clore la deuxième partie de l'article et de l'entretien avec Mme Canque, nous voulions connaître ses dernières réflexions sur la loi. Nous lui avons donc demandé de comparer et d'opposer la loi 25 au RGPD et au CCPA.
Réponse: Les trois législations présentent des similitudes dans la mesure où elles s'appuient sur les mêmes principes fondamentaux proposés par l'OCDE, avec une volonté marquée pour le Québec et la Californie de s'aligner sur les pratiques européennes. Cependant, l'approche diffère d'une législation à l'autre.
Une différence essentielle sera le champ d'application de chaque législation, où la loi 25 et le GDPR s'appliquent à tous les individus résidents respectivement au Québec et dans l'Union européenne. En revanche, le CCPA ne protégera que les consommateurs situés en Californie.
Un autre bon exemple serait l'obligation de consentement et la base juridique applicable à la collecte et au traitement des informations personnelles. En effet, la loi 25 exige que les organisations demandent le consentement avant de collecter des renseignements personnels. En vertu du RGPD cependant, le traitement des données personnelles peut être autorisé sous plusieurs justifications, par exemple l'existence d'une obligation légale, l'existence d'un contrat ou un intérêt légitime. En Californie, l'obtention d'un consentement préalable n'est pas obligatoire et le CCPA confie au consommateur la responsabilité de demander la suppression des données après leur collecte.
Question: Dernière question Mme Canque, pouvez-vous recommander des ressources pour aider les organisations à démarrer avec la Loi 25 ?
Réponse: Nous avons aidé des dizaines d'organisations à mettre à niveau leur cadre de protection de la vie privée pour qu'il soit conforme aux législations applicables en la matière, nous sommes donc toujours là comme ressource pour les organisations. De plus, je recommande une approche étape par étape et basée sur les risques ; les listes de contrôle comme celle de McMillan sont toujours de bonnes ressources pour commencer. Je recommande également de se référer aux lignes directrices fournies par les autorités de contrôle au Québec et au Canada, mais aussi dans le monde entier avec le Comité européen de la protection des données (CEPD) pour en savoir plus sur les meilleures pratiques internationales. Enfin, l'International Association of Privacy Professional (IAPP) est également une excellente source d'information.
Merci à Mme Canque pour son interprétation réfléchie de la Loi 25 et pour ses conseils et recommandations francs lors de notre entretien. Merci beaucoup !
