Interview de Mathilde Canque, responsable de la protection des renseignements personnels, experte en gestion de risques et conformité, d'Hitachi Systems Security.

Nous avons eu le grand plaisir d'interviewer notre experte en gestion de la conformité et protection des données, Mathilde Canque, sur l'impact de la loi 25 qui a commencé à prendre effet à la fin du mois dernier. Cette loi a été adoptée l'année dernière et sera déployée en trois phases, dont la première a débuté il y a quelques semaines à peine, fin septembre. Trois grands thèmes se dégagent de ces changements : (i) un renforcement des droits des individus, (ii) des adaptations à la réalité des petites et moyennes entreprises et (iii) l'assouplissement des mesures permettant la communication de renseignements personnels à l'extérieur du Québec. 

Avant d'aborder l'entretien avec Mme Canque, nous avons voulu préparer le terrain en présentant un bref résumé des principaux éléments du projet de loi 64, devenu la Loi 25, et des phases au cours desquelles la loi s'appliquera aux organisations privées du Québec. En termes généraux, la Loi 25, la loi sur la protection des renseignements personnels du Québec, met à jour les lois sur la protection de la vie privée de la province avec les dernières tendances mondiales et les meilleures pratiques. Par exemple, la loi est similaire au Règlement général sur la protection des données (RGPD) de l'Europe. 

Comparaison entre la loi 25 et le RGPD - Téléchargement immédiat du PDF

Voici quelques-uns des impacts les plus importants que le projet de loi 64 aura sur la Loi sur le secteur privé et la date à laquelle ils devraient entrer en vigueur. 

 

Phase 1 de 3 de la séquence de déploiement de Law 25 - Responsable de la protection des renseignements personnels et incident de confidentialité. 

Phase 1, MAINTENANT - Responsable de la protection des renseignements personnels et le signalement des incidents de confidentialité. -
Depuis septembre 2022, les entreprises doivent désigner une personne chargé d’assurer la mise en conformité à la loi 25. Par défaut, la loi modifiée désigne le PDG de chaque entreprise comme responsable de la protection des renseignements personnels, mais les organisations peuvent confier ce rôle à toute personne. Dans les deux cas, l'organisation doit publier le nom, le titre et les coordonnées de la personne, par exemple sur le site Internet de l'organisation.

Les organisations doivent commencer à informer la CAI (Commission d'accès à l'information) et les personnes concernées de toute atteinte à la confidentialité des renseignements personnels compromis qui présente un " risque de préjudice grave " pour les personnes touchées. La détermination d'un risque de préjudice grave peut être évaluée en fonction des facteurs de " risque réel de préjudice important " décrits dans la LPRPDE, qui évalue généralement la sensibilité des renseignements personnels concernés par l'atteinte et la probabilité que les renseignements personnels fassent l'objet d'une utilisation abusive. Les organisations doivent tenir un registre de toutes les violations, mais le contenu et les détails des registres devraient être promulgués par la CAI dans les mois à venir.

Pour être clair, les autres dispositions suivantes de la phase 1 sont maintenant en vigueur :

1. L'obligation de désigner une personne responsable - en clair, il s'agit du responsable de la protection des renseignements personnels.
2. Les incidents de confidentialité - ou plus simplement, les violations lorsque des renseignements personnels sont exposées
3. La divulgation de renseignements personnels à des fins d'étude ou de recherche
4. La divulgation de renseignements personnels dans le cadre d'une transaction commerciale
5. La divulgation d'informations relatives au traitement d'une plainte par un établissement d'enseignement à la demande de la personne qui a déposé la plainte.

 

Phase 2 de 3 de la séquence de déploiement de la Loi 25 - Contrôles de conformité et de protection de la vie privée.

Phase 2, 2023 - Cette phase de mise en œuvre est beaucoup plus complète que la phase 1 en ce qui concerne la façon dont les organisations recueillent, traitent et protègent les renseignements personnels. De plus, la phase 2 offre aux personnes une plus grande transparence quant à la façon dont les organisations traitent et protègent leurs renseignements personnels, notamment:

1. Droit à l'oubli
   1. À partir du 22 septembre 2023, dans l'esprit du "droit à l'oubli" créé pour la première fois par le RGPD, les individus auront désormais le droit de demander aux entreprises de cesser de diffuser leurs renseignements personnels.
2. Politiques et pratiques de gouvernance concernant les renseignements personnels
3. Évaluations des facteurs relatifs à la vie privée
4. Transparence et avis de confidentialité
5. Technologies d'identification, de suivi de géolocalisation et de profilage
6. Nouvelles exigences en matière de consentement
7. Nouvelles exceptions au consentement
8. La confidentialité par défaut
9. Prise de décision automatisée
10. Transferts de renseignements personnels à l'extérieur du Québec
11. Externalisation des renseignements personnels
12. Conservation et destruction des renseignements personnels
13. Nouveaux mécanismes de mise en application de la loi

Phase 3 de 3 de la séquence de déploiement de la loi 25 - Le droit à la portabilité des données.

Phase 3, 2024- Le droit à la portabilité des données

Cette disposition découle directement de l'article 20 du RGPD et permet aux individus, dans certaines circonstances, d'obtenir leurs données personnelles d'un responsable du traitement dans un format qui facilite la réutilisation de ces informations dans un autre contexte, et de transmettre ces données à un autre responsable du traitement de leur choix sans entrave. 

Le point de vue de Mathilde Canque, experte en protection des renseignements personnels chez Hitachi Systems Security.

Question: La nouvelle loi québécoise oblige-t-elle toutes les organisations du Québec qui traitent les renseignements personnels de leurs clients à avoir un responsable de la protection des renseignements personnels?

Réponse: Oui

Toute organisation au Québec - quelle que soit sa taille, ses ressources ou son secteur d'activité - qui traite des renseignements personnels est tenue d'avoir un responsable de la protection des renseignements personnels. La personne exerçant la plus haute autorité au sein de l'organisation, le PDG par exemple, est le responsable de la protection des renseignements personnels par défaut, mais elle peut nommer par écrit un autre employé ou un tiers à ce poste.  

Question: La nouvelle loi québécoise exige-t-elle une certification ou une formation pour devenir un responsable de la protection des renseignements personnels ?

Réponse: Non

De façon assez surprenante, la loi n'exige pas que le responsable de la protection des renseignements personnels ait des connaissances spécifiques en matière de protection de la vie privée ou de conformité pour remplir son rôle, ni même qu'il connaisse la langue française. À mon avis, cependant, les nombreuses tâches et responsabilités d'un responsable de la protection des renseignements personnels sont assez techniques ; il est donc préférable que cette personne ait un niveau minimum de connaissances en matière de conformité et de protection de la vie privée, en particulier en ce qui concerne la loi 25.

Question: Est-il possible d'externaliser  le rôle de responsable de la protection des renseignements personnels à l'extérieur de la province de Québec en vertu de la nouvelle loi québécoise ?

Réponse: Oui, puisque la loi n'en dispose pas autrement. Toutefois, et cela nous ramène à la question précédente, la personne ou tierce partie choisie pour agir à titre de responsable de la protection des renseignements personnels devrait avoir un minimum de connaissances et de compréhension des exigences de la loi Québécoise. De plus, il est important de garder à l'esprit que le responsable de la protection des renseignements personnels est la personne à contacter pour toutes les questions relatives à la conformité en matière de protection de la vie privée et qu'il peut être contacté par les résidents du Québec et la CAI. À cet égard, on peut raisonnablement s'attendre à ce que le responsable de la protection des renseignements personnels soit en mesure de répondre avec diligence et dans la langue de la province. Ainsi, bien que cela soit possible, le fait de désigner son responsable de la protection des renseignements personnels à l'extérieur du Québec n'est peut-être pas la meilleure pratique pour une organisation assujettie à la Loi 25. Dans tous les cas, l'organisation doit être en mesure de justifier sa décision.

Question : Est-il obligatoire de notifier à la Commission d'accès à l'information du Québec (CAI) le titre et les coordonnées du Responsable de la protection des renseignements personnels en vertu de la nouvelle loi québécoise ?

Réponse: Oui, sur demande - et cela devrait être la première chose à faire pour les organisations concernant les exigences de la loi 25.

Le titre et les coordonnées du responsable de la protection des renseignements personnels doivent être rendus disponibles, par exemple sur le site internet de l'entreprise. Une organisation n'est donc pas tenue de communiquer de façon proactive les coordonnées du responsable de la protection des renseignements personnels à la Commission d'accès à l'information du Québec ; elle devra toutefois les fournir de façon réactive si la Commission en fait la demande.

Question: Les fonctions et responsabilités du responsable de la protection des renseignements personnels sont-elles indiquées  dans  la nouvelle loi québécoise ?

Réponse: Oui, mais l'organisation doit s'appuyer sur la loi et détailler davantage la description du poste et les responsabilités. Ici, chez Hitachi Systems Security, le rôle de responsable de la protection des renseignements personnels a été délégué et calqué au rôle de Délégué à la protection des données (DPD) , qui est lui-même soutenu par des analystes en protection des renseignements personnels À cet égard, mes responsabilités comprennent par exemple :

1. Évaluer, informer et conseiller Hitachi Systems Security dans ses obligations en vertu de la loi québécoise,
2. Élaborer, mettre en œuvre et maintenir des procédures et des politiques en matière de protection des renseignements personnels et de la vie privée, 
3. Fournir des conseils en matière d'évaluation des facteurs relatifs à la vie privée, et surveiller ses performances,
4. participer à l'évaluation des dommages causés par une violation des données ou un "incident de confidentialité". 

Toutefois, il appartient également à l'organisation d'établir une description de poste plus précise et des responsabilités spécifiquement adaptées à l'organisation et à sa structure interne.

Conclusion de la première partie - Les responsabilités d'une organisation en vertu de la loi 25

La loi 25 est manifestement très complète en ce qui concerne les différentes initiatives de conformité qu'elle exige des organisations, et nous voulons nous assurer que la loi est couverte de manière appropriée dans cet article. Notre objectif, avec Mme Canque, est de fournir aux lecteurs de cet article un plan directeur pour gérer toutes les responsabilités inhérentes à la loi 25. 

C'est dans cet esprit que nous terminons ici la première partie de cette interview en deux parties. Nous avons énuméré et défini le déploiement en trois phases de la législation, discuté des principaux éléments de la loi 25 et vous avons donné le point de vue d'un expert sur le traitement des responsabilités du responsable de la protection des renseignements personnels et de celles de l'organisation en général. Dans la deuxième partie de la série, nous poursuivrons notre entretien avec Mme Canque pour discuter du reste de la loi 25, ainsi que de son point de vue sur les sanctions associées à la législation et sur la manière dont les organisations doivent donner la priorité aux mandats de conformité de la législation.