Protection des données: la loi 25 va «bouleverser nos façons de faire»


Édition du 06 Septembre 2023

Protection des données: la loi 25 va «bouleverser nos façons de faire»


Édition du 06 Septembre 2023

Par Maxime Johnson
|

Avec la loi 25, les citoyens obtiennent de nouveaux droits. Les entreprises, elles, ont pour leur part plusieurs obligations à mettre en œuvre. (Photo: 123RF)

La date d’échéance pour se conformer au second volet de la loi 25 sur la gestion des renseignements personnels au Québec arrive à grands pas. Dès le 22 septembre, les amendes pour les entreprises prises en défaut pourraient être salées. 

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, aussi appelée « loi 25 », encadre la gestion des données personnelles dans les entreprises. 

« C’est la première loi majeure pour la protection des renseignements personnels au Canada. C’est une loi qui s’inspire du Règlement général sur la protection des données (RGPD) en Europe », résume Imran Ahmad, associé et chef canadien de la Division des technologies, et cochef canadien de la Division de la gouvernance de l’information, de la protection des renseignements personnels et de la cybersécurité chez Norton Rose Fulbright Canada.

Avec la loi 25, les citoyens obtiennent de nouveaux droits, comme le droit à désindexation, où quelqu’un peut demander à une entreprise d’arrêter la diffusion de un ou de plusieurs de ses renseignements personnels. Les entreprises, elles, ont pour leur part plusieurs obligations à mettre en œuvre. 

 

Repenser la gestion des données

La gestion des renseignements personnels — autant l’adresse de ses clients que le numéro d’assurance sociale de ses employés, peu importe qu’ils soient enregistrés sur un support numérique ou physique — est au cœur de ces obligations pour les entreprises.

Le consentement des clients lors de la collecte de renseignements doit par exemple être clair et explicite, notamment par rapport à ce qui sera fait avec ces informations, et avec quels fournisseurs elles seront partagées. Les entreprises doivent aussi effectuer une cartographie complète des renseignements personnels qu’elles possèdent, ce qui permet ensuite d’effacer les données quand le consentement associé arrive à échéance, ou si un client en fait la demande, par exemple.

« Plusieurs de ces éléments étaient autrefois de bonnes pratiques à adopter, mais ils sont maintenant codifiés dans la loi », précise Imran Ahmad.

« La loi 25 ne va pas seulement affecter le travail des juristes. C’est une loi qui va nécessiter un changement de comportement dans plusieurs métiers, et qui peut bouleverser les façons de faire », note Romain Gauthier, PDG et cofondateur de Didomi, qui offre différentes solutions pour aider les entreprises à se conformer à la loi 25, notamment par rapport aux outils pour obtenir le consentement des visiteurs sur le Web.

La loi 25 touche aussi d’autres aspects des renseignements personnels, par rapport à la gestion des incidents de confidentialité, par exemple. 

 

Un travail parfois long

Après l’entrée en vigueur d’un premier volet assez simple à implanter en 22 septembre 2022, où les entreprises devaient notamment désigner une personne responsable de la protection des renseignements personnels, puis publier son titre et ses coordonnées sur le site Internet de l’entreprise, le second volet attendu le 22 septembre prochain risque d’être plus complexe. 

« Si vous avez déjà des clients en Europe et que vous respectez donc déjà le RGPD, ce n’est pas très compliqué. Sinon, ça peut demander beaucoup de travail, surtout si vous avez beaucoup de renseignements personnels », estime Romain Gauthier. 

« Ça devrait prendre aux entreprises au moins 90 jours pour s’y conformer convenablement, observe Imran Ahmad. Ça peut être plus court pour les petites entreprises, de 30 à 60 jours, mais elles doivent alors se presser. » 

« Ça nous a pris plus de temps qu’on pensait pour le faire, on avait prévu terminer trois mois plus tôt », note Yannick Desmarais, fondateur et PDG de Worximity Technology, une entreprise technologique montréalaise d’une quarantaine d’employés. 

La Commission d’accès à l’information (CAI) ne dispose pas d’informations sur l’état d’avancement des entreprises à l’heure actuelle dans leur processus pour se rendre conformes, puisqu’elles ne sont pas tenues d’en informer la Commission, selon ce qu’a expliqué une porte-parole de la CAI à « Les Affaires ». 

 

Des amendes à prévoir

Les incitatifs pour effectuer le travail sont de taille : en cas de non-conformité, une entreprise pourrait écoper d’une amende allant jusqu’à 25 millions de dollars, ou 4 % du chiffre d’affaires mondial. 

« On ne sait pas encore dans quelle mesure le CAI va distribuer des amendes. Il devra probablement y avoir un comportement répréhensible, et non une simple violation technique qui peut être corrigée rapidement », prédit Imran Ahmad. 

Rappelons que Meta a écopé, ce printemps, en Europe, d’une amende de 1,2 milliard d’euros (1,75 milliard de dollars canadiens) pour avoir enfreint le RGPD équivalent à la Loi 25 québécoise.

Sur le même sujet

Côté messageries, chacun cherche son app

17/04/2024 | AFP

Tour d’horizon de ce qu’offrent les principaux services d’échanges de messages.

Yoshua Bengio: TIME100 honore un pionnier de l'IA

17/04/2024 | Les Affaires

Le professeur titulaire à l'Université de Montréal est l'un des chercheurs en IA les plus cités au monde.

OPINION Emplois coupés ou semaine de 4 jours: l'avenir du travail à l'ère de l'IA
08/04/2024 | Hugues Foltz
Des centaines de sites s'appuient sur l'IA pour générer des infos, parfois sciemment fausses
11/03/2024 | AFP
L'IA générative: mieux vaut apprendre à en tirer profit dès maintenant - partie 2
Mis à jour le 26/02/2024 | Hugues Foltz

À la une

Compétitivité: Biden pourrait aider nos entreprises

26/04/2024 | François Normand

ANALYSE. S'il est réélu, Biden veut porter le taux d'impôt des sociétés de 21 à 28%, alors qu'il est de 15% au Canada.

Et si les Américains changeaient d’avis?

26/04/2024 | John Plassard

EXPERT INVITÉ. Environ 4 électeurs sur 10 âgés de 18 à 34 ans déclarent qu’ils pourraient changer leur vote.

L’inflation rebondit en mars aux États-Unis

Mis à jour le 26/04/2024 | AFP

L’inflation est repartie à la hausse en mars aux États-Unis, à 2,7% sur un an contre 2,5% en février.

NOS PUBLICATIONS
Les Affaires
Abonnez-vous au journal lesaffaires
Les Affaires

Votre meilleur allié pour faire grandir votre entreprise, votre carrière et votre portefeuille. Économisez 75% sur le prix en kiosque !

Abonnez-vous La dernière publication
Les affaires plus
Abonnez-vous au journal A+
Les affaires plus

L'intelligence financière. Économisez 19% sur le prix en kiosque.

Abonnez-vous
La dernière publication
NOS SERVICES
Inscrivez-vous À notre infolettre Tenez-vous informé des dernières nouvelles, des offres spéciales et des promotions. Inscrivez-vous
Facebook Twitter Linkedin
YouTube RSS
Annoncez chez nous Contactez-nous Nos événements
Éthique journalistique Politiques d'utilisation Politiques de confidentialité Plan du site Gestion du consentement

Groupe Context Inc.

Un site de Groupe Contex Inc.
355 rue Sainte-Catherine Ouest suite 501
Montréal, QC H3B 1A5
(514) 392-2009

Tous droits réservés. Groupe Contex Inc. © 2024