Chantal Bernier dirige le groupe de pratique canadien Cybersécurité et protection de la vie privée du cabinet d’avocats Dentons et est membre du groupe Affaires et politiques gouverne-mentales du cabinet. Elle a aussi été commissaire adjointe à la protection de la vie privée du Canada de 2008 à 2014 et a auparavant occupé divers postes dans des ministères du gouvernement fédéral.

Q&R. Le projet de loi fédéral ­C-11, ou la ­Loi édictant la ­Loi sur la protection de la vie privée des consommateurs et la ­Loi sur le ­Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois, a été déposé en première lecture le 17 novembre. Quelles seront les nouvelles obligations des entreprises si l’adoption de ce projet de loi n’est pas freinée par des élections fédérales anticipées ? L’avocate ­Chantal ­Bernier, spécialisée en cybersécurité et en protection de la vie privée, explique les changements qui pointent à l’horizon.

Les ­Affaires – ­Qu’­est-ce que le projet de loi ­C-11 va changer pour les entreprises ?

Chantal ­Bernier – ­Le premier grand changement, c’est l’aspect financier de la conformité à la ­Loi sur la protection des renseignements personnels. Il y a une structure de pénalités qui est très importante.

Si une entreprise est en contravention avec certains articles, comme celui qui exige le signalement d’un incident à la sécurité tant au ­Commissariat à la protection de la vie privée qu’aux individus concernés, cela pourrait lui coûter jusqu’à 25 millions de dollars (M$) ou 5 % de ses recettes globales.

Si une société est reconnue coupable d’une faute moins grave, comme la collecte excessive de données, elle peut quand même faire l’objet d’une peine administrative de 10 M$ ou de 3 % des recettes globales.

L.A. – ­L’entreprise ne doit donc plus évaluer son risque à l’égard de la conformité envers la loi de la même façon. Comment ­est-ce que les sociétés doivent se préparer à cet égard ?

C.B. – ­D’abord et avant tout, les entreprises doivent développer un plan d’intervention en cas d’incident à la sécurité. Parce que ce n’est pas le temps d’y penser quand on est en crise. Le plan ne doit pas être uniquement technologique, mais également juridique. Il faut pouvoir évaluer si les données compromises, advenant un incident de sécurité, créent un risque significatif et réel de préjudice grave dans un contexte juridique.

Le plan doit aussi identifier à l’avance un avocat auquel on va se référer en cas de crise. S’il n’y a pas de plan, c’est urgent d’en développer un.

L.A. – ­Si les systèmes informatiques des entreprises sont déjà conformes au ­Règlement général sur la protection des données (RGPD) européen, y ­a-t-il tant de travail à faire pour se conformer au projet de loi ­C-11 ?

C.B. – ­Ce n’est pas seulement une question de technologie. Tous les clients que j’aide et qui ont été victimes d’une cyberattaque avaient de très bons systèmes informatiques. Les cyberattaquants ciblent surtout l’être humain, c’est là la vulnérabilité.

Ça peut être un employé déloyal qui utilise ses accès privilégiés pour voler des données et les revendre sur ­Internet. Ça peut être un employé très loyal, qui est victime d’un subterfuge. 

C’est comme ça que tout commence.

L.A. – ­De combien de temps les entreprises canadiennes ­bénéficient-elles pour se préparer à l’entrée en vigueur du projet de loi ?

C.B. – ­Il y a le « facteur X » du gouvernement minoritaire qui entre en jeu. Si on présume qu’il n’y aura pas d’élections d’ici là, le projet de loi ­C-11 pourrait avoir force de loi d’ici un an, car il répond à des préoccupations partagées par tous les partis.