Protection des données : les PME sont-elles prêtes pour les lois à venir?


Édition du 22 Septembre 2021

Protection des données : les PME sont-elles prêtes pour les lois à venir?


Édition du 22 Septembre 2021

Par Philippe Jean Poirier

Cynthia Chassigneux, ancienne commissaire à la Commission d’accès à l’information du Québec (Photo: courtoisie)

TRANSFORMATION NUMÉRIQUE. Tout indique que les entreprises d’ici feront face à de nouvelles obligations légales en matière de protection des renseignements personnels au cours de l’année à venir. Les projets de loi à l’étude à Ottawa et à Québec sont conçus pour amener plus « d’imputabilité » et de « transparence » dans la gestion des données sensibles en entreprise. Analyse. 

Quand l’Union européenne a adopté son Règlement général sur la protection des données (RGPD) en 2016, il s’en est suivi une petite révolution sur la manière d’engager la conversation en ligne entre entreprises et consommateurs. De nouveaux concepts ont été introduits dans la sphère légale, comme le droit « à l’oubli » et « à l’effacement des données ». De même que le principe de « vie privée dès la conception », qui oblige les entreprises à développer des applications dans lesquelles les paramètres de confidentialité sont activés par défaut. 

L’État de la Californie s’est depuis inspiré du RGPD pour adopter le California consumer privacy act en 2018. Le Canada et le Québec s’apprêtent maintenant à emboîter le pas en rehaussant les obligations des entreprises en matière de protection des renseignements personnels.  

En novembre 2020, le gouvernement libéral fédéral a présenté le projet de loi C-11 sur la protection de la vie privée des consommateurs (LPVPC). « Mort au feuilleton » en raison de la dissolution de la Chambre des communes au mois d’août, ce projet de loi devrait vraisemblablement renaître sous un autre nom après les élections. 

De son côté, le gouvernement du Québec a déposé le projet de loi 64 (PL 64), soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Cette dernière a été adoptée le 21 septembre. L’entrée en vigueur de plusieurs de ses dispositions s’échelonnera sur trois ans.

 

La gouvernance des données : bientôt une obligation légale

Les entreprises ne partent toutefois pas de zéro dans ce domaine. Elles ont déjà plusieurs obligations légales en matière de protection des données, dont celle d’obtenir un consentement valide avant de recueillir des renseignements personnels. Toutefois, les lois à venir seront beaucoup plus explicites sur la manière de déployer cette protection.

La loi québécoise tout juste adoptée prévoit que les entreprises devront mettre en place, d'ici deux ans, un plan de gouvernance de données en bonne et due forme, explique Me Cynthia Chassigneux, ancienne commissaire à la Commission d’accès à l’information du Québec, qui est aujourd’hui associée chez Langlois avocats. « Les gouvernements demandent aux entreprises de nommer un responsable de la protection de la vie privée, de documenter le rôle et les responsabilités des personnes qui ont accès à des renseignements personnels, de prévoir un processus de traitement des plaintes et de mettre en place un plan de gestion d’incident de confidentialité, entre autres obligations », énumère-t-elle.

Une autre grande différence est la sévérité des sanctions en cas de non-conformité. « À l’heure actuelle, les entreprises fautives peuvent faire face à des amendes allant de 10 000 $ à 50 000 $ selon les cas. Dans le PL 64, on fait mention d’amende pouvant atteindre jusqu’à 4 % du chiffre d’affaires mondial de l’exercice financier précédent de l’entreprise si ce dernier montant est le plus élevé », précise l’avocate. 

Les responsables de la protection des données en entreprise semblent bien au fait des changements à apporter pour se conformer aux nouvelles exigences. Parmi la centaine sondée par PwC au printemps, 95 % avaient pris connaissance du projet de loi fédéral C-11, et 94 % de ceux-ci ont affirmé avoir un plan de préparation « général ». Près de 9 sur 10 (88 %) ont dit avoir mené une «évaluation interne» et 41 % plaçaient cette priorité « en tête de liste ».

Le dossier semble toutefois moins bien compris au sein des entreprises québécoises, si l’on en croit un autre sondage – cette fois sur le PL 64 – mené en mai par PwC, en partenariat avec la Fédération des chambres de commerce du Québec et de l’Association canadienne des compagnies d’assurances de personnes, auprès de 74 entreprises. Près de quatre sur dix (37 %) ont affirmé « ne pas comprendre l’incidence » du PL 64 sur leur organisation et ont concédé ne pas avoir un « solide programme de protection des renseignements personnels ». Chez les entreprises de 100 employés et moins, cette proportion bondit à 66 %.

 

Sur le même sujet

Intrusion dans le réseau informatique interne du bureau de la gouverneure générale

Le Bureau du secrétaire du gouverneur général indique qu’il collabore avec le Centre canadien pour la cybersécurité.

CA: petit guide pour intégrer les changements climatiques

BLOGUE INVITÉ. Si votre CA n’a pas encore amorcé les discussions sur les changements climatiques, il ne faut pas tarder.

À la une

Mercedes investit 60 milliards d'euros en cinq ans dans sa transition électrique

Il y a 32 minutes | AFP

Le constructeur automobile s’était dit en juillet prêt à passer au tout électrique «avant la fin de la décennie».

Crise des approvisionnements: une solution 3D pour les PME manufacturières

Une entreprise veut aider les PME manufacturières à s'approvisionner en petits lots de pièces grâce à l'impression 3D.

Quand changer sans cesse de façon de travailler fait flipper...

MAUDITE JOB! «100% bureau. Puis 100% télétravail. Puis travail hybride. Au secours, mon équipe a le tournis!»