Les entreprises appelées à mieux protéger les données personnelles

Publié le 26/01/2022 à 00:01

Par NOVIPRO

La nouvelle loi sur la protection des données personnelles a été adoptée au début de l’automne à l’Assemblée nationale. Même si l’interprétation de certaines dispositions reste à préciser, toutes les entreprises ont avantage à s’y conformer rapidement. Leurs obligations deviendront de plus en plus contraignantes au fil des trois prochaines années.

« La grande majorité des modifications entreront en vigueur en septembre 2023 », a souligné Me William Deneault-Rouillard, avocat spécialisé dans la gestion des renseignements personnels, la gouvernance des données, la cybersécurité et le droit commercial à la firme Fasken, au cours de l’événement Cybersécurité 20/20, organisé par Novipro en octobre 2021.

Avec son collègue Me Antoine Aylwin, associé chez Fasken, il a présenté un aperçu des changements qu’entraîne pour les organisations du secteur privé l’adoption de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Les deux juristes ont expliqué d’entrée de jeu que la nouvelle loi oblige les entreprises à protéger « les renseignements privés collectés, utilisés, communiqués, conservés ou détruits ». Tout cela en tenant compte de leur quantité, du support sur lequel ils se trouvent, de leur finalité d’utilisation et de leur sensibilité.

Selon la loi, une donnée sensible [sic] est une information « qui crée un haut degré d’attente en matière de vie privée, en raison de sa nature médicale biométrique ou autrement intime ».

Gestion des données personnelles

Selon l’analyse annuelle du Portrait des TI 2022 NOVIPRO/Léger, plus de la moitié (57 %) des organisations québécoises possède des informations confidentielles et 100 % possèdent des informations confidentielles RH, explique Dominique Derrier, chef de la sécurité de l’information (CISO) chez NOVIPRO. Ce qui démontre l’urgence d’agir pour se conformer aux exigences du projet de loi no 64, adopté à l’automne 2021.

Une entreprise collectant des données personnelles devra préciser à quelle fin elles seront utilisées et obtenir l’approbation des personnes concernées. Celles-ci devront par ailleurs être avisées si leurs renseignements sont communiqués à des tiers.

Exporter des renseignements privés demeurera possible, en vertu de la nouvelle loi, mais une analyse des risques devra d’abord être réalisée, et l’entente convenue dans tous les États visés – et non les pays – devra prévoir l’atteinte d’un « niveau de protection selon les principes globalement reconnus », un concept encore flou pour le moment.

Dépersonnalisation et anonymisation

L’entreprise qui souhaitera dévier de son objectif initial dans le traitement des renseignements personnels devra obtenir une nouvelle fois le consentement, à moins qu’elle les dépersonnalise grâce à des techniques de cryptographie à clé secrète, de hachage ou de tokenisation. Son utilisation des données devra alors se restreindre à trois activités : la recherche, la compilation de statistiques et la réalisation d’une étude.

« Mais ces renseignements privés demeureront assujettis à la loi », insiste Me Deneault-Rouillard.

L’avocat ajoute qu’à la suite du processus de dépersonnalisation, l’entreprise devra prendre « des mesures raisonnables » pour éviter que les personnes à qui appartiennent ces renseignements personnels puissent être identifiées de nouveau.

Dès que l’utilisation des renseignements personnels sera terminée, ceux-ci devront être détruits, sinon anonymisés. Si l’entreprise opte pour la deuxième stratégie, elle pourra continuer à les analyser, mais ne le faire qu’à des « fins sérieuses et légitimes », tout en veillant à ce qu’ils demeurent anonymes « en tout temps », stipule la loi.

Incident de confidentialité

Si un incident de confidentialité survenait, c’est-à-dire que des renseignements personnels étaient utilisés ou communiqués à mauvais escient, qu’ils étaient perdus ou qu’une personne y avait accès sans autorisation, l’entreprise devrait prendre rapidement des mesures pour diminuer les risques de dommages.

Tous les événements malheureux de cet ordre qui surviendront devront être consignés dans un registre dès septembre 2022. S’ils sont susceptibles de causer un « préjudice sérieux » – une autre notion qui reste à préciser –, la Commission d’accès à l’information du Québec et toutes les personnes concernées auront à être avisées.

Des sanctions sévères

À défaut de respecter ses obligations à la suite de l’entrée en vigueur de toutes les dispositions de la loi, une entreprise s’exposera à de lourdes sanctions : une amende pouvant aller jusqu’à 10 millions de dollars ou équivalente à 2 % de son chiffre d’affaires.

« La Commission d’accès à l’information, qui appliquera ces sanctions, tiendra compte de plusieurs critères, comme la nature, la gravité, le caractère répétitif, la durée du manquement et la sensibilité des renseignements personnels », explique Me Aylwin.

Il ajoute que les mesures réparatrices et la collaboration de la Commission d’accès à l’information seront aussi considérées, en plus de la capacité de payer de l’entreprise.

En fin de compte, mieux vaut prévenir que guérir.

 

 

À la une

Ce projet de loi affectera toutes les entreprises

24/05/2024 | François Normand

ANALYSE. Le projet de loi sur l’énergie que Pierre Fitzgibbon déposera d’ici le 7 juin sera structurant pour le Québec.

Électricité: un manufacturier sur trois en manque

23/05/2024 | François Normand

Près de 75% des entreprises des secteurs manufacturier et industriel retardent des projets ou des investissements.

Bourse: les résultats des 7 magnifiques au 1T

24/05/2024 | lesaffaires.com

D'Apple à Nvidia, qui a dépassé les attentes ou déçu les marchés.