(Photo: ThisisEngineering RAEng pour Unsplash)

Un texte de M^e Antoine Guilmain, LL.D., cochef du groupe cybersécurité et protection des données, Gowling WLG

COURRIER DES LECTEURS. Depuis le 22 septembre dernier, les quelque 220 000 entreprises œuvrant au Québec ont désormais toutes un responsable de la protection des renseignements personnels. Si cette fonction n’est pas déléguée, elle revient automatiquement à la personne ayant la plus haute autorité au sein de l’entreprise. Il est toutefois encore temps d’identifier la personne la plus à même de remplir ce nouveau rôle…

À (re)lire: Cybersécurité: un guide pour vous conformer à la loi 25

Pour la plupart des entreprises, on connaît depuis longtemps le chef de la technologie (CTO en anglais) et son visage confiant. On s’est habitué récemment au responsable de la sécurité de l’information (CISO en anglais) avec sa voix grave. Au Québec, il faudra maintenant composer avec une nouvelle figure: le responsable de la protection des renseignements personnels (CPO/DPO en anglais). Qui est cette personne ? Que fait-elle ? Où siège-t-elle? Pourquoi elle ? Autant de bonnes questions qui, comme souvent, ne se satisfont pas de réponses faciles.

Dans la loi: trop, c’est jamais assez

Tout commence il y a un an presque jour pour jour. La loi 25, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est adoptée en grande pompe. L’objectif est de moderniser coûte que coûte les lois sur la protection des renseignements personnels pour répondre à l’actualité récente, rattraper les avancées technologiques et s’arrimer à la règlementation européenne. Le Québec doit (re)devenir leader en matière de protection des renseignements personnels. Et tous les moyens sont bons pour y parvenir, y compris imposer des règles plus strictes et plus prescriptives que l’Union européenne et, bien évidemment, nos voisins du reste du Canada.

Le nouveau rôle de responsable de la protection des renseignements personnels en est le parfait exemple. Au Québec, toute entreprise, quelle que soit sa taille, ses ressources, son domaine d’activité, qui traite le moindre renseignement personnel, a l’obligation d’exercer la fonction de responsable de la protection des renseignements personnels ou de la déléguer par écrit à une autre personne. Autrement dit, même combat pour la multinationale du secteur des technologies envers ses utilisateurs que pour le dépanneur dans une région reculée du Québec vis-à-vis de ses clients. 

Par opposition, au sein de l’Union européenne, seules les entreprises traitant à grande échelle des renseignements personnels de type «sensibles» ou de façon plus intrusive ont l’obligation de désigner un délégué à la protection des données (DPO en anglais). Cette fonction n’est donc ni automatique ni systématique au sein de l’Union européenne. 

D’aucuns pourraient alors minimiser, voire évacuer, la chose en se disant : «Une casquette de plus sur mon étagère, ce n’est ni la première ni la dernière, une de plus qui pourrait se déformer et prendre la poussière sans que personne ne s’en rende compte». Rien n’est ici moins vrai. Le ou la responsable de la protection des renseignements personnels a en effet de nombreuses tâches et responsabilités, dont celles d’approuver les politiques et pratiques en matière de renseignements personnels, participer aux évaluations des facteurs relatifs à la vie privée, ou encore prendre part à l’évaluation du préjudice causé par un incident de confidentialité. Il est plus fondamentalement la personne vers qui tout le monde se tourne en cas de questions — qui peuvent vite devenir de vrais problèmes — relatif à la protection des données ou de la vie privée.

En pratique: trop, c’est pas assez

Le législateur a donc pris le soin de rédiger une description de poste incluant les tâches et responsabilités du ou de la responsable de la protection des renseignements personnels. Reste maintenant à pourvoir ce poste vacant… et c’est ici que les choses se compliquent. 

Qui donc pour assumer ce rôle à l’interne? Ce sera souvent la personne la plus proche des données de l’entreprise. Comment former cette personne? Ça dépend, s’il n’y a pas d’obligation de qualifications, une connaissance minimale du régime québécois sur la protection des renseignements personnels semble incontournable. Quelle indépendance lui donner? Ça dépend, tout en évitant d’en faire un responsable fantoche. Quel budget lui octroyer? Ça dépend, notamment de la croissance de l’entreprise ou encore des moyens alloués à la sécurité de l’information. Qui recruter à l’externe? Ça dépend, mais le marché est encore embryonnaire et, comme nous l’a démontré l’exemple européen, n’a rien d’extensible. Quid de l’externalisation de cette fonction? Ça dépend, assurément une option à considérer qui vient avec ses propres avantages et désavantages.

L’ensemble de cette réflexion doit mener à la publication du titre et des coordonnées du responsable de la protection des renseignements personnels sur le site Internet de chaque entreprise, ou si elle n’a pas de site, rendus accessibles par tout autre moyen approprié. Le ou la responsable doit être au vu et au su de tous, c’est là une exigence législative applicable depuis le 22 septembre 2022. 

Il revient alors à toutes les entreprises d’intégrer ce nouvel acteur ou cette nouvelle actrice qu’est le responsable de la protection des renseignements personnels, en n’oubliant pas que ce n’est pas l’habit qui fait le moine, mais bien le moine qui fait valoir l’habit.