Connaissez-vous le projet de loi 64 ? Ce projet vise à moderniser la façon dont les entreprises protègent les renseignements personnels. Elles en ont accès par l’entremise de leurs clients. En d’autres mots, les entreprises devront revoir et adapter aux nouvelles normes la gestion interne des données qu’elles récoltent pour mieux les protéger.
Projet de loi 64 : qu’est-ce que ça implique pour une entreprise ?
On pourrait comparer le projet de loi 64 au RGPD (Règlement général sur la protection des données), en Europe. Le RGPD, applicable depuis 2018, regroupe les meilleures pratiques au monde en matière de contrôle des renseignements personnels.
Et c’est un peu ce que le projet de loi 64 vise au Québec. Le fair d’accorder une plus grande indépendance aux utilisateurs par rapport aux données qu’ils partagent. Ils auront ainsi un meilleur contrôle et pourront décider des renseignements qu’ils veulent partager. Aussi des autres qu’ils veulent garder privés.
La loi actuelle (LPRPSP)
La loi actuelle ne touche pas toutes les sphères commerciales. En fait, la loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) date de… 1994 ! Dans le domaine numérique, aussi bien le dire, la loi date du Moyen-Âge ! Depuis 1994, l’évolution dans le domaine technologique a été rapide et énorme.
Internet, rapidité, connectivité, connaissances informatiques, intelligence artificielle, automatisation, sans oublier l’importance des données. Sur le Web, les données valent de l’or. Les gens sont prêts à pirater des entreprises pour les obtenir et les utiliser, ou les revendre.
Le but du projet de loi est de moderniser les règles en vigueur dans le secteur privé. Tout cela pour mieux encadrer et mieux gérer les données et ainsi, réduire le nombre de pertes de données. L’adoption du projet de loi 64 est donc nécessaire pour que le Québec se dote de normes qui tiennent compte de la situation actuelle.
Un RGPD québécois
Comme mentionné un peu plus haut, la modification proposée vise à accorder aux individus un plus grand contrôle sur les données qu’ils désirent. Ou ne désirent pas partager à une entreprise.
Par contre, pour en arriver là, il faut que les entreprises se préparent et mettent en place des mesures et des écosystèmes solides. Qu’est-ce que ça implique, pour une entreprise ?
1 — D’abord, les entreprises devront nommer un responsable, ou un comité responsable, en interne, qui sera chargé de l’implantation des nouveaux processus, mais qui sera aussi imputable en cas de vol de données. Cette personne pourra par contre déléguer la partie technique de l’implantation à des ressources externes en mesure de bâtir une solution solide.
2 — Ensuite, les entreprises devront se doter de politiques de protection des renseignements personnels. Elles devront expliciter clairement comment elles planifient mettre en œuvre une base de données « anonyme ».
3 — Finalement, il faudra mettre en place un écosystème qui permettra aux utilisateurs de gérer et de modifier leur consentement, et ce, à tout moment. D’ailleurs, lorsque la loi entrera en vigueur, il faudra planifier un message à tous les utilisateurs afin d’obtenir leur consentement en vertu des nouvelles mesures et de la nouvelle loi.
Le consentement est très important
Si on avait déjà collecté leur autorisation dans le cadre du RGPD, il faudra la collecter de nouveau. Il ne faut pas oublier que l’utilisateur pourra refuser ou simplement, oublier de donner son accord. Dans ce cas, il sera important pour les entreprises de prévoir plusieurs appels à tous et plusieurs messages afin de pouvoir garder contact avec ces utilisateurs.
Évidemment, c’est un lourd fardeau financier qui s’ajoute pour les entreprises. C’est aussi beaucoup de temps qui demandera à être investi. Certaines organisations décideront d’embaucher une nouvelle personne, tandis que d’autres ajouteront ces tâches à des employés déjà en poste. Il n’y a pas de solution miracle, la meilleure solution sera différente pour chaque entreprise.
Quels seront les risques de ne pas se conformer au nouveau projet de loi 64 ?
Des sanctions pénales seront réservées aux entreprises qui ne se conformeront pas à la nouvelle loi. Bien qu’il reste encore des modifications à apporter, on peut s’attendre à des sanctions. Ça pourraient aller jusqu’à 25 millions de dollars.
Avec la loi actuelle, l’amende maximale est de 10 000 $. Évidemment, ça ne vaut pas le coût de risquer d’avoir une amende salée et de perdre la crédibilité de son entreprise…
Bien entendu, tout cela reste un projet de loi qui doit être peaufiné et discuté en assemblée. On tenait par contre à relever ses grands points (qui évolueront, ne nous faisons pas de cachettes). Le tout afin de sensibiliser les décideurs, les gestionnaires et les chefs d’entreprises. Quant à l’importance de la protection des données de leurs utilisateurs, leurs clients et leurs employés.
D’ici là, nous vous suggérons fortement d’évaluer la position de votre entreprise par rapport à ce projet de loi, et l’importance du travail qui sera à accomplir lorsque le projet de loi sera accepté. De cette façon, vous aurez une longueur d’avance sur vos compétiteurs et vous serez prêt à continuer vos opérations !
En collaboration avec Vincent Roy
