Le projet de loi 64 (ou PL 64), qui a pour but de réformer et de moderniser la législation québécoise sur la protection des renseignements personnels. Elle a officiellement été adoptée en septembre 2021. Cette démarche force toutes les entreprises à poser des gestes concrets pour revoir la façon dont elles assurent la sécurité des données qu’elles récoltent. Dont nommer un responsable RPRP, voir point 1.
Les actions entrent en vigueur selon une ligne du temps de 3 ans (jusqu’en 2024), mais quelques étapes doivent être réalisées dès septembre 2022. En technologie, c’est très bientôt! Voici donc tout ce que vous devez savoir sur vos obligations en lien avec la modernisation de cette loi.
1 — La nomination d’un RPRP (responsable de la protection des renseignements personnels)
La première étape à cocher sur votre liste de choses à faire en lien avec cette modernisation à la loi, c’est de nommer un responsable de la protection des renseignements personnels de votre entreprise.
Fait important : par défaut, le RPRP est la personne ayant la plus haute autorité d’une organisation. Si vous dirigez une entreprise, sachez que vous pouvez décider de déléguer ce rôle. Ça peut être à quelqu’un qui est déjà en poste ou à un partenaire externe, comme nous.
Quelles seront les fonctions du RPRP?
Le RPRP sera un acteur de grande importance dans votre entreprise. Puisque c’est vers lui qu’on se tournera si vous êtes victime d’une cyberattaque. Dans un tel cas, il devra démontrer les actions réalisées en amont de l’attaque pour protéger les renseignements personnels que vous détenez. Entre autres, démontrer (affichage de vos politiques sur votre site Web, Scan de vulnérabilité, exercices de cybersécurité, etc.).
Ce n’est pas un rôle à prendre à la légère. D’où la nécessité de choisir une ressource organisée avec un bon sens de l’initiative. En plus de devoir être chargé de la sécurité des données, le RPRP devra :
- implanter des politiques qui encadrent la gouvernance et la protection des renseignements personnels ;
- rédiger ces politiques en termes clairs et simples et les afficher sur le site Web de l’entreprise ;
- encadrer la conservation et la destruction des renseignements recueillis ;
- évaluer les facteurs qui touchent la vie privée ;
- déclarer les incidents de sécurité ;
- tenir un registre de ces incidents.
Fait important à noter : les coordonnées de votre RPRP devront être publiées sur le site Web de votre entreprise. Si vous n’avez pas de site Web, vous devrez les rendre accessibles à quiconque vous en fait la demande.
2 — La formation d’un comité sur l’accès à l’information
Le RPRP aura la tâche de former un comité sur l’accès à l’information. Celui-ci peut en être le seul participant. Le but de créer une équipe est de répartir les obligations de l’entreprise, comme la gestion de l’identification des accès. Ce comité aura aussi le devoir de rendre publics les communiqués et les politiques de l’entreprise auprès des utilisateurs, avant que celle-ci ne récolte les données.
- Pourquoi ces renseignements sont-ils recueillis?
- Comment sont-ils collectés?
- Comment retirer son consentement?
- Le nom du tiers (si les données sont recueillies pour une autre entreprise).
- La possibilité de communiquer les renseignements à l’extérieur du Québec (s’il y a lieu).
Ce comité a donc le devoir d’expliquer clairement aux utilisateurs les raisons qui poussent l’entreprise à récolter les données personnelles. Aussi ce qu’elle en fera et avec qui elle les partagera.
Sur ce dernier point, il est parfois nécessaire de partager les informations recueillies avec des partenaires. On peut seulement penser à Amazon, qui doit offrir une partie des renseignements des utilisateurs qui achètent sur son site avec des compagnies de livraison afin que le colis se rende à bonne destination. C’est un exemple parmi tant d’autres, mais c’est important que chaque consommateur comprenne cette mécanique.
À noter : Votre entreprise ne peut récolter le consentement d’une personne de moins de 14 ans. L’accord doit être donné par l’autorité parentale.
3 — La déclaration des incidents de sécurité
Bien que vous déteniez un RPRP ainsi qu’une bonne cybersécurité, il se peut que des incidents surviennent. Votre entreprise est alors dans l’obligation de déclarer toutes les formes d’attaques (intrusion, rançongiciel, fuite de données, extraction non autorisée, etc.).
Comment déterminer ce qui est un incident? Il s’agit d’un si :
- vous observez que vos renseignements personnels ont été vus ou exploités de manière illégitime (qui ne figure pas dans vos politiques);
- vous pensez avoir perdu des données;
- l’événement présente un sérieux risque de préjudice (sensibilité du renseignement, conséquences appréhendées de l’usage des informations, probabilité d’une utilisation du renseignement à mauvais escient, etc.).
Dès que vous remarquez que vous avez été victime d’un tel épisode critique, vous avez l’obligation de faire un signalement à votre comité d’accès à l’information, aux personnes concernées par l’incident ainsi qu’aux organismes qui pourraient vous aider à en diminuer la menace.
À noter : Chaque entreprise devra tenir un registre des incidents et le documenter de façon que des mesures concrètes et efficaces soient prises pour réduire le risque qu’une même situation se reproduise.
Protection des renseignements personnels : un avis légal pourrait être une bonne chose
Avec ces informations, vous êtes maintenant prêt à vous mettre à jour en ce qui a trait à la protection des renseignements personnels de vos utilisateurs. Obtenez des conseils légaux avec des avocats spécialisés ainsi qu’un accompagnement auprès de différents départements gouvernementaux. Ceux-ci ont été créés pour venir en aide aux organisations. N’hésitez pas à nous contacter et à nous suivre sur LinkedIn pour lire nos actualités et avoir encore plus de détails sur le sujet.
* Cette loi s’adresse à toutes les entreprises qui recueillent des renseignements personnels auprès de leurs clients et leurs utilisateurs, même si ces données sont conservées par un tiers. Un renseignement personnel se définit comme une information qui peut permettre d’identifier physiquement ou moralement un individu.