La loi 25, ça vous dit quelque chose? C’est cette loi qui, depuis septembre 2022, modifie et ajoute plusieurs droits et obligations concernant la protection des données et renseignements personnels des citoyens.

Si vous croyez qu’elle ne concerne que les institutions financières – tout le monde se souvient du scandale de Desjardins –, détrompez-vous! Elle s’applique à vous si vous êtes un organisme ou une entreprise, et même si vous êtes un travailleur autonome.

La sécurité des renseignements de vos clients et de vos employés dépend de vous; vous devez donc poser des actions concrètes pour assurer la sécurité de leurs informations. Comment?

La loi 25 prévoit la mise en place de mesures qui s’échelonnent sur trois ans, soit de septembre 2022 à septembre 2024.

Vous n’avez pas eu le temps de mettre quoi que ce soit en place? Pas de panique : il n’est pas trop tard pour agir.

À mettre en place depuis 2022

Depuis septembre 2022, vous devez désigner un ou une responsable de la protection des renseignements personnels (RPRP) et publier son titre ainsi que ses coordonnées sur votre site web.

Par défaut, c’est le rôle de la plus haute autorité de l’organisation. Vous pouvez toutefois déléguer cette fonction à quelqu’un à l’interne ou à l’externe de votre entreprise. Cette personne aura un pouvoir décisionnel important; ainsi, assurez-vous qu’elle détient les compétences requises pour assumer efficacement ce rôle, et voyez à lui fournir les ressources nécessaires (humaines, techniques et financières) pour assurer la réussite de votre mise en conformité.

Voici ce que la personne désignée devra faire.

  • Définir son rôle et ses responsabilités au sein d’une politique.
  • Faire l’inventaire des renseignements personnels détenus et évaluer leursensibilité. (Qu’est-ce qu’un renseignement personnel? Nous aurons l’occasion de l’expliquer dans un autre article à venir.)
  • Mettre en place des mesures pour prévenir ou limiter les conséquences d’un incident de confidentialité impliquant un renseignement personnel.
  • Réaliser les évaluations des facteurs relatifs à la vie privée (EFVP). L’EFVP est un processus qui sert à déterminer l’incidence que pourrait avoir un programme ou un service sur la vie privée d’une personne. Par exemple, un psychologue qui souhaite mettre en place une procédure d’ouverture de dossier en ligne doit, au préalable, faire une EFVP. (Voici la grille élaborée par le Secrétariat du Conseil du Trésor, dont vous pourriez vous inspirer.)
  • Sensibiliser et former le personnel de l’entreprise.
  • Assurer la gestion des incidents de confidentialité et tenir un registre de ces derniers.

À titre de précision

Un incident de confidentialité, c’est :

  • l’accès non autorisé par la loi à un renseignement personnel;
  • l’utilisation ou la communication non autorisée par la loi d’un renseignement personnel;
  • la perte de renseignements personnels ou toute autre atteinte à la protection.

Un exemple courant, qui peut sembler banal : envoyer un courriel avec plusieurs personnes en copie conforme. Puisque leur adresse courriel est visible, il s’agit d’une communication non autorisée par la Loi sur la protection des renseignements personnels.

Un registre d’incidents de confidentialité, c’est un document – Word, Excel ou autre – sur lequel se trouvent les informations suivantes :

  • les renseignements personnels concernés par l’incident;
  • les circonstances de l’incident;
  • la date à laquelle a eu lieu l’incident;
  • la date à laquelle l’entreprise a pris connaissance de l’incident;
  • le nombre de personnes concernées par l’incident;
  • le niveau du préjudice : faible, moyen ou sérieux;
  • les mesures prises par l’entreprise après l’incident.

Dans le cas d’un préjudice sérieux – par exemple un incident qui porte atteinte à la réputation ou au dossier de crédit de gens, ou encore qui cause une perte financière ou d’emploi (ou un vol d’identité) –, la personne responsable devra communiquer l’incident en question aux personnes concernées ainsi qu’à la Commission d’accès à l’information du Québe

 

À mettre en place en 2023

À partir de septembre 2023, la personne responsable de la protection des renseignements personnels devra veiller aux trois actions suivantes.

Établir et rédiger une politique de confidentialité en termes simples et clairs dans laquelle il est possible de lire les politiques et pratiques qui encadrent la gouvernance des renseignements personnels; le tout devra ensuite être publié sur le site web de l’entreprise.

Créer un formulaire de consentement de collecte d’informations personnelles qui est séparé des conditions générales de vente ou d’utilisation. Un exemple fictif : BougePlus, une entreprise d’équipement de sport et de plein air, ne peut utiliser votre adresse courriel fournie lors d’un achat en ligne pour vous envoyer de futures promotions. Vous devriez pouvoir consentir à recevoir des courriels de promotion en cochant une case précise. Ayez en tête que donner votre consentement, ça veut dire donner votre accord, et ça ne se fait pas n’importe comment. Un consentement doit être : manifeste (certain et indiscutable); libre (donné sans contrainte); éclairé (précis et rigoureux).

Établir, rédiger et mettre en place les procédures qui permettront de respecter les éléments de la politique de confidentialité :

  • une procédure de conservation, de destruction et d’anonymisation des renseignements personnels;
  • une procédure de demande d’accès aux renseignements personnels et de traitement des plaintes;
  • une procédure de demande de désindexation et de suppression des renseignements personnels;
  • une procédure de gestion des incidents de sécurité et de violation des renseignements personnels;
  • une procédure de gestion du personnel.

Pour en savoir plus et bénécier d’un accompagnement : https://www.cy-clic.com/formations