De nouvelles lois pour protéger les donnés à venir
Philippe Jean Poirier|Édition de la mi‑septembre 2021Cynthia Chassigneux, ancienne commissaire à la Commission d’accès à l’information du Québec (Photo: courtoisie)
TRANSFORMATION NUMÉRIQUE. Tout indique que les entreprises d’ici feront face à de nouvelles obligations légales en matière de protection des renseignements personnels au cours de l’année à venir. Les projets de loi à l’étude à Ottawa et à Québec sont conçus pour amener plus « d’imputabilité » et de « transparence » dans la gestion des données sensibles en entreprise. Analyse.
Quand l’Union européenne a adopté son Règlement général sur la protection des données (RGPD) en 2016, il s’en est suivi une petite révolution sur la manière d’engager la conversation en ligne entre entreprises et consommateurs. De nouveaux concepts ont été introduits dans la sphère légale, comme le droit « à l’oubli » et « à l’effacement des données ». De même que le principe de « vie privée dès la conception », qui oblige les entreprises à développer des applications dans lesquelles les paramètres de confidentialité sont activés par défaut.
L’État de la Californie s’est depuis inspiré du RGPD pour adopter le California consumer privacy act en 2018. Le Canada et le Québec s’apprêtent maintenant à emboîter le pas en rehaussant les obligations des entreprises en matière de protection des renseignements personnels.
En novembre 2020, le gouvernement libéral fédéral a présenté le projet de loi C-11 sur la protection de la vie privée des consommateurs (LPVPC). « Mort au feuilleton » en raison de la dissolution de la Chambre des communes au mois d’août, ce projet de loi devrait vraisemblablement renaître sous un autre nom après les élections.
De son côté, le gouvernement du Québec a déposé le projet de loi 64 (PL 64), soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Cette dernière a été adoptée le 21 septembre. L’entrée en vigueur de plusieurs de ses dispositions s’échelonnera sur trois ans.
La gouvernance des données : bientôt une obligation légale
Les entreprises ne partent toutefois pas de zéro dans ce domaine. Elles ont déjà plusieurs obligations légales en matière de protection des données, dont celle d’obtenir un consentement valide avant de recueillir des renseignements personnels. Toutefois, les lois à venir seront beaucoup plus explicites sur la manière de déployer cette protection.
La loi québécoise tout juste adoptée prévoit que les entreprises devront mettre en place, d’ici deux ans, un plan de gouvernance de données en bonne et due forme, explique Me Cynthia Chassigneux, ancienne commissaire à la Commission d’accès à l’information du Québec, qui est aujourd’hui associée chez Langlois avocats. « Les gouvernements demandent aux entreprises de nommer un responsable de la protection de la vie privée, de documenter le rôle et les responsabilités des personnes qui ont accès à des renseignements personnels, de prévoir un processus de traitement des plaintes et de mettre en place un plan de gestion d’incident de confidentialité, entre autres obligations », énumère-t-elle.
Une autre grande différence est la sévérité des sanctions en cas de non-conformité. « À l’heure actuelle, les entreprises fautives peuvent faire face à des amendes allant de 10 000 $ à 50 000 $ selon les cas. Dans le PL 64, on fait mention d’amende pouvant atteindre jusqu’à 4 % du chiffre d’affaires mondial de l’exercice financier précédent de l’entreprise si ce dernier montant est le plus élevé », précise l’avocate.
Les responsables de la protection des données en entreprise semblent bien au fait des changements à apporter pour se conformer aux nouvelles exigences. Parmi la centaine sondée par PwC au printemps, 95 % avaient pris connaissance du projet de loi fédéral C-11, et 94 % de ceux-ci ont affirmé avoir un plan de préparation « général ». Près de 9 sur 10 (88 %) ont dit avoir mené une «évaluation interne» et 41 % plaçaient cette priorité « en tête de liste ».
Le dossier semble toutefois moins bien compris au sein des entreprises québécoises, si l’on en croit un autre sondage – cette fois sur le PL 64 – mené en mai par PwC, en partenariat avec la Fédération des chambres de commerce du Québec et de l’Association canadienne des compagnies d’assurances de personnes, auprès de 74 entreprises. Près de quatre sur dix (37 %) ont affirmé « ne pas comprendre l’incidence » du PL 64 sur leur organisation et ont concédé ne pas avoir un « solide programme de protection des renseignements personnels ». Chez les entreprises de 100 employés et moins, cette proportion bondit à 66 %.