Logo - Les Affaires
Logo - Les Affaires

Données: la loi 25 va «bouleverser nos façons de faire»

Maxime Johnson|Édition de la mi‑septembre 2023

Données: la loi 25 va «bouleverser nos façons de faire»

Avec la loi 25, les citoyens obtiennent de nouveaux droits. Les entreprises, elles, ont pour leur part plusieurs obligations à mettre en œuvre. (Photo: 123RF)

La date d’échéance pour se conformer au second volet de la loi 25 sur la gestion des renseignements personnels au Québec arrive à grands pas. Dès le 22 septembre, les amendes pour les entreprises prises en défaut pourraient être salées. 

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, aussi appelée « loi 25 », encadre la gestion des données personnelles dans les entreprises. 

« C’est la première loi majeure pour la protection des renseignements personnels au Canada. C’est une loi qui s’inspire du Règlement général sur la protection des données (RGPD) en Europe », résume Imran Ahmad, associé et chef canadien de la Division des technologies, et cochef canadien de la Division de la gouvernance de l’information, de la protection des renseignements personnels et de la cybersécurité chez Norton Rose Fulbright Canada.

Avec la loi 25, les citoyens obtiennent de nouveaux droits, comme le droit à désindexation, où quelqu’un peut demander à une entreprise d’arrêter la diffusion de un ou de plusieurs de ses renseignements personnels. Les entreprises, elles, ont pour leur part plusieurs obligations à mettre en œuvre. 

 

Repenser la gestion des données

La gestion des renseignements personnels — autant l’adresse de ses clients que le numéro d’assurance sociale de ses employés, peu importe qu’ils soient enregistrés sur un support numérique ou physique — est au cœur de ces obligations pour les entreprises.

Le consentement des clients lors de la collecte de renseignements doit par exemple être clair et explicite, notamment par rapport à ce qui sera fait avec ces informations, et avec quels fournisseurs elles seront partagées. Les entreprises doivent aussi effectuer une cartographie complète des renseignements personnels qu’elles possèdent, ce qui permet ensuite d’effacer les données quand le consentement associé arrive à échéance, ou si un client en fait la demande, par exemple.

« Plusieurs de ces éléments étaient autrefois de bonnes pratiques à adopter, mais ils sont maintenant codifiés dans la loi », précise Imran Ahmad.

« La loi 25 ne va pas seulement affecter le travail des juristes. C’est une loi qui va nécessiter un changement de comportement dans plusieurs métiers, et qui peut bouleverser les façons de faire », note Romain Gauthier, PDG et cofondateur de Didomi, qui offre différentes solutions pour aider les entreprises à se conformer à la loi 25, notamment par rapport aux outils pour obtenir le consentement des visiteurs sur le Web.

La loi 25 touche aussi d’autres aspects des renseignements personnels, par rapport à la gestion des incidents de confidentialité, par exemple. 

 

Un travail parfois long

Après l’entrée en vigueur d’un premier volet assez simple à implanter en 22 septembre 2022, où les entreprises devaient notamment désigner une personne responsable de la protection des renseignements personnels, puis publier son titre et ses coordonnées sur le site Internet de l’entreprise, le second volet attendu le 22 septembre prochain risque d’être plus complexe. 

« Si vous avez déjà des clients en Europe et que vous respectez donc déjà le RGPD, ce n’est pas très compliqué. Sinon, ça peut demander beaucoup de travail, surtout si vous avez beaucoup de renseignements personnels », estime Romain Gauthier. 

« Ça devrait prendre aux entreprises au moins 90 jours pour s’y conformer convenablement, observe Imran Ahmad. Ça peut être plus court pour les petites entreprises, de 30 à 60 jours, mais elles doivent alors se presser. » 

« Ça nous a pris plus de temps qu’on pensait pour le faire, on avait prévu terminer trois mois plus tôt », note Yannick Desmarais, fondateur et PDG de Worximity Technology, une entreprise technologique montréalaise d’une quarantaine d’employés. 

La Commission d’accès à l’information (CAI) ne dispose pas d’informations sur l’état d’avancement des entreprises à l’heure actuelle dans leur processus pour se rendre conformes, puisqu’elles ne sont pas tenues d’en informer la Commission, selon ce qu’a expliqué une porte-parole de la CAI à « Les Affaires ». 

 

Des amendes à prévoir

Les incitatifs pour effectuer le travail sont de taille : en cas de non-conformité, une entreprise pourrait écoper d’une amende allant jusqu’à 25 millions de dollars, ou 4 % du chiffre d’affaires mondial. 

« On ne sait pas encore dans quelle mesure le CAI va distribuer des amendes. Il devra probablement y avoir un comportement répréhensible, et non une simple violation technique qui peut être corrigée rapidement », prédit Imran Ahmad. 

Rappelons que Meta a écopé, ce printemps, en Europe, d’une amende de 1,2 milliard d’euros (1,75 milliard de dollars canadiens) pour avoir enfreint le RGPD équivalent à la Loi 25 québécoise.