N.D.L.R. Le texte qui suit fait partie d’un dossier rédigé dans le cadre du cahier thématique dont le thème est : Gestion des affaires : des professionnels à découvrir publié dans notre édition du mois de novembre.
SAGUENAY – La majorité des changements de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) entraient en vigueur en septembre dernier, après une première phase en 2022. Ceux-ci entraînent de nouvelles obligations auxquelles les entreprises doivent se conformer, dont celle d’adopter une politique de confidentialité.
Selon Me Raphaël Tremblay, avocat associé chez Tremblay Parent avocats & avocates, plusieurs PME n’ont toujours pas une bonne connaissance de cette nouvelle Loi. « Il y a des entreprises qui, par nature, ne pensent pas qu’ils vont utiliser des renseignements personnels. Par exemple, un garage qui fait de la mécanique ou un petit atelier de soudure ne se sentiront pas nécessairement concernés. Toutefois, ils sont autant visés par la Loi, puisqu’ils sont appelés à traiter des données personnelles comme ceux de leurs clients », indique-t-il.
Ces renseignements personnels incluent toutes les informations permettant d’identifier une personne, dont les noms et prénoms, numéro d’assurance sociale, adresse courriel ou civique, les coordonnées des gens, etc. « La définition de la Loi est très large. […] Ces données doivent être traitées comme des renseignements personnels et sont protégées par la Loi », rappelle l’avocat.
Politique de confidentialité
Cette année, le point le plus important à retenir est l’obligation de se doter d’une politique qui encadre la gouvernance des renseignements personnels. Trois éléments essentiels doivent se retrouver dans cette politique. « Le premier, c’est qu’il doit y avoir des règles concernant la conservation et la destruction des informations personnelles. Avant, la loi n’obligeait pas à détruire les données personnelles. Avec les changements, une fois que le renseignement personnel a atteint sa finalité, l’organisation a l’obligation de le détruire, tout en se conformant aux lois qui exigent leur conservation sur une certaine période, comme pour certains ordres professionnels », précise Me Tremblay.
Un deuxième point à mettre dans la politique concerne les rôles et responsabilités de chaque salarié dans l’entreprise. « Ce n’est pas tout le monde qui doit avoir accès aux données personnelles. Par exemple, si vous avez des informations sur les employés, il pourrait être indiqué dans la politique que ce sont seulement les gens aux ressources humaines qui y ont accès », mentionne l’avocat.
La politique doit aussi inclure un processus de traitement des plaintes. « Quelqu’un qui estime qu’il y a eu une mauvaise utilisation de ses renseignements personnels doit savoir à qui présenter sa plainte et de quelle manière elle va être analysée. »
Les grandes lignes de la politique doivent également se trouver sur le site Web de l’entreprise. « Quelqu’un du public qui se demande de quelle façon une organisation conserve les renseignements personnels peut se rendre sur le site pour la consulter », explique Me Raphaël Tremblay.
Évaluer les risques
Une autre obligation qui vient d’entrer en vigueur est l’évaluation des facteurs relatifs à la vie privée. Celle-ci est nécessaire dans deux situations, soit lorsqu’on envoie des renseignements personnels à l’extérieur du Québec et si on fait l’acquisition d’un nouveau système d’information ou d’un logiciel qui va collecter et utiliser des informations personnelles.
« Par exemple, si je décide de changer mon logiciel de paie, je dois d’abord évaluer si cette opération va comporter des risques pour la protection des renseignements personnels des gens. Je dois vérifier si j’envoie des informations à un tiers et s’il est en mesure de les protéger, si mon nouveau logiciel a toutes les garanties de confidentialité, etc. Il est essentiel de garder des preuves écrites pour être en mesure de prouver qu’on a fait cette évaluation s’il y avait une fuite », souligne Me Tremblay.
Responsabilité
C’est évidemment la personne désignée comme responsable des renseignements personnels au sein de l’entreprise, une obligation entrée en vigueur en 2022, qui a la responsabilité de s’assurer que la politique est appliquée et que la Loi est respectée. Celle-ci peut toutefois déléguer certaines tâches. « La personne responsable doit être identifiée dans la politique et elle doit aussi apparaître sur le site Internet », rappelle l’avocat.
Il considère qu’il est important que les entreprises qui ne se sont pas encore conformées aux nouvelles modalités entament le processus sans tarder. Si elles ne le font pas, elles sont passibles de sanctions. « Le but de la Loi, c’est de diminuer au maximum les risques de fuite ou d’utilisation malveillante de données personnelles », assure-t-il.
Bonnes pratiques
Dans son rôle auprès de ses clients, Me Raphaël Tremblay a constaté que plusieurs d’entre eux ne détruisaient pas les renseignements personnels. Mettre en place un processus de destruction des archives qui ne servent plus constitue un bon endroit par où commencer pour sécuriser les renseignements personnels dont les organisations disposent.
Lorsque c’est possible, limiter les accès aux informations dans un logiciel en créant différents profils utilisateurs est aussi une stratégie gagnante. « Certains de mes clients ont réalisé que des employés avaient accès à des données dont ils n’avaient pas besoin pour leur travail. Limiter le nombre de personnes qui ont accès à une information diminue les risques. »
Me Tremblay suggère aussi aux entreprises de penser aux boîtes courriel, qui contiennent souvent des renseignements personnels. « Il est plus sécuritaire de bien archiver les courriels dans les dossiers clients au lieu de la boîte courriel. Ça permet de s’assurer que si on détruit le dossier, il ne restera pas d’informations quelque part dans la boîte courriel », recommande-t-il.
Consentement
La Loi prévoyait déjà qu’une personne doit donner son consentement pour la collecte et l’utilisation de ses renseignements personnels. Ce consentement doit être manifeste, libre, éclairé et donné à une fin spécifique. « Avec la Loi 25, on est venu préciser que lorsque ce consentement nous est demandé, il doit l’être en termes simples et clairs. Dans le cas où il y a une formule écrite de consentement, celle-ci ne doit pas être mélangée avec plusieurs sujets. Ça doit être un seul document qui traite le consentement. On veut vraiment s’assurer que, quand ils donnent leur consentement, les gens ne soient pas mêlés et signent sans se rendre compte qu’ils viennent de consentir à donner leurs informations personnelles », conclut Me Raphaël Tremblay.