SAGUENAY – Depuis le 22 septembre, les entreprises doivent se conformer à de nouvelles obligations en matière de protection des renseignements personnels en vertu de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Cette Loi a été adoptée l’an dernier, mais l’entrée en vigueur des révisions qu’elle apporte se fait sur trois phases et commençait cette année. « Au niveau du Canada, le Québec est le premier à avoir emboîté le pas à l’Europe avec cette réforme. Nous aurions le système qui assure la meilleure protection au pays », indique Me Raphaël Tremblay, avocat chez Tremblay Parent Avocats & Avocates.

Depuis le 22 septembre, trois modifications notables touchent les entreprises. D’abord, chaque organisation doit désormais désigner une personne responsable de la protection des renseignements personnels dans son équipe. « Par défaut, il s’agit du plus haut dirigeant de l’entreprise. Celle-ci peut toutefois déléguer toute autre salarié pour occuper ce rôle », précise Me Tremblay.

Ce responsable devra s’assurer que la Loi est respectée dans l’entreprise. Fait à noter, ce rôle doit être connu publiquement. Ainsi, si l’organisation possède un site Web, il doit indiquer clairement qui est la personne responsable de la protection des renseignements personnels.

Incidents

Un autre changement d’importance entré en vigueur le 22 septembre est la notion d’incident de confidentialité. « Si une entreprise constate qu’il y a eu un accès, une utilisation ou une communication non autorisée, ou encore la perte d’un renseignement personnel, c’est considéré comme un incident de confidentialité. Lorsque l’organisation a raison de croire qu’un incident est survenu, même si elle ne peut pas le prouver, elle doit prendre les moyens raisonnables pour diminuer le risque de préjudice. Par exemple, si elle pense qu’il y a une faille de sécurité, elle doit rapidement adopter les mesures pour la corriger », explique l’avocat.

Si l’entreprise croit qu’il y a un risque de préjudice sérieux, comme un vol de données, d’autres obligations viennent s’ajouter. Elle devra d’abord aviser la Commission d’accès à l’information du Québec (CAI), organisme gouvernemental responsable de l’application des lois sur la protection des renseignements personnels. Celle-ci pourra ensuite faire enquêter ou aider l’entreprise à mettre en place des mesures correctives. Par ailleurs, l’organisation qui constate un risque de préjudice sérieux doit avertir la personne concernée.

« Ce n’était pas le cas avant. Les fuites de renseignements personnels, le vol de données n’étaient pas du tout encadrés par les lois. Il n’y avait pas de dispositions précises comme ça. On vient mettre des moyens de protection additionnels pour assurer la sécurité du public », souligne Raphaël Tremblay.

L’entreprise a finalement l’obligation de tenir un registre des incidents de confidentialité, même ceux qui ne sont pas divulgués à la CAI. Elle doit être en mesure de démontrer que lorsqu’un risque a été identifié, une mesure a été prise pour le corriger. La Commission a en effet le pouvoir de faire des inspections et d’enquêter.

Transactions commerciales

La dernière modification notable pour 2022 vient toucher les transactions commerciales et baliser une pratique relativement commune, mais qui n’était théoriquement pas permise. « Parfois, lors du processus de vérification diligente, il y avait des renseignements personnels qui étaient transmis sans l’approbation des personnes concernées. Par exemple, l’acheteur obtenait la liste des salariés, des dossiers d’accidents de travail ou autre, sans que ceux-ci soient consultés, parce que les discussions sont souvent encore confidentielles à cette étape », mentionne Me Tremblay.

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels vient maintenant statuer clairement que, dans le cadre de transactions commerciales, on peut s’échanger des renseignements personnels sans que l’individu y ait consenti.

Amendes salées

Selon l’avocat, les amendes prévues par la Loi sont assez salées. Deux systèmes de pénalités seront implantés. Le premier est plus classique, pour les fautes importantes, avec des constats d’infraction délivrés par le Directeur des poursuites criminelles et pénales. Ceux-ci varieront de 5 000 $ à 50 000 $ pour une personne physique ou de 15 000 $ à 25 M$, voire 4 % du chiffre d’affaires mondial lors de l’exercice financier précédent pour une entreprise contrevenante. « Le législateur veut vraiment obliger les entreprises à mettre en place des mesures de protection. »

Le second système est constitué de sanctions administratives pécuniaires. « Dans un dossier où il constate un manquement, le fonctionnaire de la CAI peut délivrer cette sanction. C’est un processus plus rapide et réservé, possiblement, pour des infractions mineures », précise Raphaël Tremblay. Les peines maximales prévues sont de 50 000 $ pour une personne physique et de 10 M$ ou 2 % du chiffre d’affaires pour une personne morale.

Prochaines phases

De nouvelles modifications entreront en vigueur le 22 septembre 2023, puis une troisième phase est prévue en 2024. C’est en 2023 que la majorité des changements prendront effet. Parmi ceux-ci, chaque entreprise devra notamment se doter d’une politique et de pratiques pour encadrer la gouvernance en regard de la protection des renseignements personnels (collecte, conservation, destruction). Les entreprises qui collectent des données personnelles vont devoir avoir une politique rédigée dans des termes simples et clairs, compréhensibles par n’importe quel utilisateur. « Avant la Loi, il n’y avait pas d’obligation de détruire les renseignements personnels. Là, il y en a une qui va être ajoutée. »

Me Tremblay estime que les entreprises devront plus souvent qu’auparavant se référer aux Lois sur la protection des renseignements personnels. « Avec les nouvelles dispositions, les dirigeants sont appelés à consulter la Loi, à s’informer. Nous avons beaucoup de clients qui nous ont contactés à ce sujet. […] Avec les différents événements de cybersécurité qui ont eu lieu dans les dernières années, c’est vraiment une préoccupation pour les entrepreneurs »,