Sommaires exécutifs 30 mars 2023

Nouvelles exigences applicables en matière de protection des renseignements personnels : votre entreprise est-elle conforme?

Le 22 septembre dernier, de nouvelles exigences en matière de protection des renseignements personnels sont entrées en vigueur au Québec. 

Considérée comme étant désuète depuis plusieurs années, la Loi sur la protection des renseignements personnels dans le secteur privé (la «  LPRPSP ») a récemment fait peau neuve et possède maintenant davantage de mordant, notamment en raison des sanctions possibles en cas de non-conformité. La modernisation de la LPRPSP n’est toutefois pas terminée, puisque de nouvelles exigences entreront de nouveau en vigueur le 22 septembre 2023 et le 22 septembre 2024.

À l’instar du Règlement général sur la protection des données adopté en Europe en 2016, la nouvelle mouture de la LPRPSP force les entreprises à être plus transparentes quant à la gestion qu’elles font des renseignements personnels en leur possession. En plus d’accorder de meilleurs droits aux individus, la LPRPSP introduit de nouveaux outils et processus à mettre en place par les entreprises qui doivent être prêtes à démontrer leur conformité en tout temps à la Commission d’accès à l’information (la « CAI »), et ce, peu importe leur taille.

Nouvelles exigences en vigueur depuis le 22 septembre 2022

Parmi les nouvelles exigences applicables depuis le 22 septembre dernier, notons particulièrement :

La fonction de responsable de la protection des renseignements personnels (« RPRP »)

Votre entreprise doit maintenant avoir un RPRP ayant pour mission de veiller au respect et à la mise en application de la LPRPSP ainsi que de conseiller l’entreprise quant aux actions à prendre afin d’assurer sa conformité à cette loi.

La LPRPSP s’assure de la prise en charge directe des responsabilités afférentes à ce rôle en prévoyant que la fonction de RPRP est assumée par défaut par la personne ayant la plus haute autorité au sein de l’entreprise (généralement le/la directeur(trice) général(e) ou la/le président(e)). Cette fonction peut cependant être déléguée complètement ou partiellement par écrit à une autre personne.

Le titre et les coordonnées du RPRP doivent être publiés sur le site Internet de l’entreprise, ou si elle n’a pas de site, rendus accessibles par tout autre moyen approprié.

La gestion des incidents de confidentialité

Votre entreprise doit maintenant tenir à jour un registre de tous les incidents de confidentialité impliquant des renseignements personnels et y documenter, notamment, le nombre de personnes touchées par l’incident ainsi que les mesures mises en place afin de diminuer les risques de préjudice. La CAI pourrait d’ailleurs demander d’avoir accès à une copie de ce registre.

Rappelons que la définition d’un incident de confidentialité est relativement large et comprend :

  • l’accès non autorisé (par exemple, un employé accède au dossier d’un client ou d’un autre employé sans en avoir l’autorisation ou sans que cela soit nécessaire à l’exécution de ses tâches);
  • l’utilisation non autorisée (par exemple, les renseignements personnels d’un client sont utilisés à des fins de prospection commerciale sans son consentement);
  • la communication non autorisée (par exemple, un employé se trompe de destinataire lors de l’envoi d’un courriel confidentiel); et
  • la perte d’un renseignement personnel (par exemple, le dossier physique d’un client a été égaré).

De plus, la survenance d’un incident de confidentialité doit être notifiée à la CAI ainsi qu’aux personnes visées par l’incident dans l’éventualité où il existe un risque qu’un préjudice sérieux soit causé.

Notons que l’évaluation du risque de préjudice sérieux est une opération délicate qui ne doit pas être prise à la légère et qui doit être effectuée au cas par cas. Plusieurs facteurs peuvent être pertinents à ce titre, notamment la sensibilité des renseignements concernés, la probabilité qu’ils soient utilisés à des fins préjudiciables et le nombre de personnes visées par l’incident.

Exigences à venir le 22 septembre 2023

En plus des exigences à respecter depuis l’automne, la prochaine vague de nouvelles exigences est prévue pour le 22 septembre 2023 et prévoit notamment :

L’évaluation des facteurs relatifs à la vie privée (« EFVP »)

L’EFVP est un nouvel outil obligatoire pour les entreprises introduit par la LPRPSP. Bien que nouveau, cet outil se retrouvera au cœur de la plupart de vos activités et vous devrez donc le maîtriser.

Essentiellement, une EFVP est un outil permettant aux entreprises d’évaluer, de pondérer et de mitiger, le cas échéant, les risques liés à la protection des renseignements personnels dans le cadre de leurs activités. L’EFVP permet également d’assurer la mise en place de mesures adéquates afin de protéger les renseignements personnels (par exemple, l’obtention des consentements appropriés, la conclusion d’ententes de confidentialité, l’utilisation de renseignements dépersonnalisés seulement).

En raison de la fréquence où les EFVP devront être réalisées et puisqu’elles nécessiteront l’implication de plusieurs acteurs clés (RPRP, conformité, sécurité, légal, etc.), vous aurez tout avantage à établir rapidement le format que prendront vos EFVP et les informations qui devront y être documentées.

Plus spécifiquement, vous devrez procéder à une EFVP :

  • pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (par exemple, le développement d’un algorithme, le recours à l’intelligence artificielle, la conception d’une nouvelle interface pour les clients, le lancement d’une campagne publicitaire, l’implantation d’un logiciel). Mentionnons toutefois que cette exigence n’est pas rétroactive et s’applique uniquement aux nouveaux projets mis en œuvre après le 22 septembre 2023; et
  • avant de communiquer un renseignement personnel à l’extérieur du Québec. Cela signifie qu’une EFVP est nécessaire dans tous les cas où les renseignements personnels sont conservés ou peuvent être accédés à l’extérieur du Québec par un sous-traitant ou un partenaire, par exemple. L’évaluation devra d’ailleurs tenir compte du régime juridique applicable dans l’État où les renseignements seront communiqués. Une attention particulière devra être apportée aux transferts aux États-Unis.

Mise en place et publication de politiques à l’égard de la protection des renseignements personnels

Si vous avez un site Internet, vous devrez publier sur celui-ci des informations détaillées, en termes simples et clairs, relativement à vos politiques et pratiques encadrant la gouvernance des renseignements personnels, notamment quant à l’utilisation qui sera faite des renseignements personnels et quant au processus de traitement des plaintes relatives à la protection des renseignements personnels.

Dans l’éventualité où, par exemple, vous recueillez des renseignements personnels par l’entremise de votre site Internet ou d’une application mobile, vous devrez publier la politique de confidentialité en entier sur votre site Internet.

L’impartition de renseignements personnels

Il vous sera encore possible d’impartir le traitement des renseignements personnels en votre possession à un sous-traitant, et ce, sans le consentement des individus concernés. La communication des renseignements personnels devra être nécessaire à l’exercice du mandat ou à l’exécution du contrat confié à ce sous-traitant.

Toutefois, vous devrez informer les individus du nom des tiers ou des catégories de tiers à qui les renseignements personnels seront communiqués (par exemple à un sous-traitant responsable de l’hébergement des renseignements). Cette information pourrait notamment se retrouver dans votre politique de confidentialité.

Finalement, vous devrez conclure un contrat écrit avec votre sous-traitant afin d’assurer la protection des renseignements personnels communiqués. Ce contrat devra notamment inclure des mesures afin d’assurer :

  • le caractère confidentiel des renseignements personnels (par exemple, des mesures de sécurité techniques afin de permettre une gestion des accès basée sur le besoin de savoir seulement);
  • que les renseignements personnels communiqués ne soient pas utilisés pour d’autres fins que l’exécution du contrat (par exemple pour les propres fins du sous-traitant);
  • que les renseignements personnels ne soient pas conservés par le sous-traitant après l’exécution du contrat; et
  • le droit d’effectuer toute vérification relative à la confidentialité des renseignements personnels.

Le recours aux technologies

La LPRPSP contient également plusieurs nouvelles exigences en lien avec le recours à certaines technologies. D’une part, les entreprises souhaitant avoir recours à des technologies permettant la prise de décision fondée exclusivement sur un traitement automatisé (par exemple, l’intelligence artificielle) devront informer les individus concernés de cette possibilité au plus tard au moment où elles l’informent de la décision (par exemple, afin de déterminer l’admissibilité d’un client à un produit ou à un service). Cela ne s’applique donc pas aux systèmes d’aide à la décision, soit lorsque la technologie ne fait qu’assister la prise de décision humaine.

De plus, notons que la personne concernée par la décision peut notamment exiger de connaître les raisons ainsi que les principaux facteurs et paramètres ayant mené à la décision, ce qui pourrait causer certaines difficultés si vous utilisez des techniques d’apprentissage automatique (machine learning) lesquelles manquent parfois de transparence à ce sujet.

D’autre part, les entreprises offrant un produit ou un service technologique au public (par exemple, une application mobile, une interface de connexion pour les clients) et qui recueillent des renseignements personnels doivent s’assurer que les paramètres du produit ou du service offrent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.

Finalement, si vous avez recours à une technologie permettant d’identifier, de localiser ou d’effectuer du profilage, vous devrez informer les individus concernés de cette possibilité et des moyens offerts pour activer les fonctions d’identification, de localisation ou de profilage (par exemple certains outils de surveillance des employés ou les témoins de connexion (cookies) de votre site Internet). Autrement dit, ces paramètres ne peuvent être activés par défaut et devront plutôt l’être par une action positive de l’individu.

À venir le 22 septembre 2024

Droit à la portabilité 

Un nouveau droit pour les individus fera son apparition en 2024, soit le droit de recevoir les renseignements personnels que vous avez recueillis électroniquement à leur sujet dans un format technologique structuré et couramment utilisé.

Le droit à la portabilité se limite donc uniquement aux renseignements personnels recueillis directement auprès d’un individu et ne concerne pas les renseignements qui pourraient en avoir été créés ou inférés par votre entreprise (par exemple un indicateur interne généré sur la base des renseignements obtenus d’un client).

Ainsi, non seulement vous devrez définir un processus afin que les individus puissent exercer ce droit, mais vous devrez également mettre en place les moyens techniques afin d’être en mesure d’y donner suite. Notons que ce droit s’ajoute aux autres droits déjà existants, notamment le droit d’accès et le droit à la rectification des renseignements personnels ainsi que le droit d’obtenir des renseignements sur le traitement (par exemple, les catégories de personnes ayant accès aux renseignements personnels et la durée de conservation de ceux-ci).

Pour toute question relative aux impacts des nouvelles exigences sur votre entreprise, n’hésitez pas à communiquer avec notre équipe qui se fera un plaisir de vous conseiller. Voici notamment comment BCF peut vous accompagner :

  • délégation de la fonction de RPRP;
  • mise en place d’un registre des incidents de confidentialité;
  • élaboration d’un régime de traitement vous permettant de recevoir ce que votre entreprise fait avec les renseignements personnels en sa possession;
  • mise en place de pratiques, politiques et procédures de gouvernance des renseignements personnels adaptées à votre entreprise;
  • mise en place d’un programme de prévention et de notification d’un incident de confidentialité;
  • accompagnement lors d’un incident de confidentialité;
  • développement de stratégies de conformité et de réduction des risques de bris de sécurité;
  • évaluation des facteurs relatifs à la vie privée;
  • préparation d’ententes contractuelles avec vos fournisseurs de services; et
  • accompagnement pour le transfert de renseignements personnels à l’extérieur du Québec et du Canada.

Restez à l’affût!

Inscrivez-vous à nos communications et bénéficiez de notre connaissance du marché pour déceler de nouvelles occasions d’affaires, vous renseigner sur les meilleures pratiques innovantes et recevoir les plus récents développements. Découvrez en primeur notre intelligence d’affaires et nos événements.

Inscrivez-vous