Mise à jour des mesures de protection de la vie privée : Comment se conformer aux normes de la Loi 25 au Québec

L'année dernière, le Centre de la sécurité des télécommunications du Canada a enregistré 137 incidents de confidentialité distincts dans des entreprises du pays. Bien que ces incidents concernent aussi bien de petits événements, comme des données mal étiquetées, que des infractions plus graves, comme une violation majeure de données, ils ont attiré l'attention des législateurs.

En 2021, le Québec a adopté une loi qui modernise sa législation en matière de protection de la vie privée afin de mieux protéger les renseignements personnels des Canadiens. Inspirée du Règlement général sur la protection des données (RGPD) de l’Union européenne, la législation sur la protection de la vie privée la plus stricte au monde, la loi 25 exigera des entreprises québécoises qu'elles prennent davantage de précautions en matière de sécurité et accroîtra l'autorité de la Commission d’accès à l’information du Québec.

Une législation moderne pour un monde moderne

Aujourd'hui, alors que de nombreuses tâches et transactions sont effectuées en ligne, la protection des renseignements personnels est encore plus importante. À l'image du RGPD, la loi 25 crée des normes plus strictes pour toute organisation québécoise qui collecte des informations sensibles, ce qui inclut les données médicales, biométriques ou autres données hautement personnelles, et peut inclure des informations financières, bien qu'elles ne soient pas spécifiquement énumérées dans la législation.

Les dispositions de la loi ont commencé à entrer en vigueur en septembre 2022, mais la majorité d'entre elles prendront effet en septembre 2023. Dès aujourd'hui, pour se conformer à la loi 25, les organisations qui collectent et conservent des données sensibles devraient :

• Désigner une personne responsable de la protection des renseignements personnels pour diriger les efforts de gestion de la protection de la vie privée au sein de l'organisation.
• Mettre en place un plan de gestion des incidents de confidentialité et des procédures à suivre par les employés.
• Consigner tout incident de confidentialité dans un registre prévu à cet effet.
• Signaler tout incident de confidentialité à la Commission d’accès à l’information du Québec.

À partir de septembre 2023, les organisations devront également :

• Créer un cadre de gouvernance pour la protection des renseignements personnels.
• Mettre en place un processus de traitement des plaintes.
• Évaluer les risques pour la vie privée et détruire toute information personnelle inutile.
• Obtenir le consentement des personnes pour l'utilisation de leurs renseignements personnels, si nécessaire.
• Établir un calendrier de conservation des données.

Les entreprises qui ne se conforment pas à ces dispositions seront soumises à des lignes directrices plus strictes et à de lourdes amendes. Ces amendes peuvent aller de 5 000 $ à 50 000 $ en cas d'atteinte à la vie privée d'une personne. Dans les cas plus graves, les entreprises pourraient devoir payer jusqu'à 25 millions $ ou 4 % de leur chiffre d'affaires de l'année précédente.

Meilleures pratiques pour protéger votre entreprise

Compte tenu de l'importance des enjeux, les organisations doivent établir un cadre pour la gestion des risques liés aux pratiques en matière de protection des renseignements personnels au sein de l'organisation. Bien sûr, il est essentiel de répondre aux exigences, mais les entreprises qui vont plus loin gagneront la confiance de leurs dirigeants et protégeront l'organisation dans son ensemble.

Voici plusieurs mesures que les entreprises opérant au Québec devraient prendre en considération :

1. Déterminez ce qui est nécessaire. Évitez de collecter des données inutiles qui ajoutent une charge supplémentaire. Par exemple, si les employés entrent dans les locaux de l’entreprise en utilisant leurs empreintes digitales, l'organisation est responsable de la protection de ces données. Envisagez d'autres moyens d'assurer la sécurité sur place et d'éviter ce problème.

2. Renseignez-vous sur les nuances de la loi. Parmi les aspects particuliers, citons l'obligation de détruire les renseignements qui ne sont plus soumis à une période de conservation ou qui ne sont plus utilisés, ou de les rendre anonymes afin qu'il soit impossible d'identifier directement ou indirectement la personne concernée par ces renseignements.

3. Élaborez un plan permettant d'évaluer la gravité d'un incident et la manière de le signaler. Ce plan doit comprendre une évaluation du préjudice qui pourrait résulter d’un incident de confidentialité, des conséquences potentielles et un plan de signalement des atteintes à la vie privée à la Commission.

4. Évaluez votre technologie. Assurez-vous que votre technologie est configurée de manière à protéger les données personnelles des individus. Par exemple, l'utilisation sur votre site web de cookies permettant de dresser le profil d'une personne ou d'identifier sa localisation pourrait être considérée comme un incident de confidentialité en cas de violation de ces données.

5. Protégez vos dirigeants. Parfois, une atteinte à la vie privée entraîne un risque plus important pour les propriétaires d'entreprise et les autres dirigeants. Examinez votre police d'assurance responsabilité civile et vérifiez que la société indemnise tous les administrateurs et dirigeants. Si le pire se produit, personne n'a envie de perdre ses biens personnels dans le cadre d'une indemnisation.

6. Souscrivez une assurance cyber. Si vous n'avez pas encore souscrit de police d'assurance cyber, il est temps d'y songer. L’assurance cyber offre une couverture financière en cas d'atteinte à la vie privée ou de cyberattaque. Les polices peuvent être onéreuses, mais en prenant des mesures pour minimiser les risques, vous pouvez obtenir une police assortie de conditions plus avantageuses.

7. Consultez un avocat. Le meilleur moyen de se conformer à la loi est de s'assurer que l'on en comprend bien les exigences. Discutez des répercussions de la nouvelle loi avec un expert en droit de la protection de la vie privée. Cet expert peut examiner les pratiques de votre entreprise et vous aider à déterminer les moyens de vous conformer à la loi. Se tenir au courant des changements de réglementation est le meilleur moyen de minimiser les risques et d'éviter une lacune dans la couverture.

Contactez un spécialiste en assurance cyber de HUB International pour en savoir plus sur le respect des exigences de la loi 25.