Par Me Jean-François Latreille2, CD, RPRP
La nouvelle a fait relativement peu de bruit, en 2021, lorsque le Projet de loi 64 intitulé « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels » a été adopté pour devenir la fameuse « Loi 25 ». Pourtant, celle-ci allait révolutionner la façon avec laquelle les entreprises publiques et privées allaient devoir désormais composer à l’égard de la protection des renseignements personnels au Québec.
Dans un premier temps, ainsi que son nom l’indique, la Loi 25 a pour vocation de moderniser ou mettre à jour les lois québécoises dont les dispositions traitent de la protection des renseignements personnels. Mais, avant d’examiner le contenu de la Loi 25 et de ce que cela implique pour les organisations, qu’est-ce qui a poussé le législateur à adopter une telle loi?
Depuis que nous vivons à l’ère numérique, les technologies de l’information (TI) ont radicalement changé nos modes de vie dans toutes les sphères de l’activité humaine. En effet, désormais toutes nos données (écrits, sons, voix, images, etc.) peuvent être converties dans un format standard et facilement transférable partout dans le monde sur n’importe quelle plateforme3 par l’entremise d’Internet. Indiscutablement, ces nouvelles technologies ont apporté bien des bienfaits dans la vie de tous les jours, tant au niveau professionnel que personnel. Par contre, elles ont également entraîné une forte dépendance aux TI ainsi qu’une consommation sans cesse grandissante de données de toutes sortes. Il suffit de penser au nombre de fois que nous manipulons notre téléphone intelligent chaque jour…
Parallèlement, 2 phénomènes importants sont apparus. D’une part, les entreprises ont commencé à accumuler de plus en plus de données, incluant les renseignements personnels, ce tant pour leurs opérations que pour les analyser (Big Data) à des fins commerciales. Ce faisant, les entreprises ne se souciaient guère, bien souvent, du consentement de leurs clients ni de la protection ou de la confidentialité des personnels qu’elles collectaient auprès d’eux.
D’autre part, l’ère numérique a vu l’émergence du fléau de la cybercriminalité, un mouvement endémique qui ne cesse de croître et de causer des ravages importants à l’échelle mondiale. En effet, les criminels du monde entier ont rapidement compris la valeur stratégique que représentaient les données des organisations. C’est pourquoi ils se sont mis à lancer des attaques de toutes sortes, souvent du confort de leur foyer, à l’aide notamment de rançongiciels4. Vu le taux élevé de succès de ces attaques, le faible risque de se faire prendre, et le coût abordable des logiciels malicieux en vente libre sur Internet, cette tendance en pleine effervescence n’est pas près de s’atténuer, bien au contraire.
C’est pourquoi les cracks de l’informatique répètent à qui veut les entendre : ce n’est pas si mais quand vous allez vous faire pirater…5
Ces facteurs combinés ont donné lieu à de spectaculaires attaques informatiques entraînant la compromission de millions de renseignements personnels aux dépends de la sécurité des personnes concernées6. Devant l’indignation générale reprise par les médias et aggravée par le manque d’imputabilité des organisations fautives, les autorités du monde entier, Europe en tête, ont décidé de dépoussiérer des lois devenues inefficaces et obsolètes pour mieux protéger les renseignements personnels.
C’est dans ce contexte que la Loi 25 a vu le jour avec pour objectifs de 1) faire de la protection des renseignements personnels un droit fondamental, et 2) pour redonner aux citoyens le contrôle sur ceux-ci7.
Essentiellement, la Loi 25 se distingue par des dispositions qui se fondent sur 3 thèmes principaux. Il y a d’abord l’obligation pour les entreprises d’obtenir le consentement de leurs usagers, avant de procéder à la collection et de faire usage de leurs renseignements personnels. La nature du consentement varie en fonction du degré de sensibilité des renseignements personnels concernés, et le consentement doit porter sur des finalités claires et non équivoques.
Deuxièmement, les entreprises doivent faire preuve de transparence à l’égard du traitement et de la gestion qui seront réservés à ces données. Par exemple, une organisation ne pourra pas normalement utiliser des renseignements personnels à des fins autres que celles pour lesquelles les usagers ont donné leur consentement. En outre, une Politique de confidentialité affichant les mesures prises par une entreprise devra être publiée sur son site web.
Par ailleurs, les personnes concernées par ces données disposeront dorénavant de nouveaux droits (en plus du droit à l’accès et du droit à la rectification dont ils disposaient déjà), incluant 1) le droit à l’oubli suivant lequel un usager peut demander à un moteur de recherche d’effacer ou de désindexer des renseignements le concernant s’il rencontre les conditions prévues par la loi8, 2) le droit à l’information suivant lequel un usager peut avoir accès à des renseignements additionnels sur les processus, les accès et les technologies qui pourraient être impliqués, et 3) le droit à la portabilité qui confère à une personne l’opportunité de récupérer l’intégralité de ses données sur un format numérique intelligible et couramment utilisé9.
De plus, la loi prévoit la création d’une nouvelle fonction en entreprise, soit celle du Responsable de la protection des renseignements personnels (RPRP) dont la tâche, à défaut d’être déléguée, relève par défaut de la plus haute autorité de l’organisation. Le rôle de ce RPRP est fort important car il agit à titre d’agent de conformité au sein de l’entreprise. Dans le cadre de ses obligations, qui incluent, entre autres, celles de répondre aux demandes et aux plaintes des usagers, le RPRP doit veiller à l’intégration et au respect des règles de gouvernance de l’organisation en matière de protection des renseignements personnels.
Le troisième volet de la Loi 25 porte sur l’imputabilité des entreprises à l’égard des renseignements personnels qui leur sont confiés. Désormais, elles seront responsables de leur confidentialité et de leur sécurité dès qu’elles les collecteront, et ce, jusqu’à leur date de péremption, c’est-à-dire le moment où ces données auront atteint leur fin de vie utile et qu’elles auront été détruites… Désormais, cette responsabilité sera maintenue même si ces renseignements sont confiés à des tiers-fournisseurs. De plus, l’entreprise qui les communique devra les assujettir à des ententes de confidentialité dont elles demeureront tributaires. Par ailleurs, une attention particulière devra être portée aux tiers-fournisseurs hors-Québec puisqu’une Évaluation des facteurs relatifs à la vie privée (EFVP) devra être réalisée avec chacun d’eux (en plus d’une entente de confidentialité!) afin de vérifier si la protection accordée aux renseignements personnels sera adéquate.
Lors de l’adoption de la Loi 25, en 2021, le législateur avait prévu une entrée en vigueur par étapes successives entre septembre 2022 et septembre 2024. En date des présentes, l’essentiel des dispositions de la Loi 25 sont désormais en vigueur, à l’exception du droit à la portabilité dont l’échéance est prévue pour septembre 2024.
Pour inciter les organisations du Québec à se conformer sans retard à cette nouvelle Loi, le législateur a prévu des sanctions administratives et pénales qui actuellement sont les plus sévères au pays. En effet, la Commission d’accès à l’information, qui agit à titre d’autorité réglementaire à l’égard de la Loi 25, a le pouvoir d'imposer des sanctions administratives pécuniaires allant jusqu'à 10,000,000 $ (ou 2% du chiffre d'affaires mondial) et des sanctions pénales allant jusqu'à 25,000,000 $ (ou 4% du chiffre d'affaires mondial). Comme ces dispositions sont en vigueur depuis septembre 2023, les conseils d’administration des entités concernées devraient voir à ce que leur mise en conformité, si ce n’est déjà fait, devienne prioritaire à défaut de quoi leur responsabilité personnelle pourrait être engagée.
Ceci dit, est-ce que toutes les organisations du Québec sont visées par la Loi 25 ?
A priori, la réponse est oui. Quelle que soit la taille de votre organisation, votre chiffre d’affaires, qu’il s’agisse d’une organisation publique, privée, d’un OSBL, toutes sont visées par la loi (à moins que vous ne traitiez aucun renseignement personnel, ce qui est improbable).
Vu ce qui précède, comment procède-t-on à une mise en conformité à la Loi 25 ?
Essentiellement, ce processus peut se diviser en 3 phases10. Dans un premier temps, il est utile de procéder à une sorte d’audit de conformité pour déterminer ce qui a été mis en place pour assurer la protection des renseignements personnels et pour déterminer la nature, la volumétrie, et la distribution de ceux-ci à l’intérieur et à l’extérieur de l’organisation. Ceci permet d’identifier les lacunes et les démarches qui devront être prises en compte dans le plan de mise en conformité.
Ensuite, suivant les spécificités de l’organisation concernée, il faut développer les outils et la documentation légale nécessaires. Ceci inclut la désignation du RPRP, l’établissement d’un plan d’urgence en cas d’incident de confidentialité11, l’élaboration des politiques et règles de gouvernance de l’organisation pour assurer la protection des renseignements personnels, la détermination des rôles, devoirs et responsabilités des membres du personnel à toutes les étapes du « cycle de vie » des renseignements personnels, etc. C’est aussi à cette étape que différents registres doivent être préparés (incluant, notamment, le registre des incidents de confidentialité et le calendrier de rétention et destruction des renseignements personnels) et que différentes informations doivent apparaître sur le site web de l’organisation (politique de confidentialité, sommaire détaillé des règles de gouvernance, et coordonnées pour rejoindre le RPRP).
Une fois cette étape importante franchie, la troisième consiste à intégrer et à mettre en application les politiques et règles de gouvernances précitées. Ceci inclut, entre autres, la formation du personnel, la vérification des contrats de services avec les tiers-fournisseurs qui ont accès aux renseignements personnels pour valider les clauses de confidentialité qu’elles contiennent (le cas échéant), et la mise en place d’un processus de réponse aux demandes et aux plaintes des usagers/clients de l’entreprise à l’égard des renseignements personnels.
Par la suite, étant donné que l’interprétation de la Loi 25 est appelée à évoluer par l’entremise de la Commission de l’accès à l’information ou les tribunaux, le RPRP devra s’assurer de faire des mises à jour régulières afin de maintenir un niveau de conformité acceptable pour son organisation.
Vu ce qui précède, il est indéniable que les organisations du Québec devront se retrousser les manches, mettre de l’ordre dans leurs données et se réorganiser pour se conformer à la loi 25.
Pourtant, à l’ère numérique où l’information que l’on détient représente à la fois un atout et un risque pour les individus concernés, cette démarche s’avère nécessaire et dans l’intérêt de tous.
1 - Important : Cet article vous est communiqué à titre informatif, uniquement, et ne saurait constituer en aucune circonstance un avis juridique. En effet, la Loi 25 se rattache à d’autres lois et son application dépend du contexte dans lequel elle s’inscrit. Conséquemment, si vous avez besoin d’un avis légal sur l’application de la Loi 25 à l’égard de votre organisation, veuillez svp consulter un.e avocat.e.
2 - Me Jean-François Latreille est associé-principal au cabinet DUBÉ LATREILLE AVOCATS INC. (www.dubelatreille.ca). Spécialisé en droit de la vie privée et en droit de la cybersécurité, il agit comme avocat-conseil auprès d’OSBL, de PMEs et des villes dans leurs démarches pour se conformer à la Loi 25. Dans le cadre de ses fonctions, Me Latreille donne aussi des formations sur la Loi 25, lesquelles sont accréditées par le Barreau du Québec et l’OACIQ. À ce titre, il est régulièrement sollicité pour participer à des congrès, notamment par l’entremise du Cercle Numérique (www.cerclenumerique.com).
3 - PC, Laptop, tablette, téléphone, etc.
4 - Un rançongiciel est un programme malveillant qui infecte votre réseau informatique et dont la particularité est de chiffrer vos données pour vous en interdire l’accès. Ce n’est qu’en payant une rançon aux pirates que vous pourrez espérer récupérer l’accès à vos données.
5 - Cette expression un peu laborieuse est tirée de l’anglais (It’s not IF but WHEN…) et signifie que personne n’est à l’abri d’une attaque informatique, et que tout le monde, tôt ou tard, va être victime de ce phénomène.
6 - Les conséquences de la compromission de vos renseignements personnels? Selon le cas, votre sécurité physique, matérielle, financière, ou réputationnelle. Le risque le plus fréquent est celui d’être victime de fraude sur une période indéterminée. Lorsque vous renseignements personnels sont compromis, vous en perdez le contrôle, et donc…
7 - Propos tirés de la ministre de la Justice de l’époque, Mme Sonia Lebel.
8 - Un usager peut notamment revendiquer ce droit si une ordonnance ou un texte de loi l’exige, ou si le préjudice causé à l’individu par cette publication est suffisamment grave par rapport à l’intérêt public de la maintenir en ligne.
9 - Droit à la portabilité : ce droit n’entre en vigueur qu’en septembre 2024.
10 - Pour toute question concernant l’application de la Loi 25, le site de la Commission d’accès à l’information peut s’avérer fort utile : https://www.cai.gouv.qc.ca/
11 - Un incident de confidentialité se définit comme étant une situation impliquant la compromission de renseignements personnels et pouvant présenter un risque de préjudice sérieux pour les personnes concernées.