Ces dernières années, l'omniprésence des ordinateurs et d'Internet a entraîné ce que l'on appelle désormais « l'ère numérique ». Celle-ci se distingue par une interconnectivité et une interopérabilité sans précédent entre les individus, les machines et les réseaux à travers le monde.
L'un des aspects les plus remarquables de cette révolution technologique est la capacité de convertir tout type d'informations (mots, images, sons, etc.) en une forme standard, c'est-à-dire en « données » ou « data », et de pouvoir les communiquer sur Internet avec des tiers où qu’ils soient presque instantanément.
En l'espace de 2-3 décennies, cette révolution a complètement bouleversé notre société, en particulier la façon dont nous interagissons, communiquons et menons des affaires. C'est pourquoi une grande majorité d'entreprises ont développé une dépendance aux systèmes d'information connectés à Internet pour gérer leurs opérations. Cette dépendance devrait s’accentuer considérablement avec l'émergence de l’intelligence artificielle, l'automatisation (industrie 4.0), le développement de l’Internet des objets (IoT) et le déploiement de la technologie 5G.
Bien que ces innovations technologiques offrent des avantages significatifs à leurs utilisateurs, elles soulèvent également d'importantes questions relatives à la cybersécurité, la confidentialité et la vie privée qui sont lourdes de conséquences.
Chez DUBÉ LATREILLE, notre mission est de guider nos clients dans cet univers complexe afin que leurs entreprises bénéficient des progrès technologiques tout en minimisant leurs risques.
La vie privée peut être définie comme le droit d'un individu de ne pas partager ou divulguer certaines informations personnelles, ou le droit de les garder anonymes ou confidentielles. Parce que ce droit est un principe fondamental d'une société démocratique, il est notamment reconnu à l'article 5 de la Charte des droits et libertés de la personne du Québec.
Pourtant, quotidiennement, les gens sont régulièrement appelés à révéler d’une façon ou d’une autre une partie de leur vie privée. En effet, dans le cours normal de leurs activités, les organisations recueillent, utilisent et divulguent systématiquement des renseignements personnels ou « RP » (comme le numéro d'assurance sociale, l'adresse, le numéro de téléphone, la date de naissance, les revenus, le numéro d'assurance-maladie, etc.) concernant leurs employés, clients, partenaires, etc. Naturellement, si les individus acceptent ou sont obligés de divulguer leurs RP afin d'obtenir un service, ils sont en droit de s’attendre que ceux-ci soient utilisés à des fins légitimes et raisonnablement protégés, à défaut de quoi leur utilisation illégale ou non-autorisée pourrait s’avérer très préjudiciable pour les personnes concernées (violation de la vie privée, atteinte à la réputation, fraude, usurpation d'identité, etc.).
La confidentialité et la protection des renseignements personnels sont devenues des préoccupations grandissantes au sein de la population. En effet, les citoyens s'intéressent de plus en plus aux politiques de confidentialité et à la réputation des entreprises avant de faire des affaires avec elles ou de leur confier leur RP. Cette méfiance est imputable aux abus fréquents entourant la collecte et la protection des renseignements personnels par les organisations au fil des ans, ce qui a contribué dans une large mesure à la compromission de millions de comptes d'utilisateurs contenant des RP.
Devant cette complaisance généralisée à l’égard de la sécurité des RP, diverses juridictions ont exprimé la volonté d'adopter des lois plus restrictives et contraignantes à l’égard des organisations afin de mieux protéger les RP. L’adoption du Règlement général sur la protection des données (ou « RGPD ») en Europe et du Consumer Privacy Act (ou «CCPA») en Californie sont des exemples éloquents de cette tendance. Pour sa part, le gouvernement fédéral au Canada a déposé le projet de loi C-27 (Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications connexes et corrélatives à d'autres lois).
De son côté, le gouvernement du Québec a adopté une loi ambitieuse, la Loi 25 intitulée Loi modernisant les dispositions législatives concernant la protection des renseignements personnels, laquelle est entrée en vigueur dans toutes ses dispositions le 22 septembre 2024. Cette nouvelle législation signale de grands changements pour la communauté d’affaires du Québec car elle comporte de nouvelles obligations pour les organisations privées et publiques dont les suivantes: celle de désigner une personne responsable de la gestion des RP, d'établir des règles de gouvernance relatives aux RP, de divulguer les incidents de confidentialité et d'obtenir un consentement libre et éclairé avant de collecter les RP. Elle prévoit également de nouveaux droits pour les individus dont le droit à l'information, au retrait du consentement, à l’accès et à la rectification, et à l'effacement des archives de l'entreprise. La mise en application de cette loi entraîne une véritable révolution dans la gestion des RP d’autant plus que son non-respect exposera les entreprises à amendes sévères.
Compte tenu du temps et des ressources qui seront nécessaires pour se conformer aux nouvelles exigences de la Loi sur la Protection des Renseignements Personnels dans le Secteur Privé (modernisée par la Loi 25), et considérant les effets bénéfiques qu’elle sous-tend en matière de contrôle des données et de gestion de risque, il est dans l'intérêt des entreprises québécoises de revoir leurs priorités en conséquence afin d’éviter de procéder à des investissements coûteux qui pourraient s’avérer non-conformes.
La plupart des organisations collectent pour divers motifs des RP dans le cours normal de leurs affaires, que ce soit pour les RH, les services, le marketing, la santé, les finances, les contrats, etc. En tant que telles, ces organisations sont tout autant exposées aux cybermenaces que celles qui n’en gèrent pas. Cependant, en cas de cyber incident impliquant la compromission des RP, les questions relatives à la vie privée et à la confidentialité peuvent considérablement augmenter le risque d’une entreprise à l’égard de ses opérations, sa réputation, sa responsabilité et/ou sa conformité.
Du point de vue du droit à la vie privée, les risques sous-jacents à un incident de confidentialité impliquant des RP peuvent être détaillés comme suit :
Il resort clairement de la loi la volonté du législateur d'obliger les entreprises à être plus transparentes dans la collecte des renseignements personnels.
Ainsi, lors de la collecte, l'entreprise deva indiquer notamment à la personne concernée : les fins de la collecte, les moyens utilisés, les droits d'accès et de rectification prévus par la loi, le droit de la personne de retirer son consentement à l'utilisation ou la communication de ses renseignements personnels.
Également, l'entreprise deva recueillir de ses clients, usagers ou bénéficiaires un consentement manifeste, libre, éclairé quant à l'utilisation des renseignements personnels collectés et ce consentement doit être donné à des fins spécifiques.
Pour en savoir plus sur l'exécution des différentes obligations de la Loi 25, communiquer avec nous au info@dubelatreille.ca et surveillez nos futures chroniques!
La communication de renseignements personnels à un fournisseur de services doit faire l'objet d'une entente écrite entre l'entreprise communicate et ledit fournisseur. Puisque l'entreprise qui communique des renseignements personnels à un fournisseur de service dans le cadre de l'exercice d'un mandat ou de l'exécution d'une prestation de services demure responsable desdits renseignements, elle doit s'assurer que:
Pour en savoir plus sur l'exécution des différentes obligations de la Loi 25, communiquer avec nous au info@dubelatreille.ca et surveillez nos futures chroniques!
Cette nouvelle obligation va contraindre de nombreuses entreprises à analyser et trier les renseignements personnels collectés au sein de leur structure pour redéfinir leur pratique en la matière. La loi ne se contente pas d'imposer cette obligation, mais elle définit également le contenu minimal.
Ainsi, ces politiques et pratiques devront prévoir:
Pour en savoir plus sur l'exécution des différentes obligations de la Loi 25, communiquer avec nous au info@dubelatreille.ca et surveillez nos futures chroniques!
Parmi les nombreuses nouvelles obligations de la loi 25, établir une politique de confidentialité est essentielle pour rassurer et établir un lien de confiance avec les citoyens quant au respect de leur vie privée et de la confidentialité de leurs renseignements personnels.
Il s'agit notamment d'expliquer en termes clairs et simples comment sont collectés et traits les renseignements personnel transmis.
Vous devez donc:
Pour en savoir plus sur l'exécution des différentes obligations de la Loi 25, communiquer avec nous au info@dubelatreille.ca et surveillez nos futures chroniques!
En ce lendemain d'élections provinciales, divers partis politiques ont fait les manchettes que ce soit en raison de leurs promesses électorales ou pour leur performance le soir du scrutin. Suivant l'entrée en vigueur de la Loi sur la protection des renseignements personnels dans le secteur privé en septembre dernier, ces mêmes partis peuvent-ils se voir opposer cette Loi? En fait, plusieurs seront surpris d'apprendre qu’un référent explicite aux partis politiques ne sera inscrit dans la Loi qu'en septembre 2023. D'ici là, rien dans la présente formulation n'inclut les partis politiques.
Pour en savoir plus sur les diverses exceptions applicables au sein de la nouvelle Loi 25, communiquer avec nous au info@dubelatreille.ca et surveillez nos futures chroniques!
Suivant les modifications de l'article 21 et les nouveaux 21.0.1 et 21.0.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, la Commission d'Accès à l'information (CAl) n'a plus un rôle actif à jouer en matière de communication à des fins de recherche. Chacune des parties impliquées partie divulgatrice et partie requérante - devra se conformer aux conditions prévues par la loi. La CAl sera désormais seulement informée de l'entente entre les parties.
Pour tous les critères applicables en la matière, nous vous encourageons fortement à communiquer avec nous au info@dubelatreille.ca et à surveillez nos futures chroniques!
Parmi les dispositions de la nouvelle Loi sur la protection des renseignements personnels dans le secteur privé, l'article 18.4 encadre justement la transmission des renseignements personnels au sein dune transaction commerciale. Il se trouve que le consentement des personnes concernées par les renseignements en question n'est pas nécessaire, mais certaines conditions rigoureuses doivent ètre respectées. Notamment, les renseignements ne doivent servir aucun autre but que celui de la transaction.
Pour en savoir plus sur les implications d'une telle transaction communiquer avec nous au info@dubelatreille.ca.
Vous avez jusqu'au 22 septembre 2022. Votre RPRP devra veiller à assurer le respect, la mise en œuvre de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Vous devez publier son titre et coordonnées sur le site internet de vote entreprise.
Notre équipe peut vous aider à l'égard de la Loi 25 n'hésitez pas à communiquer avec nous au info@dubelatreille.ca.
L'article 3.5 de la nouvelle Loi sur la protection des renseignements personnels dans le secteur privé qui entre en vigueur la semaine prochaine précise les obligations que doit prendre une entreprise confrontée à un incident de confidentialité, d'une part en termes de mitigation des risques et de prévention et d'autre part en termes de notification de l'incident à la Commission d'Accès à l'Information et aux personnes concernées.
Si vous avez des questions concernant cette obligation ou les changements qui seront requis au sein de votre entreprise pour vous conformer à la Loi 25, veuillez communiquer avec nous au info@dubelatreille.ca.
Afin d’aider nos clients corporatifs à faire face aux enjeux juridiques que soulève le droit à la vie privée, incluant notamment la Loi 25, DUBÉ LATREILLE propose les services suivants :