Les organismes publics et les entreprises privées ont quelques devoirs pour la prochaine année afin de se conformer aux dispositions de la Loi 25, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
Ces nouvelles dispositions prévoient entre autres différents mécanismes à mettre en place pour protéger les données personnelles des utilisateurs de sites web. Les organisations doivent dès maintenant mettre certaines mesures en place et d’autres mesures entreront progressivement en vigueur en 2023 et 2024.
Quelles sont les mesures à prévoir pour les prochaines années en matière de conformité? Dans ce qui suit, nous vous donnons des détails et quelques bonnes pratiques à adopter dès maintenant pour faciliter une transition efficace vers vos nouvelles obligations.
Loi sur les renseignements personnels : en vigueur dès maintenant
En vertu des nouvelles dispositions en vigueur depuis le 22 septembre 2022, les organisations doivent désigner une personne responsable de la conformité à la Loi. Cette personne sera chargée de s’assurer que les politiques et procédures de l’organisation sont conformes à la loi.
Les organisations seront également tenues de tenir un registre de tous les renseignements personnels dont elles ont la responsabilité, ainsi qu’un registre de toutes les divulgations de ces renseignements. Ces registres doivent être mis à la disposition de la Commission d’accès à l’information du Québec (CAIQ) sur demande.
Si la sécurité de la confidentialité est compromise, la loi prévoit que l’organisme ait mis en place des solutions prévues pour réduire l’impact sur les renseignements personnels. De plus, des mesures devront être appliquées pour éviter tout risque d’un nouvel incident pouvant porter atteinte à la confidentialité des données.
Ce qui entre en vigueur dès septembre 2023
À partir du 22 septembre 2023, de nouvelles mesures entreront en vigueur pour encadrer la collecte des renseignements personnels et leur utilisation. Le changement le plus important est définitivement l’obligation d’obtenir le consentement des personnes avant de collecter, d’utiliser ou de divulguer leurs informations personnelles. Les organisations doivent également s’assurer que ces informations sont exactes et à jour, et prendre des mesures pour les protéger contre tout accès ou toute divulgation non autorisée.
Les mesures encadrent aussi l’anonymisation des données ainsi que la période de conservation, de même que l’établissement de politiques et de pratiques encadrant la gouvernance des renseignements personnels.
En outre, une évaluation des facteurs relatifs à la vie privée (ÉFVP) devra être réalisée. Le projet d’évaluation devra être conforme aux normes déjà préalablement établies par la loi. Les points de risque doivent être bien ciblés et, le cas échéant, des mesures devront être prises pour diminuer les risques identifiés.
La Commission d’accès à l’information du Québec sera responsable de l’application des nouvelles dispositions de la Loi 25. La Commission pourra imposer des pénalités administratives pouvant aller jusqu’à 25 000 $ aux organismes qui contreviennent à la loi.
Bref, que vous soyez un organisme public ou une entreprise privée, il ne vous reste que quelques mois pour mettre en place ces mesures et configurer vos outils de collecte de données (Google Analytics par exemple) afin de respecter ces nouvelles mesures.
Les meilleures pratiques à respecter
Les défis des organismes publics sont nombreux, et ajouter cette nouvelle loi dans votre gestion numérique peut aussi être un défi.
Précédemment, il a été question de la désignation d’une personne responsable des renseignements personnels. Il n’est pas requis par la loi que la personne occupant ce poste fasse partie des cadres de l’organisme ou de l’entreprise.
Idéalement, une personne doit avoir été désignée à ce rôle depuis le 22 septembre dernier. Si ce n’est pas déjà fait, il faudra choisir la meilleure personne pour exercer ce nouveau rôle au sein de votre organisation dans les meilleurs délais. Elle doit posséder les connaissances nécessaires à occuper ce rôle, en plus de devoir jouer un rôle décisionnel dans l’entreprise ou l’organisme en question.
Des ressources doivent également être prévues pour appuyer la personne responsable de la protection dans ses nouvelles obligations. Elles peuvent être humaines, financières ou techniques.
Un plan d’action doit être établi à l’avance en cas de violation de confidentialité pour pouvoir prendre les dispositions requises le plus rapidement possible. De plus, toute technique de protection des données impliquant un procédé biométrique (reconnaissance faciale, vocale, ou prise d’empreintes digitales) implique des formalités supplémentaires dont vous devrez prendre connaissance auprès de la Commission d’accès à l’information du Québec.
À ajouter dans votre plan d’action d’ici septembre 2023
Certaines mesures peuvent être prises un peu plus tard en raison de la complexité des prérequis. En les connaissant, vous pourrez déjà anticiper les besoins à venir.
L’inventaire et la sensibilité des renseignements personnels doivent être définis avant le 22 septembre 2023. La mise à jour de cet inventaire est également importante. D’ici 2024, le droit à la portabilité des renseignements personnels devra aussi faire partie de vos processus de protection des données.
Concluons en rappelant que la protection des données est une mission qui ne touche pas uniquement la personne désignée comme responsable de la protection des renseignements personnels. Tous les membres de l’organisation participent activement à la réussite de la protection des données sensibles.
Voyez-en plus sur le Guide Résumé des nouvelles obligations du CAIQ et n’hésitez pas à communiquer avec notre équipe pour plus de détails. Nous travaillons tous les jours à la réussite numérique des municipalités et organismes publics à travers le Québec.