Dates-jalon de mise en conformité à la loi 25 et enjeux d’affaires

Dates-jalon de mise en conformité à la loi 25 et enjeux d’affaires

Vous faites affaire au Québec? Vous devez vous conformer à la loi 25 sur la protection des renseignements personnels. Si vous être présent ailleurs au Canada, vous serez soit soumis à la loi de l’Ontario, de l’Alberta ou la loi sur la protection de la vie privée des consommateurs (LPVPC) du gouvernement canadien. Vous faites affaire en Europe, vous devez respecter la norme Européenne du Règlement Général sur la Protection des Données (RGPD, GDPR en anglais.)  Plus globalement, 71% des pays ont adopté une loi sur la protection des renseignements personnels et 9% sont en cours de rédaction d’une telle loi.

Appliquer la loi 25 sur la protection des renseignements personnels comportant des jalons qui doivent être appliqués dès maintenant. En résumé, la loi 25 doit s’appliquer en 3 étapes :

Septembre 2022

  • Si ce rôle n’existe pas déjà, nommer un responsable de la protection des renseignements personnels (quelques fois nommé Chief Privacy Officer)
  • Divulgation obligatoire en cas d’incident menaçant la confidentialité ou en cas de cyberattaque. Autant les citoyens touchés que la commission d’accès à l’information.

Septembre 2023 

  • Avoir une politique de confidentialité, rédigée en terme simple et claire, laquelle doit être affichée sur le site web ou publiée de manière appropriée.
  • Gouvernance des renseignements personnels. Les rôles et responsabilités internes, processus de traitement d’une plainte, catégorisation des actifs informationnels, conservation et destruction des données, surveillance.
  • La protection des renseignements personnels devra faire partie intégrante de la culture d’entreprise. Par exemple, à chaque acquisition ou transformation de processus, l’évaluation des impacts devra être complétée et documentée (nouveau système, entente avec des tiers, communication de renseignement à l’extérieur de la province)

Septembre 2024

  • Processus et format structuré des données pouvant être extraites permettant la portabilité des renseignements suite à la demande d’un citoyen.
  • Être en mesure d’expliquer clairement la provenance des données personnelles et moyens de fournir l’information exigée.

 

Les impacts financiers dès septembre 2023

Impossible de parler de la loi 25 sans mentionner les impacts financiers potentiels. Le commissaire d’accès à l’information a le pouvoir, dès septembre 2023, d’imposer des sanctions dissuasives aux contrevenants. Ces sanctions peuvent s’élever jusqu’à 25,000,000 $ ou 4 % du chiffre d’affaires mondial de l’organisation. En cas de récidive, ces amendes seront portées au double. En plus de ce qui précède, les personnes ayant eu un préjudice et que cette atteinte est intentionnelle ou résulte d’une faute lourde, le tribunal accordera des dommages-intérêts punitifs d’au moins 1,000$ par cas. Comment calculer le coût qu’aura une faille sur la réputation de l’organisation?

La mise en place d’une gouvernance de la protection des renseignements personnels, accroitre le contrôle, la transparence, le consentement des personnes et la cybersécurité en général sont des items devant être mis en place pour limiter les risques de fuites et l’imposition d’une amende.

Les enjeux et la complexité à prévoir

Le chantier de conformité demandera de la planification et des changements sont à prévoir au niveau gouvernance, légal, marketing, sur les procédures, les opérations et dans les systèmes d’information. Un des premiers éléments à entreprendre sera de répertorier l’ensemble des renseignements personnels, définir les données sensibles qui y sont rattachées, la raison pour laquelle chaque récurrence de ces données est nécessaire, la méthode utilisée pour la collecte et le consentement associé. Une cartographie des données est donc fortement recommandée pour mener à bien l’ensemble du chantier. Évidemment, chaque organisation aura une complexité plus ou moins élevée, selon sa taille et selon le type de données qu’elle gère. Outre la cartographie des données, quels sont les éléments prévus à la loi qui risquent d’avoir des implications plus élevées?

  • Politique de confidentialité : Un citoyen doit être en contrôle de ses renseignements personnels. Une politique claire doit informer le citoyen de manière claire et transparente. Notamment, les renseignements personnels   qui sont collectés, des fins pour lesquelles les renseignements sont recueillis, des moyens par lesquels les renseignements sont recueillis, de leurs droits, de la durée de conservation des renseignements et des coordonnées du responsable de la protection des renseignements personnels.
  • Le droit à la transparence, la rectification, à l’effacement et la portabilité : Le citoyen a plus de pouvoir concernant ses données. Il pourra demander à obtenir auprès des organisations la donnée le concernant, valider celles-ci et demander la rectification, la suppression et la portabilité. Pour satisfaire ce droit, les organisations doivent avoir un mécanisme d’extraction des données dans un format standard.
  • Encadrement des décisions fondées exclusivement sur un traitement automatisé: Pour les systèmes plus évolués basant des décisions automatisées sur des renseignements personnels, une transparence sera requise concernant le processus décisionnel ayant mené à la décision. Les personnes pourront obtenir l’information décisionnelle utilisée pour garder le contrôle et s’assurer que la bonne décision soit rendue. Les organisations ayant ce type de système, basé sur l’analyse ou l’intelligence artificielle devront documenter leur processus décisionnel et être en mesure d’expliquer la prise de décision à un citoyen.
  • Transparence à l’égard des incidents de confidentialité: En cas d’incident de confidentialité, les organisations ont l’obligation de prendre les mesures requises afin de réduire les risques de préjudice pour les personnes concernées et aussi d’agir afin d’éviter que ce type d’incident ne se reproduise. Dans les cas où un préjudice sérieux pour les personnes concernées pourrait s’ensuivre, les organisations sont tenues d’informer les personnes concernées et d’aviser la commission d’accès à l’information de l’incident. Les organisations doivent garder un registre de tous les incidents de confidentialités, lequel pourra être consulté par la commission d’accès à l’information.
  • La protection de la vie privée dès la conception est par défaut: L’évaluation des facteurs relatifs à la vie privée permet de déterminer si des initiatives ou projets, comportant l’usage de renseignements personnels, posent des risques pour la protection de la vie privée.  Cette évaluation des facteurs de risques permet également de mesurer, de décrire et de quantifier ces risques ainsi que de proposer des solutions dans le but de les éliminer ou de les ramener à un niveau acceptable. Il est implicite que les renseignements personnels soient automatiquement protégés sans qu’aucune action supplémentaire soit requise de la part d’un particulier. Cet exercice oblige l’organisation à se questionner, dès le début d’un projet, sur les risques que celui-ci soulève et sur les mesures à prendre afin de s’assurer du respect des principes de protection des renseignements personnels.
  • Le consentement:  Un consentement à la collecte, à l’utilisation ou à la communication des renseignements personnels devra être demandé de façon distincte pour chaque type prévu par la loi et séparément de toute autre information communiquée aux personnes. Certains renseignements nécessitent un degré de protection plus élevé considérant les risques plus importants d’atteinte à la vie privée. Pour les jeunes de moins de 14 ans, il sera exigé que le consentement soit donné par le titulaire de l’autorité parentale pour la collecte, l’utilisation ou la communication des renseignements personnels. Ces obligations pourront avoir un impact significatif sur les processus de collecte actuels et les systèmes concernés.

Plusieurs autres éléments sont aussi à considérer tel que la communication hors Québec, entente avec fournisseurs tiers, dépersonnalisation des données et la traçabilité. Pour comprendre son l’implication, l’organisation devra faire une analyse de sa situation et faire un plan d’action en conséquence. La connaissance et l’interprétation de la loi 25 sur la protection des renseignements personnels sont indispensables au succès de mise en place.

Les organisations doivent être en mesure de démontrer qu’elles ont agi de manière responsable dans l’application de la loi 25 et qu’elles ont pris les mesures nécessaires pour protéger les renseignements personnels qui lui ont été confiés. Il est donc implicite que les organisations doivent avoir mis en place des règles de cybersécurité pour accomplir cette portion des exigences.

Eficio a intégré dans le CISO 360 (posture Cyber-risques) une démarche d’analyse d’impacts de la loi 25 ainsi que l’étalissement d’un plan d’actions.  D’autres articles sur le sujet seront publiés sous peu.