Loi 64 : quel impact pour votre entreprise?
24 novembre 2021
Le 22 septembre dernier, le gouvernement du Québec a adopté une nouvelle loi sur la protection des renseignements personnels (Loi 64). Porteuse d’ambitions comparables à celles du Règlement général sur protections des données (RGPD) adopté en Europe, la loi québécoise provoquera une petite révolution dans la manière dont les PME ont à gérer leurs données. Voici un survol des changements à venir.
Commençons par nous situer dans le temps. La Loi a été adoptée en septembre, mais les entreprises ont d’un à trois ans (selon les dispositions) pour s’y conformer. Voici les éléments les plus importants à mettre en place, selon l’échéancier fourni par le gouvernement :
22 septembre 2022
- Responsable de la protection des données;
- Comité sur l’accès à l’information;
- Plan de réponse à un incident de confidentialité.
22 septembre 2023
- Politique de confidentialité des données;
- Adoption et diffusion des règles de gouvernance;
- Anonymisation des renseignements personnels;
- Collecte et consentement en lien avec les renseignements personnels.
22 septembre 2024
- Droit à la portabilité des données.
Voir ligne du temps complète ici.
Un changement de culture en vue
Le premier chantier à surveiller pour les entreprises est la mise en place un plan de réponse à un incident. Lorsque survient une brèche informatique ou une compromission de données, l’entreprise qui en est victime devra évaluer les risques liés à l’incident pour ensuite notifier les personnes touchées et les autorités concernées.
La divulgation des incidents représentera un grand défi pour les entreprises, note Mélanie Gagnon, la présidente de MGSI Québec. Par exemple, un employé qui perd une clé USB devra avoir le courage d’informer son employeur, pour qu’une analyse du risque soit faite et que les personnes et les institutions sont informées, s’il y a lieu. Beaucoup d’entreprises ont le réflexe de vouloir camoufler les incidents de cybersécurité. Et il faudra qu’il y ait un changement de culture à cet égard. »
À brève échéance, l’autre obligation importante est la mise en place d’un comité d’accès à l’information et la nomination d’un responsable de la protection des données.
Un amendement à la Loi mentionne que le rôle de responsable de la protection des données pourra être délégué à l’externe», précise Mélanie Gagnon, présidente et fondatrice de MGSI Québec, une firme qui aide des entreprises à se conformer aux lois canadiennes et européennes en matière de protection de renseignements personnels.
Ce choix peut avoir beaucoup de sens pour les entreprises, explique la consultante. Pour bien jouer son rôle de chien de garde des renseignements personnels, poursuit-elle, le responsable de la protection des données doit être indépendant et sans conflit d’intérêts.
La transparence à l’honneur
Dans la deuxième année, la Loi demandera aux entreprises plus de transparence au niveau de l’utilisation des données client. Celles-ci devront adopter une gouvernance de données (un ensemble de politiques et processus qui encadrent la gestion des données) qui sera publiée sur le site Web de l’entreprise. Bien que cette démarche demande du travail, elle devrait être bien reçue des entreprises, croit Mélanie Gagnon.
Nous avons accompagné plusieurs entreprises à se conformer aux RGPD en Europe, et l’aspect de transparence en matière de collecte d’information est très bien accepté par les entreprises. Celles-ci communiquent leur politique d’utilisation des données aux clients et nous n’avons jamais eu de réticences à ce niveau. »
Un autre jalon important de la deuxième année est l’entrée en vigueur de l’article 23, stipulant que les renseignements personnels doivent être « détruis » ou « anonymisés » lorsque les fins auxquelles ils ont été recueillis sont atteintes.
Respecter les durées de conservation des données représente un important défi technologique, annonce la présidente de MGSI Québec. Je prends souvent l’exemple d’un CV : s’il y a 5 recruteurs dans une organisation, le CV d’un candidat peut se retrouver dans 5 boîtes courriel, sur des plateformes en ligne et sur le serveur. Les entreprises devront mettre en place des procédures claires pour détruire les renseignements personnels lorsqu’ils ont atteint leurs fins utiles. »
Première étape : l’analyse d’écart
Lorsqu’on prend les dispositions dans leur ensemble, elles peuvent donner le vertige. La première étape de conformité, rappelle Mélanie Gagnon, est de faire une analyse d’écart entre les mesures en place dans l’entreprise et les dispositions de la Loi.
Dans certains cas, ça peut rassurer les entreprises. Il faut se rappeler que la Loi prévoit une approche par les risques ; l’objectif n’est pas d’instaurer une sécurité mur à mur, sans se poser de question, mais bien de mettre en place des procédures et des processus qui tiennent compte de la nature des activités de l’entreprise. »
Aussi, la consultante explique qu’il faut voir une démarche de conformité comme un processus « en continu » plutôt que comme un mandat fermé, avec une date de début et de fin.
Chaque année, il faudra refaire de la formation pour sensibiliser les employés aux risques d’incident de confidentialité. Et il faut aussi demeurer au fait des nouveaux changements législatifs, provenant des différents gouvernements. »
Tout un chantier en perspective!
Découvrez nos formations :
Sur le même thème
Cybersécurité