Protection des renseignements personnels

PROJET DE LOI 64 Vs RGPD

Comparaison des mesures de protection des renseignements personnels dans le secteur privé

Lors du dépôt du projet de loi (PL) 64 à l’Assemblée nationale, le 12 juin dernier, Mme Sonia Lebel faisait état des lacunes des lois québécoises actuelles relatives à la protection des renseignements personnels aussi bien dans le secteur privé que public. L’objectif du PL64 étant d’accroître la protection des renseignements personnels au Québec, en ajoutant des obligations de transparence, de confidentialité des données et de consentement des utilisateurs, et en rehaussant la responsabilité des ministères et organismes, des entreprises privées ainsi que, pour la toute première fois, des partis politiques. Le présent article porte sur les amendements proposés à la Loi sur le secteur privé dans une approche comparative avec les mesures applicables sous le règlement général européen sur la protection des données (RGPD) et leurs conséquences pour les entreprises qui devront les implémenter.

Vers un rapprochement avec le RGPD

Les modifications proposées aux lois provinciales en la matière se rapprochent très fortement de celles énoncées par le RGPD européen. En effet, on ne peut que saluer la (re)prise de contrôle des citoyens sur leurs données personnelles par la proposition de plusieurs droits individuels dont on jalousait les européens, par exemple, le fameux droit à la portabilité des données personnelles, à l’effacement et au déréférencement, ou encore le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage. Aussi, les nouvelles exigences de protection par conception et par défaut (“privacy by design”), application pratique du principe qui se faisaient languir au Québec pour une meilleur protection des renseignements personnels, apportent une série de défis aux entrepreneurs qui collectent des renseignements personnels par l’entremise de produits ou de services technologiques, puisqu’ils vont devoir prochainement s’assurer que les paramètres ou les configurations de ceux-ci assurent le plus haut niveau de confidentialité par défaut, imposant par le fait même l’adaptation des processus de déploiement d’applications numériques.

De nouvelles obligations et responsabilités pour les entreprises

De nombreuses autres obligations notamment en matière de collecte, de communication, de traitement et de transfert des renseignements personnels vont bientôt s’imposer aux entrepreneurs. Nous allons les répertorier dans le tableau ci-après, mais il convient ici de mentionner l’importance du respect de ces obligations dans leurs applications puisqu’elles engendrent une responsabilité sanctionnable. En effet, le principe de la responsabilité de l’entreprise a été introduit de façon expresse dans le PL64, d’une part, avec l’introduction du statut de « responsable de la protection des renseignements personnels » chargé de veiller à assurer le respect et la mise en œuvre de la LPRPSP, qui incombera désormais au plus haut dirigeant de l’entreprise et l’obligation d’établir des règles de gouvernance; d’autre part, avec l’augmentation des pouvoirs de contrôle et de sanctions importantes de la Commission d’accès à l’information (la « CAI»). Cette dernière pourrait directement, sans soumettre le dossier au DPCP, imposer des sanctions administratives pouvant aller jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial si ce montant est plus élevé et des sanctions pénales pouvant aller jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial. Comme en Europe, c’est l’application de sanctions importantes et la possibilité d’être poursuivi en dommages et intérêts qui auront un fort effet dissuasif sur les comportements négligents des entreprises dans leur gestion de données. En effet, l’année 2019 a été marquée de nombreux cas de fuites de données, on constate que les menaces ne proviennent pas seulement d’une défaillance des systèmes sécurité ou d’actes malveillants mais aussi d’une mauvaise gestion de risque ne garantissant pas une gouvernance d’entreprise appropriée. Dans ce sens, le PL64 propose de nouvelles obligations lorsque survient un incident de confidentialité et prévoit les outils nécessaires pour gérer ces risques en prévoyant, en plus de l’exigence d’application du principe de “privacy by design and by default”, la mise en application de “l’Évaluation des facteurs relatifs à la vie privée” (EFVP) ressemblant à “l’Analyse d’impact sur la protection des données” (AIPD), requise lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne concernée.

Pour permettre de mieux vous rendre compte des convergences et des divergences entre les mesures de protection des renseignements personnels dans le secteur privé sous le PL64 et le RGPD, nous vous invitons à prendre connaissance du tableau récapitulatif et comparatif ci-après, préparé par les équipes de Prudence AI et d’Hitachi Systems Security.

Si l’application du RGPD avait semé la panique en 2018 au sein des organisations et sur le web, pour éviter toutes inquiétudes, nous suggérons aux entrepreneurs québécois de préparer dès à présent leur mise en conformité avec les mesures de gouvernance et de protection des données personnelles proposées par le PL64, probablement applicables en 2021. En effet, le PL64 sera soumis aux prochaines étapes de son adoption lors de la reprise des travaux parlementaires à l’automne, et avant de prendre effet, ses dispositions transitoires et finales disposent d’un délai d’entrée en vigueur d’un an après avoir été sanctionnées.

Préparer votre organisation aux changements législatifs

Entreprises et entrepreneurs, voici quelques conseils pour commencer à vous préparer à ces changements:

  1. Entreprendre la révision de vos politiques de protection de renseignements personnels et de vos contrats avec des tiers;
  2. Revoir vos formulaires de consentement;
  3. Effectuer une analyse de risque: un audit des renseignements personnels que vous détenez afin de déterminer leur degré de sensibilité et le niveau de protection requis;
  4. Mettre en place des politiques internes et des plans de réponse en cas de survenance d’un incident de confidentialité;
  5. Implanter les plus hauts standards de cybersécurité;
  6. Sensibiliser vos employés à l’importance de la confidentialité des données personnelles et aux enjeux éthiques reliés à ces questions.

Évaluer votre maturité en matière de protection des renseignements personnels

Hitachi Systems Security et Prudence AI off­rent à dix entreprises québécoises une évaluation de leur maturité à la protection des renseignements personnels et de la vie privée d’une durée de 3 heures, dans le but de les préparer aux renforcements des mesures légales, techniques et organisationnelles induites par le projet de loi 64.


N’hésitez pas à nous consulter, il nous fera plaisir de vous aider dans ce processus de mise en conformité de votre entreprise.

Prudence AI Inc.Hitachi Systems Security Inc.
Cabinet d’avocats et multidisciplinaire en Intelligence Artificielle, Protection des Données, Analyse de risque, Vie Privée et Confidentialité, Éthique de l’IA et Cybersécurité.
Nous aidons les organisations de toutes tailles à développer, implanter ou utiliser des solutions d’IA responsables. Nous détenons également une grande expertise dans le secteur de la santé.
Hitachi Systems Security Inc. est un fournisseur mondial de services de protection de la vie privée et de cybersécurité depuis 1999.
La mission de HISYS-SEC est de supporter la confiance dans l’économie numérique en développant des solutions Privacy+Security. Notre équipe d’experts aide nos clients dans plus de 50 pays, 24 heures sur 24 et 7 jours sur 7.

Tagged , ,

About Dobah Carré and Vincent Bureau