Projet de loi 64: Quel impact pour votre entreprise et son site Web?

Un courant mondial de protection des données personnelles

De par le monde, les volontés de moderniser le cadre juridique en matière de protection des renseignements personnels (PRP) répondent à la croissance de l’économie numérique, caractérisée par des développements technologiques accélérés.

Les entreprises ont dû s’ajuster aux changements rapides dans les façons de faire. Il en a résulté un manque d’uniformité et de clarté dans les pratiques ouvrant la porte à des incidents de sécurité. De nouvelles lignes directrices s’imposaient.

En 2016, l’Union Européenne a fait figure de précurseure en adoptant le RGPD. Dans sa foulée, plusieurs pays (comme le Brésil) et certains États américains (par exemple, la Californie) ont revu et modifié leurs lois en matière de renseignements personnels.

Le gouvernement du Québec a récemment emboîté le pas à ce mouvement. Le 21 septembre 2021, le projet de loi no 64 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) a été adopté par l’Assemblée nationale.

Ce faisant, le Québec devenait la première province canadienne à entreprendre une réforme législative profonde en matière de respect de la vie privée.

L’entrée en vigueur de la loi 64 apporte des modifications significatives aux obligations en matière de PRP. Son adoption aura un impact considérable sur les entreprises privées et leur présence en ligne.

Dans cet article, l’équipe d’experts en création de sites Web de PF communications trace un portrait:
– des principaux amendements que l’adoption du projet de loi 64 apporte à la loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP);
– des mesures que vous devez prendre pour vous y conformer.

L’esprit du projet de loi no 64

L’intention derrière le projet de loi 64 semble avoir été double. Premièrement, amener les entreprises à développer le réflexe de se préoccuper de la protection de leurs données. Deuxièmement, qu’elles finissent par intégrer systématiquement la protection des renseignements personnels dans leurs procédures d’usage.

Les législateurs semblent avoir voulu que les mesures de protection des données personnelles dans le secteur privé viennent à être mieux définies, mieux documentées et plus transparentes.

Votre entreprise et votre site Web sont-ils prêts à se conformer aux nouvelles normes?

Renseignements personnels: une définition

Commençons par définir de quoi il est question. Les renseignements personnels sont définis comme étant:

«toute information concernant une personne physique et permettant de l’identifier, directement ou indirectement.»

L’adoption du projet de loi no 64 introduit aussi les précisions suivantes concernant le champ d’application de la loi pour le secteur privé:

• Les renseignements personnels concernés incluent ceux dont la conservation est confiée à un tiers partie par l’entreprise qui les recueille.
• Les coordonnées professionnelles (nom, fonction, adresse professionnelle) ne relèvent plus de la sphère d’autorité de la LPRPSP.

Nouvelles obligations pour les entreprises

Avec l’adoption du projet de loi 64 de nouvelles responsabilités reviennent aux entreprises. De façon générale, elles consistent à protéger les données recueillies en plus de communiquer d’une façon compréhensible et transparente avec toutes les personnes concernées.

Les entreprises sont également susceptibles d’être appelées à démontrer qu’elles respectent les nouvelles dispositions de la loi. Elles auront donc intérêt à conserver des traces de leurs décisions et des mesures qu’elles appliqueront.

Pour se conformer aux nouvelles exigences de la loi, chaque entreprise devra entre autres:

1: Nommer un.e responsable de la protection des renseignements personnels

L’adoption du projet de loi 64 introduit le rôle de « responsable de la protection des renseignements personnels » recueillis par une entreprise. À partir de septembre 2022, cette fonction reviendra d’office au plus haut dirigeant d’une organisation, mais pourra aussi être déléguée, entièrement ou partiellement, à toute autre personne choisie. Le/la titulaire de ce poste aura la charge de faire appliquer la LPRPSP.

À prévoir: les coordonnées du/de la responsable devront être publiées sur le site internet de l’entreprise. (Ou par tout autre moyen approprié, advenant le cas où la compagnie ne posséderait pas de site Web.)

2: Adopter des politiques et pratiques de gouvernance en matière de PRP

Les entreprises ont jusqu’à septembre 2023 pour mettre en place des règles de gouvernance relatives à la protection des renseignements personnels qu’elles détiennent.

Ces politiques et pratiques devront être approuvées par le/la responsable de la protection des renseignements personnels. Elles devront notamment décrire et encadrer:

• la conservation et la destruction des renseignements personnels;
• les rôles et responsabilités attribués aux membres du personnel pour tout le cycle de vie des données détenues par l’entreprise;
• le processus de traitement des plaintes en lien avec la PRP.

À prévoir: l’entreprise devra publier sur son site Web (ou par toute autre méthode si elle n’a pas de présence en ligne) l’information se rapportant à ses règles de gouvernance, et ce, de façon claire et détaillée.

3: Respecter les nouvelles obligations de transparence et de publication

Il n’y a pas que les règles de gouvernance qui devront être rendues accessibles. Les nouvelles dispositions législatives prévoient la publication, en des termes clairs et simples, de plusieurs autres informations au moment de recueillir des renseignements personnels.

À compter de septembre 2023, il faudra par exemple:

• expliquer les objectifs de la collecte de données et les moyens utilisés;
• informer les personnes concernées de leur droit de retirer leur consentement;
• dévoiler le nom des tiers qui auront accès aux renseignements recueillis;
• informer de la possibilité que les données soient partagées hors Québec.

Encore plus spécifiquement, les entreprises recueillant des renseignements personnels par le biais de moyens technologiques devront rédiger une politique de confidentialité et la publier sur leur site (ou autrement si elles ne sont pas affichées en ligne).

En outre, il faudra annoncer l’utilisation de technologies d’identification, de localisation ou de profilage, et ce, préalablement à ce que des informations ne soient recueillies par de tels moyens.

Les entreprises devront également aviser les personnes concernées de la façon d’activer si désiré les témoins de navigation (puisque les cookies ne seront pas mis en fonction par défaut).

À toute personne concernée qui en ferait la demande, les entreprises devront également:

• fournir les renseignements personnels recueillis à son sujet;
• l’informer des catégories de personnes dans l’entreprise qui ont eu accès à ses données;
• indiquer la durée de conservation des renseignements la concernant.

Note importante: à compter du 22 septembre 2024, toute personne qui le désirera pourra se prévaloir du droit à la portabilité. En vertu de celui-ci, les entreprises auront l’obligation de communiquer au demandeur toute information personnelle recueillie à son sujet dans un format technologique «structuré et couramment utilisé».

À prévoir: pensez à conserver vos données sur un support fiable. Configurez vos outils numériques pour que les informations soient facilement accessibles et puissent être transmises aisément au besoin.

Adoption du projet de loi 64: une panoplie d’autres changements

Les éléments ci-haut mentionnés ne représentent que les principales modifications introduites à la LPRPSP par l’adoption du projet de loi no 64. D’autres amendements concernent par exemple:

• les procédures d’obtention du consentement des moins de 14 ans;
• le devoir de détruire les renseignements personnels (ou de les anonymiser) une fois que la raison d’être de leur collecte a été atteinte;
• l’obligation de s’assurer que les paramètres de sécurité sont configurés pour assurer le plus haut niveau de confidentialité par défaut;
• la nécessité d’établir un processus de traitement des incidents de confidentialité et l’obligation de notifier les personnes concernées;
• les règles de partage des données à l’extérieur du Québec;
• l’obligation d’effectuer une analyse des facteurs de risque à la vie privée pour tout nouveau projet ou service impliquant la collecte ou la gestion de renseignements personnels;
• les nouveaux pouvoirs et responsabilités de la Commission d’accès à l’information, qui pourra notamment imposer des sanctions administratives pécuniaires (auxquelles pourraient s’ajouter des sanctions pénales augmentées);
• Etc.

À prévoir: Ces nouvelles dispositions soulèvent la nécessité, pour les entreprises, de bien documenter leurs processus et d’en garder des traces dans leurs systèmes pour les communiquer clairement.

Par ailleurs, ces nouveautés impliquent de configurer les outils technologiques de façon à ce que les actions requises soient facilement effectuées, dans le respect des exigences de la loi.

Entrée en vigueur des nouvelles dispositions: période de transition

Pas de doute, les entreprises ont du pain sur la planche pour se conformer au nouveau cadre législatif. Heureusement, celui-ci ne sera pas appliqué immédiatement. Il prendra effet en trois étapes. échelonnées sur trois ans.

La Commission d’accès à l’information du Québec a prévu, sur son site Web, un espace évolutif qui présente l’échéancier de l’entrée en vigueur des modifications législatives. Vous y trouverez un résumé des obligations pour chaque étape du processus.

Profitez de cette période transitoire pour mettre vos procédures à niveau. Commencez par prendre conscience de vos pratiques actuelles en matière de sécurité des renseignements personnels.

Quelles informations recueillez-vous et comment? Quel usage en faites-vous? Compte-tenu des responsabilités qui découlent de la collecte de données, vous sont-elles toutes nécessaires?

En dressant l’état de la situation vous pourrez mieux évaluer l’écart entre votre gestion actuelle des données personnelles et le nouveau cadre de la loi. Vous serez en meilleure posture pour procéder aux changements nécessaires.

L’équipe de PF communications peut vous diriger vers les meilleurs professionnels de la sphère légale dédiée au numérique. Ceux-ci vous accompagneront dans la refonte de vos politiques de gestion des renseignements personnels.

Bien sûr, nos experts sont à votre service pour toute modification qui devra être apportée à votre site Web. Ils peuvent s’occuper d’en ajuster les paramètres techniques et d’y ajouter les éléments nécessaires pour que vous puissiez concrètement vous conformer à la loi.

• Nous vous conseillons notre article sur le sort des stratégies de remarketing dans une ère de contrôle et de limitation des cookies.
• Pour les conseils d’une avocate sur la façon dont les entreprises peuvent se conformer aux nouvelles dispositions législatives: assistez à la petite discussion sympathique de Patricia Filiatrault avec Me Aicha Tohry.