Usurpation d’identité, fuite de données, hameçonnage et piratage… Voilà autant de mots ou d’expressions qui ont fait leur apparition dans la vie des Québécoises et des Québécois au cours des 20 dernières années.
À l’échelle entrepreneuriale, un sondage Léger mené au début du mois, et commandé par une importante firme technologique nationale, révèle que le quart des entreprises canadiennes ont été victimes d’une cyberattaque en 20211. Au terme de cette même année, le commissaire fédéral à la protection de la vie privée traçait lui aussi, dans son rapport annuel, un portrait peu édifiant de la situation existante au pays, relativement à l’utilisation des renseignements personnels par les organismes publics et privés2 :
« Aujourd’hui, c’est la puissance croissante des géants de la technologie comme Facebook et Google qui occupe les pensées. Ces derniers semblent en savoir davantage à notre sujet que nous en savons nous-mêmes. »
Au Québec, le projet de loi 64 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est le mécanisme par lequel l’État québécois a choisi d’agir pour renforcir les règles associées à l’utilisation des données personnelles en milieu de travail. Un volet important de ce projet de loi, adopté par l’Assemblée nationale le 21 septembre dernier, touche ainsi les entreprises du secteur privé par diverses modifications apportées au texte de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le secteur privé).
Au moment d’écrire ces lignes, les obligations des organisations en matière de protection des informations personnelles demeurent relativement inchangées. Par contre, le portrait de la situation est appelé à se transformer rapidement, d’où l’importance pour les employeurs de prendre immédiatement des actions afin de se préparer à accueillir de nouvelles procédures sur une longue période, puisque les modifications implantées dans la Loi sur le secteur privé s’appliqueront graduellement au cours des trois prochaines années.
Avec une première vague de changements en vigueur le 22 septembre 2022, les prochains mois doivent servir à faire le diagnostic des processus existants, pour toute question relevant de près ou de loin à la confidentialité des données personnelles en milieu de travail.
Ainsi, dès le 22 septembre 2022, les entreprises privées devront :
- Avoir nommé un ou une « responsable de la protection des renseignements personnels » (RPRP)
Cette personne a comme principale responsabilité de veiller à l’application de la Loi sur le secteur privé dans l’entreprise. Elle traite toute demande d’accès ou de modification des renseignements personnels conservés par l’organisation. Lorsque nécessaire, la ou le RPRP répond aux questions et aux plaintes en matière de confidentialité des renseignements personnels dont elle ou il a la garde.
À noter : Par défaut, le niveau hiérarchique le plus élevé dans l’entreprise est reconnu comme étant responsable de la protection des renseignements personnels. La fonction peut toutefois être transférée par écrit, en tout ou en partie, vers une autre ressource interne ou externe. Dans tous les cas, le nom et les coordonnées de la ou du RPRP doivent apparaître sur la page Web de l’entreprise.
- Avoir un processus de signalement et de gestion des incidents de confidentialité
Lorsque survient une violation de confidentialité impliquant un « risque de préjudice sérieux » pour les individus dont les « renseignements personnels » ont été compromis, l’entreprise doit obligatoirement transmettre un signalement à la Commission de l’accès à l’information (CAI). De plus, celle-ci est responsable de contacter, dans les meilleurs délais, les personnes susceptibles de subir un tel préjudice.
Précision : Le « risque de préjudice sérieux » est considéré selon la sensibilité du renseignement personnel concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables. Le « renseignement personnel » se dit d’une information qui concerne une personne physique et qui permet, directement ou indirectement, d’identifier celle-ci.
Par ailleurs, au regard des renseignements personnels dont elle a la garde, toute entreprise ayant des raisons de croire qu’un « incident de confidentialité » est survenu doit prendre les mesures pour éviter toute forme de dommage aux individus concernés. Des actions doivent aussi être mises en œuvre afin d’éviter la résurgence d’un incident d’une même nature. Enfin, les détails de chaque brèche de confidentialité doivent être consignés dans un registre destiné à cette fin. Ces obligations s’appliquent pour chaque événement, indépendamment de l’évaluation du risque de préjudice.
Précision : « L’incident de confidentialité » se décrit comme étant l’accès, l’usage ou la communication non autorisée par la loi de renseignements personnels; la perte de renseignements personnels ou toute autre atteinte à la protection de tels renseignements.
Soulignons en terminant que l’APCHQ présentera, au cours des mois à venir, d’autres bulletins qui traiteront des étapes subséquentes que les employeurs devront traverser à l’automne 2023 afin de se conformer aux nouvelles exigences de la Loi sur le secteur privé.
Chose certaine, la protection des renseignements personnels est plus que jamais le sujet de l’heure dans le monde du travail. Pour en savoir plus, les entreprises intéressées peuvent dès maintenant consulter L’Espace évolutif – projet de Loi 64 conçu par la Commission de l’accès à l’information. Cette plateforme Internet, qui contient des documents et une multitude de ressources destinées aux employeurs, est accessible à cette adresse : https://www.cai.gouv.qc.ca/espace-evolutif-modernisation-lois/.
1. ROLLAND, Stéphane – La Presse canadienne – (2022, 7 février), « Le quart des entreprises ont été victimes d’une cyberattaque en 2021 », Le Devoir [journal], consulté le 11 février 2022, https://www.ledevoir.com/depeches/670716/le-quart-des-entreprises-canadiennes-ont-ete-victimes-d-une-cyberattaque-en-2021.
2. La Presse canadienne (2021, 9 décembre), « Le commissaire à la vie privée met en garde contre le capitalisme de surveillance », Les affaires [revue], consulté le 11 février 2022, https://www.lesaffaires.com/secteurs-d-activite/medias-et-telecommunications/le-commissaire-a-la-vie-privee-met-en-garde-contre-le-capitalisme-de-surveillance/629585.
N.B. Cet écrit ne présente qu’un résumé libéral des principaux changements qui seront en vigueur le 22 septembre 2022, en raison de la refonte de la Loi sur la protection des renseignements personnels dans le secteur privé. D’autres conditions, notamment en lien avec la gestion des informations personnelles dans le cadre d’une transaction commerciale, d’une étude ou d’une recherche, deviendront effectives à cette date. La consultation du texte intégral de la Loi est fortement recommandée.