Il est encore temps : conseils pour se conformer à la nouvelle loi sur la protection des renseignements personnels du Québec

Les principales exigences du nouveau régime de protection des renseignements personnels (la loi 25) dans le secteur privé au Québec entreront en vigueur le 22 septembre 2023. Bien que certaines obligations puissent sembler trop complexes ou coûteuses à mettre en œuvre, il n’est pas trop tard pour prendre des mesures de conformité proportionnelles et basées sur le risque. Vous pouvez atténuer les risques de plaintes et d‘enquêtes réglementaires en commençant par quelques mesures simples, même s’il vous est impossible d’assurer une conformité totale avant la date butoir.

Ce que vous devez savoir

Bien que la mise en conformité avec la loi 25 nécessite un travail important, certaines mesures initiales peuvent aider à atténuer les risques tout en établissant un plan de conformité plus vaste. Les organisations qui craignent de ne pas être prêtes avant le 22 septembre peuvent commencer par prendre ces quelques mesures de base :

• Combler les principales lacunes de votre politique de confidentialité externe et mettre celle-ci en ligne
• Configurer les paramètres des témoins sur votre site Web
• Obtenir un consentement distinct pour votre politique de confidentialité
• Consigner les mesures déjà prises pour protéger les renseignements personnels
• Désigner une personne responsable de la protection de la vie privée

Premières étapes pour se conformer à la loi 25

Comme nous l’avons indiqué dans des articles précédents¹, la loi 25 (anciennement projet de loi n^o 64) apporte des modifications importantes aux lois sur la protection des renseignements personnels dans le secteur privé et le secteur public du Québec. Bon nombre d’organisations, en particulier les entreprises en démarrage et les sociétés étrangères ayant des activités limitées au Québec, peuvent penser qu’elles manquent de ressources ou de temps pour se conformer à ces exigences avant leur entrée en vigueur. Or, plutôt que de reporter la mise en conformité à plus tard, elles peuvent prendre quelques mesures initiales pour faciliter la transition et atténuer les risques.

1. Combler les lacunes de votre politique de confidentialité externe

• Si vous n’avez pas encore de politique de confidentialité sur votre site Web, concentrez-vous sur cette étape. En attendant de rendre votre politique plus détaillée ou plus facile à lire, publiez une version simplifiée de celle-ci en indiquant ce qui suit :
  • les types de renseignements personnels que vous recueillez et la manière dont vous les utilisez;
  • les sociétés affiliées, les fournisseurs de services et les autres tiers auxquels vous transmettez des renseignements personnels;
  • si les renseignements personnels sont envoyés à l’extérieur de la province ou du pays;
  • comment vous contacter pour poser des questions, faire une plainte ou retirer son consentement à l’utilisation de ses renseignements personnels.
• Idéalement, votre politique devrait également décrire les outils internes que vous utilisez pour protéger les données, pour les détruire lorsqu’elles ne sont plus requises et pour traiter les violations et les plaintes. De même, vous devriez y indiquer tous les processus décisionnels entièrement automatisés. Ne tardez pas à publier une version simplifiée de la politique, même si vous n’avez pas toute cette information en main.

2. Configurer les paramètres des témoins sur votre site Web

• Vérifiez si votre site Web utilise des témoins, des pixels ou d’autres technologies permettant d’identifier ou de localiser les utilisateurs ou d’effectuer leur profilage, notamment à des fins de publicité ciblée. Ces « outils de profilage » doivent être traités différemment des autres témoins, tels que ceux qui sont nécessaires au fonctionnement du site Web.
• Si votre site Web n’est pas muni d’un bandeau de consentement aux témoins, demandez à votre équipe de développeurs d’en créer un. Établissez un échéancier pour la mise en œuvre de cette mesure, même si elle ne peut être réalisée d’ici septembre 2023.

3. Obtenir un consentement distinct pour la politique de confidentialité

• Dressez une liste de tous les endroits où vous demandez un consentement à votre politique de confidentialité. Par exemple, lorsqu’une personne crée un profil sur votre site Web, lorsqu’elle achète un produit ou lorsqu’elle postule un emploi.
• Vérifiez si l’action à prendre pour donner son consentement à la politique de confidentialité (p. ex., une case à cocher sur un formulaire en ligne) est jumelée à un autre type de consentement, tel qu’un consentement aux conditions d’utilisation du produit ou de la plateforme. Demandez à votre équipe de développeurs d’ajouter une case distincte à cocher et de faire en sorte que les visiteurs puissent lire la politique de confidentialité avant de cocher la case, ou mettez à jour les formulaires papier en séparant ces actions.

4. Consigner les mesures déjà prises pour protéger les renseignements personnels

• Même si vous avez besoin de temps pour élaborer des politiques internes sur les technologies de l’information, la destruction des données, l’intervention en cas d’atteinte à la sécurité des données ou le traitement des plaintes liées à la protection des renseignements personnels, votre personnel est probablement en mesure de traiter ces questions au cas par cas. Commencez par consigner le nom de la personne responsable de ces questions dans votre organisation, et ce qu’elle fait pour protéger les données que vous traitez ou pour répondre aux demandes.
• Éventuellement, vous devriez rédiger des politiques officielles à cet effet et les revoir régulièrement. Cependant, à court terme, il peut être utile d’avoir une description informelle de vos pratiques actuelles pour cibler les lacunes, vous faire assurer contre les cyberrisques ou les atteintes à la sécurité des données et répondre aux demandes concernant votre programme de gestion des renseignements personnels.
• De même, dressez une liste des fournisseurs de services et autres tiers auxquels vous transmettez des renseignements personnels. Vérifiez s’ils ont une obligation contractuelle de protéger ces données, de vous informer des violations et d’indiquer où ils conservent les données. À partir de cette information, vous pourrez commencer à mener des évaluations des facteurs relatifs à la vie privée lorsque vous intégrez de nouveaux fournisseurs, transférez les données hors du Québec ou changez vos systèmes informatiques.

5. Désigner une personne responsable de la protection de la vie privée

• Même si vous n’avez pas de responsable de la protection de la vie privée qui exerce ces fonctions à plein temps, vous devriez charger une personne de superviser ces questions.
• Consignez son nom, ses fonctions et les noms des employés et conseillers qui l’appuient. Élaborez ensuite un plan pour former cette personne ou l’aider à exercer ses fonctions de manière efficace, dans le contexte de votre organisation, de votre secteur d’activité et de votre budget.

Prochaines étapes pour parfaire votre programme de protection des renseignements personnels

Ce bulletin propose des mesures initiales qui vous permettront de commencer votre mise en conformité et réduiront la pression à court terme. Toutefois, il faut avoir un plan à long terme pour répondre aux autres exigences. Obtenez un avis juridique sur les lacunes dans votre programme de protection des renseignements personnels et faites appel à d’autres parties prenantes, telles que les responsables de vos unités d’affaires et des TI, votre assureur ou votre conseil d’administration pour élaborer un plan de conformité en tenant compte de la manière dont votre organisation utilise les données, de ses ressources et de son profil de risque.