Nouvelle 28 janvier 2022

Protection des renseignements personnels : trois ans pour s'ajuster

Article en français uniquement / Release in French only

Le gouvernement du Québec a adopté le 21 septembre dernier le projet de loi 64 (PL 64), qui vise à mieux protéger les renseignements personnels (RP). Les membres de la Chambre de la sécurité financière (CSF) devront donc composer avec un rehaussement des exigences.

"mag-csf-hiver-2022"

 

 

Cet article est tiré du Magazine CSF que vous pouvez consulter directement ici.

Disons-le d’entrée de jeu, les membres de la CSF n’ont pas attendu l’arrivée du PL 64 pour commencer à protéger les RP de leurs clients. Les articles 26 et 27 du code de déontologie et la section III du Règlement sur la déontologie dans les disciplines de valeurs mobilières encadrent déjà la protection et la divulgation de ces informations.

De plus, en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (loi sur le secteur privé), tous les représentants membres de la CSF ont l’obligation de préserver la confidentialité des RP qu’ils recueillent à titre de représentants autonomes ou pour le compte de leur cabinet, courtier ou société autonome. « La nouvelle législation vient compléter et préciser ces obligations et surtout rehausser les exigences », résume Me Geneviève Beauvais, avocate au développement professionnel et à la qualité des pratiques à la CSF.

Désigner un responsable

Les membres de la CSF sont touchés par plusieurs modifications à la loi sur le secteur privé. Elles entreront en vigueur en trois étapes, entre 2022 et 2024.

Les deux premières exigences s’imposeront dès septembre 2022. Elles obligent la désignation d’un responsable de la protection des RP et le signalement des incidents de confidentialité. Par défaut, le PDG d’une organisation exerce cette fonction de responsable, mais il peut la déléguer par écrit à toute personne, même à l’externe. L’organisation devra publier le nom et les coordonnées du responsable sur son site web.

Les organisations doivent aussi aviser la Commission d’accès à l’information (CAI) et les individus concernés de tout incident de confidentialité qui présente un risque de préjudice sérieux, en plus de tenir un registre de ces événements. Un incident peut être un accès aux RP, une utilisation ou une communication des RP non autorisés par la loi ou encore une perte de RP.

« Dans chaque cas, on devra évaluer s’il y a un risque de préjudice sérieux, précise Me Beauvais. Il faudra donc analyser le degré de sensibilité de ces renseignements, quelles conséquences l’incident peut entraîner et le niveau de probabilité que ces informations servent à des fins préjudiciables. »

Une grosse bouchée dans deux ans

Un bouquet plus imposant de nouvelles exigences entrera en vigueur en septembre 2023. Les organisations devront établir et mettre en action des politiques et des pratiques pour encadrer leur gouvernance des RP. Elles seront également tenues de publier sur leur site web des explications détaillées au sujet de ces politiques et pratiques, dans un langage clair.

Les organisations devront de plus renseigner leurs clients quant aux moyens utilisés pour recueillir les données et fins auxquelles elles les emploieront. Les informations devront être détruites ou anonymisées une fois ces objectifs atteints.

Les réglages par défaut des outils technologiques servant à prélever des RP devront être au plus haut niveau de confidentialité. Les gens devront poser des gestes pour partager leurs informations et non pour les protéger. Les clients doivent aussi se voir informés de l’utilisation de fonctions qui permettent d’effectuer leur profilage, de préciser leur localisation ou de les identifier et savoir comment les activer. Celles-ci ne peuvent être imposées par défaut.

« Les membres de la Chambre sont particulièrement concernés par ces changements, puisqu’ils se retrouvent en première ligne auprès des clients », prévient Me Beauvais. Ce sera leur responsabilité de bien expliquer les motifs de la cueillette d’informations et les politiques qui encadreront l’emploi et la protection de ces données.

En 2019, un piratage de données chez Capital One a compromis les données personnelles de 6 millions de Canadiens et exposé un million de numéros d’assurance sociale.

En juin 2019, 4,2 millions de membres particuliers de Desjardins se sont fait voler leurs données par un employé.

Ils devront aussi obtenir un consentement libre et éclairé pour chacun des objectifs. Le client ne peut pas accorder un consentement général d’utilisation de ses informations à plusieurs fins. Dans le cas de données sensibles, comme celles de nature médicale ou biométrique, le consentement doit être fourni par écrit. Notons que les clients conservent en tout temps le droit de retirer leur accord, d’accéder à leurs RP et de les faire rectifier.

Attention à l'impartition

Si une organisation transfère des RP à un fournisseur, par exemple pour des services d’infonuagique, elle devra obtenir une entente écrite. Celle-ci doit présenter les mesures utilisées par le fournisseur pour protéger ces données et stipuler l’interdiction d’employer les renseignements à d’autres fins que la prestation de service ou encore de les conserver après la fin du contrat. Le fournisseur doit informer immédiatement son client en cas d’incident de confidentialité. Les organisations sont aussi responsables, lorsqu’elles transfèrent des RP à l’extérieur du Québec, de s’assurer d’une protection adéquate de leur confidentialité.

En septembre 2024, une dernière exigence viendra s’ajouter : le droit à la portabilité. Une personne pourra demander de recevoir les RP qui la concernent dans un format technologique couramment utilisé. « Cela exclut toutefois les données que l’organisation crée à partir de sa propre analyse des RP de l’individu », spécifie Me Beauvais.

La CAI pourra imposer des sanctions administratives directement en cas de violation des exigences de la loi. Le montant des amendes s’élève à 10 millions de dollars ou 2 % du chiffre d’affaires mondial de l’entité visée.

Certaines infractions seront aussi passibles de sanctions pénales, dont le montant pourra atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial. Enfin, les clients eux-mêmes obtiennent le droit de poursuivre les organisations en dommages-intérêts.

Corrections en cours

Me Adrien Legault, avocat au Réseau d’Assurance IDC Worldsource inc., croit que le PL 64 constitue une refonte intéressante et justifiée de la protection des RP. Il reconnaît que les délais pour s’y conformer rendent la tâche plus réaliste. « Je me réjouis aussi de constater que la version définitive montre que l’industrie a été entendue », ajoute-t-il.

Le projet initial prévoyait, par exemple, que les organisations publient l’entièreté de leurs politiques et pratiques de protection des RP. Cela se limite maintenant à des « informations détaillées ». Dans la première mouture du PL 64, la fonction de responsable de la protection des RP ne pouvait être déléguée qu’à un membre du personnel. Il sera finalement possible de la transférer à « toute personne », même à l’externe.

Me Yvan Morin, vice-président aux affaires juridiques de MICA Cabinets de services financiers, estime normal que le gouvernement renforce la protection des RP. « Les outils technologiques permettent de collecter et de conserver beaucoup d’informations,
qui sont souvent de nature sensible », rappelle-t-il.

MICA ne part pas de zéro puisque le cabinet avait déjà des politiques de gestion des RP. Il avait également amorcé un renforcement de ses processus de protection dans la foulée du vol de données chez Desjardins. « Ces politiques et pratiques seront ajustées aux nouvelles exigences », poursuit Me Morin. Le cabinet avait une personne responsable, mais devra maintenant créer un comité à l’interne. Il entend de plus appuyer les conseillers, qui n’ont pas nécessairement de services juridiques à leur disposition pour se mettre à niveau.

Karine Lessard, coprésidente et directrice générale du cabinet de services financiers Lessard Gilbert Brui, au Saguenay–Lac-Saint-Jean, soutient que son entreprise avait déjà pris une certaine avance dans le déploiement de mesures pour bien protéger les RP de ses clients. « Nous avons un comité informel, que nous officialiserons, et nous avons aussi des politiques, que nous ajusterons aux nouvelles exigences », indique-t-elle.

Elle reconnaît toutefois que cette réforme s’ajoute aux très nombreux changements réglementaires des dernières années, ce qui finit par imposer une
certaine pression aux conseillers indépendants. « Nous sommes des gens combattants et créatifs, donc nous saurons relever ce nouveau défi », assure- t-elle.


Pour en savoir plus

Loi 64 : la marche est haute pour les PME

Encadrement numérique  : le projet de loi 64 est adopté