Pour septembre 2022, préparons-nous à la loi 64 sur la protection des données personnelles
Comment se préparer à la loi 64 avant septembre 2022
Le projet de loi n°64, adopté le 21 septembre 2020, est une réforme majeure sur la protection de la vie privée pour les entreprises. L’objectif de cette loi est de mieux protéger les données personnelles des citoyens et d’obliger les organisations à prendre des actions concrètes en sécurité de l’information. Des amendes considérables seront imposées aux entreprises dans le cas où les nouvelles normes ne sont pas respectées.
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels changera profondément la façon dont les entreprises québécoises gèrent la protection de la vie privée. C’est pourquoi il est primordial d’informer vos équipes TI et votre personnel, de bien connaître la loi sur la protection des données et de mettre sur pied un plan d’action pour vous y conformer.
Qu’est-ce que le projet de loi 64?
La Loi 64 est la plus récente mise à jour depuis 1993 et est d’une pertinence considérable si on pense aux avancées technologiques qui ont vu le jour dans les dernières décennies. Elle aura un impact sur plusieurs aspects touchant à la gestion et à l’organisation des données personnelles, peu importe le niveau de revenu que l’entreprise génère ou le nombre d’employés qu’elle compte. Le but ultime étant de moderniser la législation afin de l’adapter à la réalité technologique du 21è siècle.
En effet, toutes les entreprises, qu’elles soient PME, grandes entreprises internationales, OBNL, travailleur autonome et toute autre forme d’entreprise reconnue par la loi au Québec devront se conformer à cette nouvelle législation.
Votée en septembre 2021, les premiers changements de cette loi apparaîtront dès septembre 2022, auxquels d’autres s’ajouteront chaque année jusqu’en 2024, année à laquelle la loi sera pleinement effective. C’est donc le moment idéal pour mettre au point une stratégie TI et ainsi éviter des amendes salées.
La loi 64 permet aux citoyens de :
- Recevoir de l’information de meilleure qualité lors de la collecte de renseignements personnels ;
- Recevoir de l’information complète sur l’utilisation de leurs données personnelles ;
- Être avisé lorsqu’un incident de confidentialité se produit chez l’entreprise, aussi minime soit-il ;
- Être effacé ou déréférencé ;
- Avoir accès à des règles de consentement simples et exposées en termes simples.
Le droit d’effacement, c’est-à-dire le droit d’éliminer complètement une information détenue par une entreprise à votre sujet sera maintenant un droit offert à tous les citoyens. De plus, une fois que les objectifs visés par la collecte d’informations personnelles sont atteints, l’organisation a le devoir d’effacer les renseignements collectés de façon permanente.
Maintenant que vous avez un meilleur aperçu des changements apportés par la loi 64, il ne vous reste plus qu’à déterminer comment vous plier aux nouvelles normes et à préparer votre entreprise adéquatement.
Comment préparer son entreprise au projet de loi sur la protection des données personnelles
Adapter son entreprise à la loi sur la protection des renseignements personnels nécessite d’investir du temps et de se pencher sérieusement sur les nouvelles normes. Vous devrez d’ailleurs rendre des comptes à la commission d’accès à l’information qui est en charge de surveiller l’application de la loi 64 et qui a le pouvoir de remettre des sanctions aux contrevenants.
En tant qu’entreprise, vous avez le devoir de rapporter tout incident, majeur ou mineur, à la commission ainsi qu’aux personnes touchées. Vous devez également réaliser toute action en votre pouvoir qui pourrait diminuer le dommage causé.
Voici les 7 éléments majeurs à mettre en place dans votre entreprise :
- Produire de la documentation précise et mise à jour régulièrement sur l’utilisation des données de vos clients ;
- Partager à votre équipe des procédures sur les évaluations des facteurs de vie privée (EFVP), qui pourraient vous être utiles si vous êtes poursuivi devant la justice ;
- Prévoir toute la documentation qui devra être écrite ou mise à jour avant l’entrée en vigueur de la loi 64. On pense notamment aux conditions de consentement, à l’exportation des renseignements personnels, à l’identification des gens qui recevront les données, à la mise à jour du site web, aux politiques de confidentialité, aux contrats avec des fournisseurs, etc. ;
- S’assurer que tous les renseignements recueillis par des technologies d’intelligence artificielle sont conformes à la loi 64 ;
- Mandater un membre de votre organisation à titre de responsable des données personnelles et un autre comme responsable du flux de données ;
- Informer les membres de votre organisation des nouvelles normes et de la façon dont l’entreprise s’y conforme ;
- Préparer des procédures en cas d’incidents afin de garder des preuves écrites de ceux-ci, tel que mentionné dans la loi.
Suivez ces indications et référez-vous à la loi sur la protection des données personnelles afin de vous préparer adéquatement avant la date d’entrée en vigueur. Des experts en cybersécurité peuvent également vous aider à vous y préparer en toute paix d’esprit.
Mise en application de la loi sur les renseignements personnels
Le projet de loi 64 prévoit l’entrée en vigueur des nouvelles normes entourant la protection sur les renseignements personnels en 3 phases. Celles-ci s’adressent à toute entreprise faisant affaires au Québec, qu’elle soit basée à l’intérieur ou à l’extérieur du pays.
La première phase prendra effet en septembre 2022, la deuxième phase en septembre 2023 et la dernière phase en septembre 2024. Voici l’ordre dans lequel vous devrez apporter des changements à votre organisation.
Phase 1
Dès septembre 2022, les entreprises doivent divulguer tout incident menaçant la confidentialité de données confidentielles ou cyberattaques. Elle devra donc aviser toute personne potentiellement touchée par la faille de sécurité ainsi que la commission d’accès à l’information.
L’organisation devra aussi nommer un responsable des renseignements personnels parmi ses membres.
Phase 2
Dès septembre 2023, les procédures et politiques entourant l’utilisation, la gestion et la protection des données personnelles devront être rendues disponibles sur internet. Les sanctions administratives seront de fait remises par la commission à partir de cette date.
Les grilles d’évaluations des facteurs de vie privée (EFVP) seront requises pour tous changements apportés à l’entreprise qui pourrait avoir un impact sur la protection de la vie privée de ses clients. On pense à un changement de logiciel ou à une mise à jour des systèmes informatiques par exemple.
Phase 3
Enfin, dès septembre 2024, le droit à la portabilité fait son entrée. Ce droit permet à toute personne d’obtenir les renseignements qu’elle a préalablement communiqué à une entreprise. Le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels sera effectif à 100% à partir de cette date.
Abonnez-vous au Blogue S3
« * » indique les champs nécessaires
Soyez prêt pour la loi 64
Il est encore temps de préparer votre organisation aux changements qui seront apportés par la loi sur la protection des renseignements personnels. Une équipe TI interne bien conseillée sera plus outillée pour faire les changements adéquats rapidement et efficacement. Les experts S3 sont disponibles pour vous assister dans cette tâche, peu importe la taille de votre entreprise ou les contraintes auxquelles vous faites face.
Vous avez besoin d’un coup de main? Étant le plus ancien fournisseur de services TI gérés dans le Grand Montréal, S3 Tech est plus que habileté à vous accompagner dans votre planification stratégique. Nous pouvons vous aider à vous préparer adéquatement au nouveau projet de loi sur la protection des données, et ce, rapidement et sans tracas. Contactez-nous pour une stratégie TI à la hauteur.