Comme vous le savez sans doute, le 22 septembre marquera l’entrée en vigueur de la majorité des dispositions de la Loi 25 qui modernisent la protection des renseignements personnels (PRP) au Québec.
Le CPQ diffusait le 19 juin dernier un webinaire intitulé Loi 25 : Votre organisation est-elle prête? auquel prenait part la présidente de la Commission d’accès à l’information (CAI), Me Diane Poitras. Me Marie-Claude Perreault, vice-présidente, Travail, santé sécurité et affaires juridiques au Conseil du patronat du Québec (CPQ), s’est entretenue avec Me Poitras dans la poursuite de cette collaboration afin de répondre à différentes préoccupations et enjeux des entreprises à l’aube de l’entrée en vigueur de certaines dispositions.
Me Perreault : Me Poitras, premièrement merci de collaborer avec le CPQ afin de bonifier l’accompagnement des entreprises dans leur processus vers la conformité à la Loi 25. D’entrée de jeu, sentez-vous que les entreprises seront prêtes pour le 22 septembre?
Me Poitras : Nous constatons que les entreprises faisant affaire au Québec se mettent en action depuis l’entrée en vigueur des premières dispositions liées à la réforme de la protection des renseignements personnels. Nous observons, en même temps, que plusieurs PME, font face à des enjeux en lien avec les obligations qu’elles devront respecter.
Me Perreault : La CAI offre sur son site Internet beaucoup d’informations destinées notamment aux entreprises pour les aider à se conformer aux dispositions de la Loi 25. Quel serait l’outil « incontournable » de référence pour les entreprises?
Me Poitras : La CAI a développé un outil intitulé Vers la conformité à la Loi sur le privé. Ce document est une excellente référence afin que les entreprises se familiarisent avec leurs nouvelles responsabilités et obligations en matière de protection des renseignements personnels.
On y suggère échéance par échéance, des pistes d’action et des bonnes pratiques à mettre en place. Par exemple, les entreprises doivent avoir désigné une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur leur site Internet. Pour les entreprises qui n’ont pas de site, l’idée est de rendre cette désignation publique par un quelconque moyen, comme une affiche à la vue du public. Aussi, les entreprises doivent se doter d’un outil de gestion efficiente des incidents de confidentialité.
Me Perreault : En fonction des priorités en surveillance de la CAI, sur quelles obligations les entreprises devraient-elles prioriser leurs actions?
Me Poitras : Le processus vers la conformité atteindra son point culminant le 22 septembre. À ce moment-là, il est attendu que les entreprises respectent les obligations de la Loi. Un bon point de départ est de mettre en place les obligations relatives à la responsabilité, dont l’élaboration de leur cadre de gouvernance en PRP qui, selon nous, sont à la base de la conformité à la Loi.
Me Perreault : Quels sujets doivent minimalement être abordés dans un cadre de gouvernance en PRP?
Me Poitras : Un cadre de gouvernance en PRP doit inclure des règles applicables à la conservation et à la destruction des renseignements personnels collectés et détenus par une entreprise. Les entreprises doivent être conscientes qu’un renseignement doit idéalement être détruit (de façon sécuritaire) lorsque la finalité de sa collecte est accomplie. Aussi, les rôles et les responsabilités des membres du personnel de l’entreprise tout au long du cycle de vie des renseignements personnels doivent être abordés : vos employés doivent connaître et comprendre les règles à appliquer pour respecter la loi. Le cadre doit également établir un processus de traitement des plaintes des citoyens concernant la protection de leurs renseignements personnels.
À cet égard, la CAI propose maintenant aux personnes qui souhaitent déposer une plainte à l’égard d’une entreprise de contacter la personne responsable de la PRP afin de tenter de régler le différend. Ainsi, nous invitons les entreprises à prévoir dans leur processus de traitements des plaintes une forme de processus de médiation qui éviterait ainsi à la CAI d’être saisie de plaintes formelles qui pourraient facilement être réglées entre les parties impliquées.
J’aimerais souligner l’importance de réaliser l’inventaire des renseignements personnels détenus par une entreprise, d’évaluer leur sensibilité et de déterminer en conséquence, les moyens de protection, et ce, de leur collecte à leur destruction. Une bonne gestion documentaire est la clé pour qu’une entreprise puisse s’acquitter de ses obligations en matière de PRP. Se doter minimalement d’un plan de classification des documents et d’un calendrier de conservation des documents facilitera aussi le travail d’inventorier les renseignements personnels.
De la même façon, dans un souci de respecter leurs obligations d’information et de transparence, les entreprises doivent publier une politique de confidentialité pour toute collecte de renseignements personnels par un moyen technologique, comme par le biais de votre site Web ou d’une prestation de services électroniques. Elle doit être rédigée en termes simples et clairs. Toute personne, peu importe son degré de connaissances, doit donc être en mesure de comprendre quels renseignements sont recueillis par ce moyen, pourquoi l’entreprise les recueille, comment ils seront utilisés et quels sont ses droits relatifs à leur accès et leur protection.
Me Perreault : De nouvelles obligations entreront prochainement en vigueur relativement à l’obtention par les entreprises de consentement valide de la part de leurs clients. Que pouvez-vous nous dire à ce sujet?
Me Poitras : La CAI, dans son nouveau pouvoir d’adopter des lignes directrices, a élaboré un projet de lignes directrices relativement à l’obtention d’un consentement valide, et ce, afin de faciliter l’application par les entreprises des concepts prévus à la Loi. Elle a invité les entreprises notamment, à participer à une consultation sur son projet de lignes directrices.
Me Perreault : Le CPQ a d’ailleurs présenté un mémoire écrit dans le cadre de cette consultation.
Me Poitras : Les professionnels de la CAI sont actuellement à prendre connaissance de l’ensemble des mémoires et commentaires reçus afin de finaliser ces lignes directrices sur la validité du consentement.
Me Perreault : Vous comprendrez que les entreprises sont impatientes de prendre connaissance des lignes directrices de la CAI. Doit-on s’attendre à une publication le ou vers le 22 septembre 2023?
Me Poitras : Malheureusement non. La CAI a reçu des mémoires qui contiennent de judicieux commentaires et les professionnels de la CAI s’affairent en ce moment à analyser le tout. Nous comprenons l’impatience des entreprises, mais comme nous voulons bien répondre au besoin de faciliter l’application par les entreprises des nouveaux concepts juridiques liés à la validité du consentement, nous espérons être en mesure de publier la version définitive des lignes directrices en octobre.
Me Perreault : Y a-t-il un élément que vous aimeriez ajouter afin que les entreprises puissent se préparer adéquatement?
Me Poitras : Nous ne saurions trop insister sur l’importance de la formation du personnel des entreprises, et ce, afin de développer une culture organisationnelle respectueuse des droits des citoyens en matière de vie privée. Pour être en mesure de s’acquitter de leurs obligations d’information et de transparence, encore faut-il que les entreprises puissent transmettre à leur personnel l’information relative aux règles dont l’entreprise s’est dotée quant à sa gouvernance en matière de PRP, à sa politique de confidentialité, à la gestion des incidents de confidentialité, à l’obtention d’un consentement valide, quant aux droits des citoyens en matière de protection des renseignements personnels. Une formation initiale et en continu lorsque nécessaire est essentielle pour permettre au personnel de développer de bons réflexes en matière de protection des renseignements personnels.
Me Perreault : Me Poitras, le CPQ vous remercie pour cet entretien qui, nous l’espérons, saura guider les entreprises quant à l’importance à accorder à la protection des renseignements personnels de leurs clients et aux démarches à réaliser d’ici le 22 septembre prochain afin de poursuivre leur processus de conformité à la Loi 25.
Me Poitras : Merci, Me Perreault, nous sommes conscients à la CAI que la réforme de la protection des renseignements personnels est un gros chantier pour les entreprises et nous croyons donc en cette collaboration entre le CPQ et la CAI afin de bien accompagner les entreprises vers la conformité.