Dans la poursuite de la collaboration du CPQ avec la CAI afin de répondre aux différentes préoccupations et enjeux des entreprises liés à la réforme de la protection des renseignements personnels au Québec, Me Marie-Claude Perreault, vice-présidente, Travail, santé sécurité et affaires juridiques au CPQ, s’est entretenue à nouveau avec Me Diane Poitras, présidente de la Commission d’accès à l’information, maintenant que la majorité des obligations des entreprises découlant de la Loi 25 sont en vigueur.
Me Perreault : Nous sommes le 22 septembre 2023. La très grande majorité des dispositions de la Loi 25 sont maintenant en vigueur. Une question nous revient incessamment de la part de nos membres. À quoi les entreprises qui sont en processus d’atteindre la conformité, mais qui ne l’ont pas complétée, doivent s’attendre de la CAI? Vous savez Me Poitras, les entreprises sont inquiètes en raison des sanctions importantes prévues à la Loi en cas de non-conformité, pouvant aller jusqu’à 10 000 000 $ ou 2% du chiffre d’affaires mondial.
Me Poitras : En effet, afin d’accorder la plus grande importance aux droits des citoyens en matière de protection des renseignements personnels, le législateur québécois a en quelque sorte donné du mordant à la Loi en prévoyant des sanctions importantes en cas de non-respect des obligations de conformité par les entreprises. Cela étant dit, pour la CAI, ce qui est importé, c’est de bien protéger les renseignements personnels des citoyens. Nous sommes conscients que toutes les entreprises n’ont pas les mêmes ressources qu’elles soient financières ou humaines et que la réforme prévue par la Loi 25 peut s’avérer un gros chantier pour les entreprises. Donc, dans le cas d’une entreprise qui protège de façon proactive les renseignements personnels de ses clients, qui s’est dotée d’un plan de mise en œuvre et qui démontre une diligence raisonnable dans son déploiement, la CAI continuera d’adopter une posture d’accompagnement vers la conformité. Nous sommes conscients qu’il s’agit de droit nouveau et que les nouvelles obligations soulèvent plusieurs questions d’interprétation ou des difficultés opérationnelles qui requièrent une période d’adaptation.
Il est important également de référer les entreprises au Cadre général d’application des sanctions administratives pécuniaires qui énonce les orientations et les critères relativement à l’application du régime des sanctions administratives pécuniaires par la CAI. Ce cadre vise aussi à favoriser l’équité, la cohérence et l’uniformité dans le traitement des situations de non-conformité. Vous verrez qu’une entreprise a plusieurs occasions de se conformer à la loi avant qu’une sanction soit imposée.
Me Perreault : La CAI est sûrement très mobilisée en ce moment autour de cette réforme législative et de toutes les nouveautés qu’elle apporte pour les entreprises. À quoi les entreprises peuvent-elles par ailleurs, s’attendre en termes d’accompagnement de la part de la CAI?
Me Poitras : Un des axes stratégiques de la CAI est la prévention et la sensibilisation auprès des intervenants en matière de PRP. En lien avec cet axe, l’équipe de la CAI concentre ses énergies dans la refonte de son site Web, dans la mise à jour du guide déjà publié en matière d’évaluation des facteurs relatifs à la vie privée (ÉFVP), dans le développement de trousses d’accompagnement destinées aux PME et aux OBNL. La CAI s’affaire aussi à produire des lignes directrices. Elle offre aussi des présentations comme celle offerte à vos membres le 19 juin dernier.
Le meilleur conseil que nous pouvons par ailleurs donner aux entreprises qui poursuivent leurs efforts vers la conformité à la Loi 25 est de consulter régulièrement le site Web de la CAI, de s’adresser à des professionnels en la matière en qui ils ont confiance et rappelons-le, de se doter d’un plan de mise en œuvre si ce n’est déjà fait, afin de compléter leur processus de conformité.
Me Perreault : Je vous remercie encore une fois Me Poitras pour cet entretien éclairant qui, le CPQ l’espère, offrira plus de prévisibilité aux entreprises quant à la mise en œuvre de leur processus vers la conformité à la Loi 25.