L’article suivant a été écrit par Jean-François J.N. Latreille, CD – un de nos collaborateurs de confiance et associé principal chez DUBÉ LATREILLE AVOCATS INC. Vous pouvez lire l’article original ici.
Ces dernières semaines, la Loi 25 a généré beaucoup d’intérêt sur les réseaux sociaux et dans les cercles d’affaires de la Belle Province… et pour cause! En effet, une partie de ses dispositions entrent en vigueur dès aujourd’hui (le 22 septembre 2022) – parmi lesquelles on retrouve l’obligation de désigner un Responsable de la protection des renseignements personnels[1] – ce qui soulève déjà auprès des entreprises des enjeux de conformité.
Il faut rappeler que la Loi 25, intitulée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a eu l’effet d’une onde de choc dans l’écosystème numérique québécois lorsqu’elle a été adoptée en septembre 2021 puisque dorénavant les entreprises allaient devoir faire preuve de transparence (!) et agir de manière responsable dans leur gestion et protection des renseignements personnels sous peine de sanctions financières sévères. Rien de tel pour retenir l’attention des dirigeants et des conseils d’administration! Or, considérant les modifications et les ressources substantielles qui devront être consacrées pour satisfaire à ces nouvelles exigences, la Loi 25 est-elle une bonne chose pour les entreprises du Québec?
Dans un premier temps, il faut reconnaître que les lois du Québec en matière de protection des renseignements personnels avaient grandement besoin d’être révisées et actualisées pour répondre aux nouveaux enjeux soulevés par l’essor extraordinaire des nouvelles technologies. En effet, la désuétude de la législation en vigueur faisait en sorte que les autorités québécoises étaient incapables d’encadrer efficacement la gestion et la protection des renseignements personnels faute de moyens coercitifs. Ces lacunes profondes ont d’ailleurs entraîné un laxisme généralisé et des abus de la part des organisations au détriment des individus dont le droit à la vie privée était et continue à être malmené.
Or, ces cyber-attaques entraînent très souvent la compromission de milliers de fichiers comportant des renseignements personnels. Sans surprise, ces incidents entraînent des troubles et inconvénients importants chez les victimes (atteintes à la vie privée, fraude, etc.), ce qui se traduit par une perte de confiance importante envers les entreprises et institutions.
C’est pourquoi les gouvernements de diverses juridictions, aux prises avec les mêmes problèmes, ont été amenés à revoir leurs politiques et réglementation pour remédier à la situation. L’Europe, à cet égard, a pris les devants avec l’adoption de son remarquable Règlement général sur la protection des données («RGPD») qui, depuis 2018, influence considérablement les réformes législatives dans le domaine (la Loi 25 s’en inspire largement) et le commerce international (par exemple à l’égard du flux de données transfrontaliers). En fait, le RGPD a façonné à l’échelle internationale l’émergence d’un mouvement grandissant suivant lequel les entreprises doivent souscrire à certaines normes de conformité en matière de protection des renseignements personnels pour pouvoir échanger des données d’un marché à l’autre[10]. Par effet d’entraînement, l’influence de ce mouvement se reflète de plus en plus dans la règlementation interne de certains États comme c’est le cas au Canada (Loi 25, Projet de loi C-27 au fédéral, etc.).
Vu ce qui précède, la Loi 25, il est vrai, va nécessiter des transformations substantielles de la part des entreprises en matière de gestion et protection des renseignements personnels. Par contre, pour les motifs récités, ce changement était nécessaire et, ultimement, inévitable. En effet, l’intervention du gouvernement était indispensable pour mettre fins aux mauvaises pratiques qui avaient libre cours.
D’autre part, en dotant le Québec en premier de nouvelles normes qui s’inspirent du modèle européen pour rejoindre la tendance internationale, les entreprises québécoises bénéficieront d’une longueur d’avance sur les autres juridictions canadiennes, ce qui pourrait leur conférer un avantage concurrentiel significatif.
Entre-temps, il ne faut pas tarder à amorcer les changements qu’impose la Loi 25 pour se conformer. En effet, comme la plupart des modalités de la loi entrent en vigueur le 22 septembre 2023 (incluant les sanctions administratives et pénales), le compte à rebours est déjà commencé. Au travail!
2 – Du moins tant que la sécurité de l’information ne sera pas intégrée (built-in) et reléguée aux utilisateurs (end users).
3 – https://lp.ca/wuUlAw?sharing=true
5 – https://ici.radio-canada.ca/nouvelle/1907531/brp-reactions-cyberattaque-impacts
6 – https://www-bbc-com.cdn.ampproject.org/c/s/www.bbc.com/news/technology-62937678.amp
10 – Voir l’exemple éloquent de l’arrêt SHREMS II (16 juillet 2020) de la Cour de justice de l’Union Européenne qui a invalidé un processus de certification automatique pour le transfert de données européennes vers les États-Unis au motif que ledit processus (Privacy Shield) ne respectait pas les normes de protection européennes; https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue;
Apprenez comment votre entreprise peut se préparer aux nouvelles exigences du projet de loi 25 en discutant avec des experts.
0 commentaires