Loi 25 et nomination d’un « Responsable de la protection des renseignements personnels » : comment les entreprises doivent-elles assumer cette nouvelle obligation?
L’adoption rapide de la Loi 25 [1], en septembre 2021, a créé une onde de choc dans le milieu des affaires et les cercles juridiques. En effet, pour les initiés aux enjeux inhérents à la protection des renseignements personnels à l’ère numérique, la Loi 25 a modifié substantiellement les dispositions de plusieurs lois québécoises (notamment la Loi sur la protection des renseignements personnels dans le secteur privé, ci-après « Loi sur le privé »).
Elle a eu pour effet de créer de nouvelles obligations – tant pour les organisations publiques que privées – et d’octroyer de nouveaux droits aux citoyens, le tout appuyé par un régime de sanctions administratives et pénales particulièrement sévères et dissuasives. Ce faisant, le législateur québécois a signalé son intention de mettre un frein aux abus et négligences des dernières années en matière de protection des renseignements personnels pour conférer un plus grand contrôle aux citoyens et pour assurer une plus grande transparence et redevabilité de la part des entreprises.
Dans cet article, nous aborderons le nouveau rôle qui a été créé par la Loi 25, soit celui du Responsable de la protection des renseignements personnels.
Jusqu’à présent, la responsabilité de la protection des renseignements personnels a toujours été laissée à la discrétion des entreprises et incombait bien souvent à l’équipe des T.I. puisque considérée comme une question de cybersécurité. Or, quoiqu’ils comportent des similarités, les enjeux de cybersécurité sont distincts de ceux qui concernent les renseignements personnels. En effet, la cybersécurité vise principalement à assurer la confidentialité, l’intégrité et l’accessibilité des données d’un réseau alors que, pour leur part, les renseignements personnels doivent bénéficier d’un traitement spécial puisque assujettis à des règles et processus spécifiques tout au long de leur cycle de vie (c’est-à-dire lors de leur collecte, utilisation, modification, divulgation, entreposage et leur destruction). Conséquemment, la protection des renseignements personnels soulève diverses questions de consentement, de sécurité, de protection de la vie privée, et de juridiction qui dépassent largement le cadre de la cybersécurité et nécessitent une attention particulière.
Afin de clarifier la situation et d’imposer un changement de culture radical en cette matière, la Loi 25 prévoit que les entreprises devront désigner désormais un Responsable de la protection des renseignements personnels (ci-après « RPRP »), le tout ainsi que le stipule la nouvelle Section I.1 [2] qui, ajoutée à la Loi sur le privé, se lit comme suit :
SECTION I.1
RESPONSABILITÉS RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
3.1. Toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu’elle détient.
Au sein de l’entreprise, la personne ayant la plus haute autorité veille à assurer le respect et la mise en œuvre de la présente loi. Elle exerce la fonction de responsable de la protection des renseignements personnels; elle peut déléguer cette fonction par écrit, en tout ou en partie, à toute personne.
Le titre et les coordonnées du responsable de la protection des renseignements personnels sont publiés sur le site Internet de l’entreprise ou, si elle n’a pas de site, rendus accessibles par tout autre moyen approprié.
(Nos soulignés)
Or, comme cette obligation entre en vigueur dès le 22 septembre 2022 [3], il est grand temps d’agir pour les entreprises qui ne s’y sont pas encore préparées.
Qui doit assumer cette obligation?
Ainsi que l’article 3.1 le prévoit, cette obligation s’impose à « toute personne qui exploite une entreprise » et qui, nécessairement, détient des renseignements personnels sur autrui. Ici, la notion d’entreprise est plutôt large et s’apparente à celle qui est définie à l’article 1525 du Code civil du Québec [4]. D’autre part, la loi prévoit clairement que, à défaut de déléguer cette responsabilité formellement (« par écrit »), celle-ci incombera d’office à la plus haute autorité de l’entreprise… Tel qu’on peut le constater, la Loi 25 n’y va pas par quatre chemins et la question de l’imputabilité est clairement établie.
En quoi consistent les obligations du RPRP?
Dans un premier temps, il faut comprendre que le RPRP est appelé à jouer un rôle fort important dans son organisation puisqu’il doit agir comme maître d’œuvre en matière de protection des renseignements personnels. En effet, c’est le RPRP qui veille à la mise en place de règles de gouvernance au sein de l’entreprise, à la détermination des responsabilités des membres du personnel, à la formation/sensibilisation du personnel, et à l’application des règles de protection lors des traitements que peuvent subir les renseignements personnels tout au long de leur cycle de vie. Le RPRP intervient aussi pour faire des recommandations lors de l’instauration de nouveaux programmes automatisés impliquant des renseignements personnels, pour effectuer l’évaluation des facteurs relatifs à la vie privée lorsque des données personnelles sont confiées à des tiers en dehors du Québec, ou lorsque surviennent des incidents impliquant la compromission de renseignements personnels. Finalement, c’est également au RPRP qu’il revient d’instaurer et de chapeauter un processus de gestions des plaintes dirigées contre l’entreprise par des clients ou usagers de son site Internet. C’est pourquoi il requiert bien souvent l’intervention d’avocats.
Qui peut agir comme RPRP?
Considérant que la Loi 25 exige une désignation expresse pour le cas où la plus haute autorité d’une entreprise choisirait de déléguer cette fonction [5], on comprend l’importance que lui réserve le législateur de même que sa volonté de rendre les entreprises plus imputables en matière de protection des renseignements personnels. Conséquemment, et compte tenu des tâches et responsabilités qui incombent au RPRP, l’entreprise devra s’assurer que la personne ainsi désignée aura les compétences et le temps nécessaire pour s’y consacrer. En effet, même si cette tâche est déléguée, la plus haute autorité de l’entreprise demeure responsable ultimement de la protection des renseignements personnels. On peut donc concevoir que toute négligence ou complaisance à cet égard pourra faire l’objet des sanctions prévues par la loi en plus des risques réputationnels et de poursuites civiles, le cas échéant.
Pour le cas où une entreprise ne disposerait pas de ressources internes pour y voir, cette tâche peut être déléguée entièrement ou partiellement à l’externe. Dans un cas comme dans l’autre, le RPRP devra avoir une bonne connaissance de l’entreprise. Par ailleurs, les renseignements pour entrer en contact avec lui devront être clairement affichés sur le site web de l’entreprise [6] (souvent à même le politique de confidentialité).
Comment choisir le RPRP?
Considérant le rôle pivot qu’exerce le RPRP en matière de protection des renseignements personnels, il est préférable que la personne désignée dispose d’une formation en T.I. et/ou en droit, notamment lors de l’intégration de la fonction de RPRP en entreprise. Par la suite, lorsque les mécanismes et processus de protection sont mis en place, des candidats provenant d’autres milieux professionnels pourront être envisagés pour agir comme RPRP ainsi que l’expérience européenne le suggère [7].
Conclusion
Avec l’adoption de la Loi 25, le législateur québécois donne un coup de barre significatif et percutant pour remédier aux manquements des dernières années en matière de protection des renseignements personnels, ainsi que le suggère fortement le pouvoir de sanctions dont la CAI sera désormais investie.
Il est certain que le rôle du RPRP jouera un rôle prépondérant dans l’application de cette réforme si celle-ci doit atteindre ses objectifs. C’est pourquoi la désignation du RPRP doit être prise au sérieux et en temps utile par les entreprises. En effet, comme la mise en place des nouveaux mécanismes et processus prévus par la Loi 25 nécessite du temps, des compétences et des ressources, et compte tenu que la plupart des obligations entrent en vigueur en septembre 2023 [8], il y a lieu de s’y attaquer sans tarder. Autrement, l’entreprise non-conforme risque de devoir le faire dans la précipitation et à grands frais tout en s’exposant aux risques sérieux que représentent désormais les incidents de confidentialité [9].
1 – Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c. 25;
2 – Voir l’article 103 de la Loi 25;
3 – Voir l’article 175 de la Loi 25, alinéa 2;
4 – Le 3e alinéa de l’article 1525 C.c.Q. définit ainsi la notion d’exploitation d’une entreprise : Constitue l’exploitation d’une entreprise l’exercice, par une ou plusieurs personnes, d’une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services;
5 – Voir la note 2 ci-dessus;
6 – Cette obligation entre en vigueur le 22 septembre 2022; voir l’article 103 de la Loi 25 (article 3.1 de la Loi sur le privé);
7 – Dans une étude publiée, le 19 mai 2022, par le Ministère du Travail, du plein emploi et de l’insertion (France) sur la situation du poste de Délégué à la protection des données (DPO) après 3 années d’implantation d’un régime se rapprochant assez de celui à venir au Québec, on constate que les compétences de base du RPRP avec le temps devenaient moins concentrées en T.I. et en droit. Voir Le délégué à la protection des données (DPO) : un métier en forte évolution, Ministère du travail, du plein emploi et de l’insertion [en ligne] Le délégué à la protection des données (DPO) (travail-emploi.gouv.fr);
8 – Voir l’article 175 de la Loi 25, alinéa 1;
9 – Dans la Loi 25, les incidents de confidentialité font référence aux incidents informatiques qui impliquent la compromission de renseignements personnels;
