Le projet de loi 64 a été adopté le 21 septembre 2021 et sera graduellement mis en application à partir de septembre 2022 avec une dernière phase de mise en application prévue pour septembre 2024. La loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est une réforme majeure de la protection de la vie privée des individus. Cette réforme était d’ailleurs très attendue, car la loi québécoise de 1993 n’avait pas été concrètement mise à jour depuis. 

L’ensemble des articles qui composent la loi 64 ne fera pas d’exception : PME, grandes entreprises internationales, organismes à but non lucratif, travailleur autonome et toutes autres formes d’entreprises reconnues par la loi au Québec devront se plier à la nouvelle loi et ce qu’elle implique. Comme expliqué lors de notre webinaire du 15 octobre dernier, voyons en détail les composantes de la loi 64 et à quel moment elles entreront en vigueur dans les prochaines années. 

Septembre 2022

Comme vous le constatez peut-être, vous avez moins d’un an pour préparer votre entreprise et vos équipes à cette nouvelle loi et ses applications. Plusieurs nouveaux aspects de gouvernance devront être mis en place au sein de votre entreprise d’ici septembre 2022 afin de respecter la loi et protéger les données que vous conservez. 

Un des aspects les plus importants de cette première phase de mise en application est la divulgation des avis d’incidents de sécurité, de confidentialité et les cyberattaques. En effet, dès l’année prochaine, il sera obligatoire pour toutes les entreprises qui font affaires au Québec d’aviser non seulement sa clientèle qu’elle a été victime d’un incident, mais elle devra aussi le rapporter à la  Commission d’accès à l’information du Québec.  

Un incident n’est pas nécessairement une cyberattaque. Aux yeux de la loi 64, un incident peut se définir par une cyberattaque, de l’hameçonnage, du phishing, mais un incident peut aussi être, par exemple, des communications non autorisées et l’utilisation interne des données accessibles. Que l’incident soit involontaire ou volontaire n’y change rien non plus : l’incident devra être rapporté à la Commission et les clients devenus victimes devront en être avisés.

Un seconde application qui est importante relativement à cette première application de la loi 64 est la désignation d’un responsable de la protection des renseignements personnels au sein de votre entreprise. Au départ, par défaut, la personne responsable de ces données est le ou la président(e) de l’organisation. Ce poste et ces responsabilités peuvent être un poste distinct au sein de l’entreprise ou peuvent aussi être confiés à un avocat. 

Plusieurs articles de la loi 64 seront activés en septembre 2022, assurez-vous donc d’être prêt et de vérifier ce qui est à faire au sein de votre entreprise dès maintenant pour ne pas être pris au dépourvu.  

Septembre 2023  

Deux ans déjà que le projet de loi 64 a été adopté au Québec. Il est maintenant temps de passer à la seconde phase de mise en application de la loi. Similaires à certains aspects mis en place en 2022, nous continuons dans les pratiques de gouvernance pour les entreprises.  

Il sera désormais obligatoire pour toutes entreprises de diffuser sur leur site Internet leurs politiques et procédures. L’objectif derrière ce point est que les entreprises donnent des informations justes sur leurs pratiques (pourquoi et comment) d’utilisation, de gestion et de protection des renseignements personnels. Cependant, il ne sera pas requis que l’entièreté de toutes vos politiques et procédures se retrouvent sur votre site Internet.

De plus, les entreprises privées devront, à partir de 2023, procéder à des évaluations de facteurs de risques à la vie privée. Ces dernières auront une grille d’analyse et un processus intellectuel d’évaluation à suivre lors de quelconque changement qui implique des renseignements personnels : changement d’outils utilisés pour l’envoi d’infolettres, changement de logiciel interne qui fait la gestion des renseignements personnels, mises à jour d’applications, etc. 

Les articles 8.1 et 12.1 de la loi 64 seront eux aussi activés en 2023. Ces articles ont été mentionnés lors de notre webinaire puisqu’il est fort probable qu’ils vont affecter tous ceux et celles qui y assistaient. La clientèle de toute entreprise devra à partir de ce point être informée de l’utilisation de fonctions de profilage et de localisation sur le site web de l’entreprise. Contrairement à ce qui est vu ailleurs au Canada, il faudra désormais que la personne donne son autorisation pour que ces fonctions soient actives sur le site web. Cette obligation exclut cependant l’utilisation de la cache (cookies).

Puisque ces directions seront appliquées dans un peu moins de deux ans, il est présentement attendu que la Commission ainsi que le gouvernement du Québec mettent à jour et publient de nouvelles lignes directrices graduellement sur plusieurs points inclus dans la loi 64 et qui seront dorénavant requis auprès des entreprises. 

Septembre 2024

Tel que mentionné dans la ligne de temps ci-haut, le droit à la portabilité sera mis en place en septembre 2024. Le droit à la portabilité vient compléter le droit à l’effacement et le droit au déréférencement des informations personnelles qui seront mis en application en 2022. Le droit à la portabilité permet « aux personnes d’obtenir les renseignements personnels qu’ils ont fournis sur un support technologique […] À la demande de la personne, ces renseignements seront communiqués à toute autre personne ou tout organisme autorisé par la loi à recueillir un tel renseignement. » (Fasken)

En s’inspirant du Règlement général sur la protection des données de l’Union européenne (RGDP) pour le droit à la portabilité, la loi 64 avait pour l’un de ses objectifs de donner davantage de droits à l’individu sur ses renseignements personnels détenus par une ou plusieurs entreprises. 

En bref

Toutes les entreprises, sous toutes leurs formes, devront rapidement être prêtes à se conformer à la nouvelle loi 64 (pour en savoir plus, consultez notre deuxième article ici). MS Solutions et ses experts peuvent vous aider en sécurisant davantage votre parc informatique grâce à des solutions en cybersécurité pour entreprise adaptées à vos besoins. N’hésitez pas à nous contacter dès maintenant! 

Cet article présente du contenu discuté lors d’un précédent webinaire. Pour voir ce webinaire en rediffusion, c’est par ici. Inscrivez-vous à notre infolettre afin de recevoir vos invitations aux futurs webinaires.