Retail
Digital transformation
Cybersecurity
30 March 2023

Responsibilities for the protection of personal information

By

Commission d'accès à l'information

Saviez-vous que la personne ayant la plus haute autorité au sein d’une entreprise est en tout temps responsable de protéger les renseignements personnels que l’entreprise détient sur ses employés, sa clientèle, ses partenaires, ses fournisseurs ou toute autre personne? Cette responsabilité peut être déléguée par écrit, en tout ou en partie, à toute personne.

Commission d'accès à l'information

Par son action, la Commission voit à l’application et à la promotion de lois protégeant le droit à l’information et le droit à la vie privée.  Qu’il s’agisse d’accès aux documents d’un organisme public ou de protection des renseignements personnels, la Commission informe, surveille et rend des décisions.

Qu’est-ce qu’un renseignement personnel?

Un renseignement personnel est celui qui porte sur une personne physique et permet de l’identifier. À titre d’exemple, on peut mentionner son nom, son numéro de téléphone, son numéro d’assurance sociale ou son adresse postale. Les renseignements personnels sont confidentiels. Sauf exception, ils ne peuvent être communiqués sans le consentement de la personne concernée.

La Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé) a été modernisée. Entre autres, elle confie de nouvelles responsabilités à l’entreprise et au Responsable en matière de protection des renseignements personnels :

  • Planifier la protection des renseignements personnels;
  • Protéger les renseignements personnels;
  • Réagir en cas d’incident de confidentialité;
  • Faire preuve de transparence;
  • Traiter les demandes et les plaintes de la clientèle.

1. PLANIFIER LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Établir et mettre en œuvre des politiques et des pratiques

À partir du 22 septembre 2023, les entreprises devront notamment:

  • Établir et mettre en œuvre des politiques et des pratiques qui encadrent la gouvernance des renseignements personnels et assurent leur protection. Celles-ci devront, entre autres, prévoir :
  • les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels détenus par l’entreprise;
  • un processus de traitement des plaintes relatives à la protection des renseignements personnels;
  • des règles applicables à la conservation et à la destruction des renseignements personnels;
  • Publier sur leur site Web en termes simples et clairs de l’information détaillée au sujet de leurs politiques et de leurs pratiques. Si l’entreprise ne possède pas de site Web, l’information doit être rendue accessible par tout autre moyen approprié.

Effectuer une évaluation des facteurs relatifs à la vie privée

Depuis septembre 2022, les entreprises doivent procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées, à des fins d’étude, de recherche ou de production de statistiques.

Qu’est-ce qu’une évaluation des facteurs relatifs à la vie privée?

L’évaluation des facteurs relatifs à la vie privée (ÉFVP) est une démarche préventive visant à mieux protéger les renseignements personnels et à mieux respecter la vie privée des personnes physiques.

Ces facteurs sont :

  1. La conformité à la législation applicable à la protection des renseignements personnels et le respect des principes qui l’appuient;
  2. L’identification des risques d’atteinte à la vie privée engendrés et l’évaluation de leurs impacts;
  3. La mise en place de stratégies et de mesures de sécurité pour éviter ces risques ou les réduire efficacement.

Elle consiste donc à considérer tous les facteurs qui auront un impact positif ou négatif pour le respect de la vie privée des personnes concernées. Ce processus vise d’abord à protéger les personnes physiques concernées par ces renseignements.

Ainsi, l’évaluation des facteurs relatifs à la vie privée permet d’éviter des problèmes que causerait une gestion inadéquate (plaintes, incidents de confidentialité, poursuites judiciaires, atteinte à l’image, etc.).

À compter du 22 septembre 2023, les entreprises devront également effectuer une ÉFVP :

  • Pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels;
  • Avant de communiquer un renseignement personnel à l’extérieur du Québec.

Dès le début d’un projet, le Responsable doit participer aux consultations entourant l’ÉFVP. Il peut également suggérer la mise en place de mesures afin d’assurer la protection des renseignements personnels comme créer une description des responsabilités des participants au projet ou leur faire suivre des activités de formation sur la protection des renseignements personnels.

2. Protéger les renseignements personnels

La personne ayant la plus haute autorité au sein d’une entreprise doit également assurer le respect de la Loi sur le privé. Les renseignements personnels détenus par une entreprise doivent être protégés tout au long de leur cycle de vie.  En effet, une entreprise qui recueille, utilise, communique à des tiers, conserve ou détruit des renseignements personnels a plusieurs obligations à respecter.

Qu’est-ce qu’un incident de confidentialité?

3. Réagir en cas d’incident de confidentialité

Un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection.

Par exemple, un incident de confidentialité pourrait se produire lorsque :

  • un membre du personnel consulte un renseignement personnel sans autorisation;
  • un membre du personnel communique des renseignements personnels au mauvais destinataire;
  • l’entreprise est victime d’une cyberattaque : hameçonnage, rançongiciel, etc.

Depuis le 22 septembre dernier, les entreprises doivent suivre un nouveau processus lorsqu’elles ont des motifs de croire que s’est produit un incident de confidentialité impliquant des renseignements personnels qu’elles détiennent. Ce nouveau processus comprend quatre étapes :

  1. Prendre des mesures raisonnables pour diminuer les risques et éviter de nouveaux incidents;
  2. Évaluer les risques de préjudice sérieux;
  3. En cas de préjudice sérieux, aviser les personnes concernées et la Commission;
  4. Tenir un registre des incidents de confidentialité.

 

Au cours de ce processus, le Responsable doit prendre part à l’évaluation du risque de préjudice causé par l’incident et enregistrer les communications effectuées à toute personne ou tout organisme susceptible de diminuer le risque pour la personne concernée suivant l’incident.

À partir du 22 septembre 2023, le Responsable devra également :

 

Être avisé sans délai et pouvoir effectuer des vérifications concernant toute violation ou tentative de violation des obligations de confidentialité prévues dans un contrat de service conclu par l’entreprise avec un tiers.

 

Publier le titre et les coordonnées du Responsable

Faire preuve de transparence

Les entreprises doivent publier le titre et les coordonnées du Responsable sur leur site Web afin que leur clientèle puisse savoir à qui communiquer leurs demandes et leurs plaintes. Si une entreprise n’a pas de site Web, elle doit rendre ces informations accessibles par tout autre moyen approprié.

À compter du 22 septembre 2023, la loi prévoit de nouvelles obligations de transparence pour les entreprises lorsqu’elles recueillent des renseignements personnels.

4. Traiter les demandes des clientèles

Dans le contexte de la réforme de la loi, de nouvelles responsabilités incombent aux entreprises concernant l’accès aux renseignements personnels et leur rectification.  Certaines des responsabilités suivantes sont déjà vigueur alors que d’autres entreront en vigueur en septembre 2023 :

Prêter assistance à leur clientèle pour :

 

  • identifier les renseignements personnels recherchés lorsque la demande n’est pas suffisamment précise ou lorsqu’une personne le requiert;
  • aider un requérant à comprendre un refus.
  • Répondre par écrit à la demande, avec diligence et au plus tard dans les 30 jours de la date de réception de la demande.
  • Motiver tout refus d’acquiescer à une demande et indiquer la disposition de la loi sur laquelle ce refus s’appuie, les recours qui s’offrent au requérant en vertu de la Loi sur le privé et le délai dans lequel ils peuvent être exercés.
  • Délivrer une attestation de la rectification, de la suppression d’un tel renseignement, de la cessation de la diffusion ou de la désindexation de l’hyperlien du renseignement personnel.

Attributions connexes

Le Responsable peut se voir attribuer des obligations connexes en matière de protection des renseignements personnels. Par exemple, il peut devoir :

  • veiller à la sensibilisation et à la formation du personnel, incluant les membres de la direction, sur les obligations et les pratiques en matière de protection des renseignements personnels;
  • représenter l’entreprise auprès d’autres entreprises, auprès des organismes publics ou auprès de la Commission d’accès à l’information, pour toutes les questions relatives à la protection des renseignements personnels.

Le législateur québécois a modernisé la Loi sur le privé pour l’adapter à la réalité technologique d’aujourd’hui dans l’objectif d’offrir un meilleur contrôle aux citoyens sur leurs renseignements personnels et de responsabiliser davantage les entreprises quant à la gestion de ces renseignements. La fonction de responsable de la protection des renseignements personnels est donc essentielle au sein d’une entreprise.

 

Pour en savoir plus, consultez l’Espace évolutif – Modernisation des lois et la section Entreprises privées du site Web de la Commission.

Protéger la vie privée de ses clients, c’est payant!

Selon un sondage réalisé pour le compte de la Commission en 2018, 91 % des personnes sondées feraient davantage affaire avec une entreprise possédant une bonne réputation à l’égard de la protection des renseignements personnels de ses clients.