Le projet de loi 64 semble audacieux en contenant plusieurs dispositions qui dénotent la volonté ferme de mettre l'accent sur le principe de responsabilité. Alors que l'actuelle Loi sur la protection des renseignements personnels dans le secteur privé[1] ne traite jamais du principe de responsabilité ou de transparence (à noter que les mots « responsable » , « responsabilité », « transparence » ne se retrouvent à aucune disposition de la Loi actuelle), le PL 64 vient donner un véritable coup de fouet en ajoutant d'un coup d'un seul toute une section reposant sur le principe de responsabilité[2].
Cette section sur le principe de responsabilité prévoit plusieurs nouveaux fardeaux dont notamment : l'obligation d'implanter des politiques encadrant la gouvernance et la protection des renseignements personnels, l'encadrement de la conservation et la destruction de ces renseignements, l'établissement d'un processus de traitement de plainte, l'évaluation de facteurs relatifs à la vie privée, l'obligation de notifier les incidents de sécurité dans certaines circonstances et la tenue d'un registre y afférant. Le tout bien évidemment, sous le contrôle, la supervision et la responsabilité de cette nouvelle fonction qui devra se trouver dans toutes les entreprises : le responsable à la protection des renseignements personnels.
Concrètement, qu'est-ce que cela change pour les entreprises québécoises ?
Jusqu'à présent, contrairement à ce qui est actuellement en vigueur en Colombie-Britannique[3], en Alberta[4] et en vertu de la loi fédérale LPRPDÉ[5], la Loi sur le secteur privé québécoise ne prévoit pas d'obligation de nommer une personne responsable de la protection des renseignements personnels[6].
Dans ce contexte, le PL 64 vient modifier cet écart en prévoyant expressément à son article 95 non seulement que toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu'elle détient, mais va également plus loin en disposant d'office (et ce, à l'instar de ce qui est actuellement en vigueur dans la Loi sur l'accès), que la personne ayant la plus haute autorité au sein d'une entreprise du secteur privé devra exercer la fonction de responsable de la protection des renseignements personnels.
Cette fonction pourra être déléguée par écrit, en tout ou partie, à un membre du personnel. En outre, le titre et les coordonnées de cette personne responsable devront être rendus publics sur le site Internet de l'entreprise ou si cette entreprise n'a pas de site, ces informations devront être rendues accessibles par tout autre moyen approprié.
Que devra faire cette personne responsable à la protection des renseignements personnels ?
Le responsable à la protection des renseignements personnels devra s'assurer que l'entreprise respecte les principes applicables à la Loi en matière de protection des renseignements personnels. En outre et à titre d’illustrations, voici quelques exemples non exhaustifs des fonctions que devra assurer le responsable :
- Établir et mettre en œuvre des politiques et pratiques encadrant la gouvernance de l'entreprise et la protection des renseignements personnels;
- S'assurer des politiques/pratiques mises en place en matière de conservation et destruction de renseignements personnels;
- Prévoir les rôles et responsabilités des membres de son personnel;
- Établir un processus de traitement de plaintes relatives à la protection des renseignements personnels;
- Participer à l'évaluation des facteurs relatifs à la vie privée de tout projet de système d'information ou de prestation électronique;
- Suggérer à toute étape d'un tel projet des mesures de protection des renseignements personnels ainsi que l'encadrement de ces mesures tel que mentionné à la Loi;
- Être impliqué dans la gestion d'un incident de confidentialité, notamment en établissant des politiques y afférant tel qu'un plan d'incident de sécurité.
Le ton est donc donné, le PL 64 entend considérablement augmenter le principe d'imputabilité et ce couplé aux pouvoirs de lourdes sanctions pécuniaires qui pourront être octroyées aux entreprises. En effet, la fonction de responsable à la protection des renseignements personnels sera donc automatiquement octroyée à la personne ayant la plus haute autorité de l'entreprise qui devra ainsi s'assurer de mener à bien sa mission ou de confier cette tâche à un membre du personnel qui devra manifestement avoir les compétences nécessaires pour être en mesure de mener correctement sa mission vu les lourds enjeux réputationnels et pécuniaires qui pourraient peser sur l'entreprise en cas de manquements.
|
CENTRE DE RESSOURCES PL64 - Découvrez notre centre de ressources dédié au Projet de Loi 64regroupant toutes les informations que vous devez savoir pour faire face aux changements qui pourraient être apportés à la législation. INSTITUT FASKEN - Inscrivez-vous à notre formation qui fera la lumière sur les principales modifications à la loi 64 et les impacts à prévoir dans la gestion de vos affaires. LISTE DE DISTRIBUTION - Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution. |
[1] Chapitre P-39.1.
[2] Article 95 du PL 64.
[3] Voir à cet égard l'ouvrage de Mes Antoine Guilmain et Éloïse Gratton, « La protection des renseignements personnels dans le secteur privé au Québec : rétrospectives et perspectives », Volume 465 - Développements récents en droit à la vie privée (2019), éditions Yvon Blais, pp. 96.
[4] Id.
[5] Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5.
[6] Tableau comparatif des lois sur la protection des renseignements personnels rédigé par Mes Antoine Guilmain, Antoine Aylwin et Karl Delwaide.
