À la suite de nos nombreuses publications, de notre podcast et de la formation que nous avons donnée via l’Institut Fasken le 8 décembre dernier « Changements à la Loi sur la protection des renseignements personnels : Comment se préparer à 2022, 2023 et 2024? », vous avez été nombreux à nous poser des questions. Nous avons rassemblé les questions et avons préparé le tout sous la forme de trois bulletins hebdomadaires :
- Le premier bulletin couvrira les questions relatives à la définition, à la conservation des renseignements personnels et aux sanctions en cas de non-respect des obligations issues de la Loi 25.
- Le deuxième concernera les obligations plus spécifiques en termes de transparence, de consentement et de communication.
- Enfin, le troisième et dernier bulletin sera relatif à la gouvernance au sein des organisations, en matière de protection des renseignements personnels.
Notre Centre de ressources est toujours actif et contient toute une série de bulletins et de documents dédiés à la Loi 25. Pour ne pas manquer nos prochains bulletins et toute autre information pertinente à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution afin de recevoir toutes les communications en lien avec la nouvelle loi.
BULLETIN 3 (Gouvernance : personne responsable, évaluations des facteurs relatifs à la vie privée (EFVP) et gestion des incidents)
1. Personne responsable
Est-ce que le rôle de responsable de la protection des renseignements personnels peut être externalisé?
Il est dorénavant possible de déléguer les fonctions de la personne responsable des renseignements personnels à toute personne et non plus seulement à un membre du personnel.
Pour en savoir plus :
Qui est le mieux placé entre le responsable de la sécurité des systèmes d’information et l’équipe légale pour occuper un tel rôle?
Cette fonction relève des opérations de conformité de l’entreprise, dont s’occupe généralement le département juridique. Dans tous les cas, une portion des tâches devra être accomplie de concert avec le responsable de la sécurité de l’information.
Pour en savoir plus :
À qui s’applique l’obligation d’avoir un responsable de la protection des renseignements personnels?
Cette obligation s’applique à tous types d’entreprises, indépendamment de leur taille.
Dans quelles situation une entreprise ou un organisme public doivent-ils procéder à une EFVP?
Les principales situations qui requièrent une EFVP sont les suivantes :
- Avant d’entreprendre tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels (y compris les projets d’impartition);
- Avant de communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques;
- Avant de communiquer des renseignements personnels à l’extérieur du Québec ou de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte de tels renseignements; et
- Lorsqu’un organisme public souhaite collecter des renseignements personnels nécessaires à l’exercice des attributions ou à la mise en œuvre d’un programme de l’organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune.
Est-ce qu’une EFVP est nécessaire dans l’hypothèse de renseignements personnels dépersonnalisés collectés à des fins statistiques?
Oui, en vertu du nouvel article 21 dès lors que les renseignements dépersonnalisés restent des renseignements personnels.
Pour en savoir plus :
Dépersonnalisation, anonymisation et désindexation : nouveau jargon, nouvelles obligations
2. Gestion des incidents
Quel est le délai de conservation du registre des incidents?
La Loi 25 ne prévoit pas de délai de conservation du registre. Un règlement pourra venir le préciser.
En tout état de cause, il sera possible, dans un premier temps, de s’inspirer de PIPEDA qui prévoit un délai de conservation du registre de deux ans après l’incident.
Pour en savoir plus :
Nouvelles obligations de signalement d'incidents de confidentialité en cette période de cybertension
Comment évaluer le risque de préjudice sérieux?
La Loi 25 définit l’« incident de confidentialité », comme étant un accès, une utilisation ou une communication non autorisés par la loi d’un renseignement personnel ou bien la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement. L’incident peut donc prendre plusieurs formes : intrusions par un tiers dans le système informatique d'une organisation, attaque par rançongiciel, perte de données provoquée par un virus ou par une faille informatique, extraction de données par un employé ou une personne non autorisée, etc.
En cas de risque qu’un préjudice sérieux soit causé, l’entreprise doit notifier la CAI et les personnes concernées. Pour évaluer ce risque, il convient de prendre en compte (i) la sensibilité des renseignements personnels en cause; (ii) les conséquences appréhendées de l’utilisation de ces renseignements telles que le vol d’identité, la fraude financière ou l’atteinte importante à la vie privée; (iii) la probabilité que ces renseignements puissent être utilisés à des fins préjudiciables.
Pour en savoir plus :
Nouvelles obligations de signalement d'incidents de confidentialité en cette période de cybertension
3. Profilage
Les obligations relatives à l’utilisation de technologies comprenant des fonctions de profilage s’appliquent-elles aux témoins de connexion d’utilisation d’un site web?
Oui, effectivement, si ces témoins permettent de profiler ou même de localiser les individus.
Pour en savoir plus :
