Actualités
et nouvelles tendances

Infolettre

Abonnez-vous pour ne rien manquer!

Protection des renseignements personnels: entrepreneurs, êtes-vous prêts pour la loi 25?

young bearded business man using smart phone

PAUL-ROBERT RAYMOND

Paul-Robert Raymond

Le Soleil

En vigueur depuis le 22 septembre 2022, la loi 25 — ou si vous préférez la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé — vise toutes les entreprises, petites ou grosses. Êtes-vous prêts à prendre le virage?

Les organismes publics sont aussi concernés par cette nouvelle loi. «Cette importante réforme touche chaque entreprise, chaque organisme public et chaque citoyen», résumait dans un communiqué la présidente de la Commission d’accès à l’information du Québec (CAI), Me Diane Poitras, le 22 septembre. 

«Une protection accrue des renseignements personnels et de nouveaux droits pour le citoyen, une gestion des renseignements personnels plus responsable et transparente par les organismes publics et les entreprises : voilà les principales promesses de ces changements», ajoutait-elle.

Toutefois, ne vous attendez pas à voir débarquer la CAI dans vos bureaux demain matin. Les entreprises et organismes devront prendre certaines mesures d’ici le 22 septembre 2024 (lire l’autre texte).

Dans la foulée de la fuite chez Desjardins

L’adoption de la loi 25 est une réaction directe à la fuite de renseignements personnels survenue chez Desjardins en juin 2019. Le projet de loi 64, devenu loi 25 ensuite, a été déposé à l’Assemblée nationale le 12 juin 2020, presque un an jour pour jour après l’annonce de la fuite.

«On avait déjà commencé à travailler à améliorer la protection des renseignements personnels des gens. Quand est arrivée la fuite chez Desjardins, ça nous a amenés à resserrer encore notre travail et à apprendre de ça», a confié en entrevue avec Le Soleil le ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels, Jean-François Roberge.

Me Jean-François Latreille, avocat spécialisé en cybersécurité, qualifie cette loi de «révolution» en la matière. «Parce qu’avant, pour les entreprises, il y avait des lois. Mais il n’y avait pas vraiment de sanction ni de police pour réglementer tout ça. Alors vient la loi 25, qui est calquée sur le Règlement général sur la protection des données en Europe, communément appelé le RGPD», dit-il en entrevue. La CAI aura le rôle de chien de garde pour la mise en application de la loi.

M. Latreille souligne qu’actuellement, les PME ne sont pas encore très réactives face à la loi 25. «On comprend qu’il se manifeste un intérêt ou des préoccupations sur comment on fait ça, etc. Mais pour la mise en place, cela ne semble pas bouger trop, trop. Les organisations qui bougent le plus, ce sont les OSBL et puis les organismes publics comme les municipalités, les hôpitaux, etc. Évidemment, eux, ils ont de gros enjeux et ils se font pirater régulièrement.»

De leur côté, la Fédération canadienne de l’entreprise indépendante (FCEI) et la Fédération des chambres de commerce du Québec (FCCQ) ont également des réserves face à la mise en application de la loi 25. Toutefois, les deux organismes ne remettent pas en cause sa pertinence.

Le premier craint que cette loi alourdisse le fardeau administratif des PME. «Lors des consultations particulières sur le projet de loi 64 […], la FCEI avait recommandé de ne pas précipiter cette vaste réforme. Il avait été fait mention de procéder par accompagnement en mettant en place des ressources financières et humaines à la disposition des PME et de prévoir une période de transition conséquente avec l’ampleur des changements demandés», lance François Vincent, vice-président pour le Québec à la FCEI. Un argument repris dans une lettre envoyée au ministre Roberge en décembre.

Le second juge que «la réglementation devrait être écrite en pensant aux PME», selon le PDG de la FCCQ, Charles Milliard. «Parce qu’elles seront soumises aux mêmes règlements, mais elles ont tellement moins de moyens pour mettre ça en place.»L’adoption de la loi 25 est une réaction directe à la fuite de renseignements personnels, survenue chez Desjardins en juin 2019. Le projet de loi 64, devenu loi 25 ensuite, a été déposé à l’Assemblée nationale le 12 juin 2020, presque un an jour pour jour après l’annonce de la fuite.

L’adoption de la loi 25 est une réaction directe à la fuite de renseignements personnels, survenue chez Desjardins en juin 2019. Le projet de loi 64, devenu loi 25 ensuite, a été déposé à l’Assemblée nationale le 12 juin 2020, presque un an jour pour jour après l’annonce de la fuite.

123RF, VIDEOFLOW

Peu de communication

Mais force est d’admettre que, malgré les bonnes intentions derrière la loi 25, très peu de communications ont été faites aux entrepreneurs à ce sujet. Un constat que M. Roberge reconnaît.

«Oui, mais je dois vous dire qu’on est au tout début. La loi a été sanctionnée en 2021 et il y a des mesures qui s’appliquaient à compter de l’automne 2022. Et les dernières mesures s’appliquent à compter de 2023. C’est une application qui est graduelle. On n’a pas terminé nos opérations de communication», répond le ministre.

«La CAI a un nouveau rôle, de nouvelles responsabilités. On va les aider là-dedans. Il y a des ressources qui s’ajoutent à la suite de l’adoption de la loi pour qu’elle puisse s’acquitter de ses nouvelles responsabilités», ajoute-t-il en précisant que des rencontres étaient prévues avec la Fédération des chambres de commerce, le Conseil canadien du commerce de détail, etc. «Avec tous ces grands regroupements, pour faire percoler l’information. Mais je vous dirais qu’on y va de manière graduelle.»

D’ailleurs, la FCEI et la FCCQ déploraient un «flou juridique» en décembre dernier. Il faut préciser que les règlements de la loi 25 ont été publiés dans la Gazette du Québec le 14 décembre. Ce que le ministre Roberge attribue aux élections de l’automne dernier. «Avec l’échéance électorale, le gouvernement ne pouvait pas édicter de règlements. Mais c’est une situation qui a été corrigée et, depuis décembre, les règlements sont édictés et sont connus», explique-t-il.

«Cependant, déjà, [pour] lire la loi [25], vous avez besoin d’avoir pris quelques cafés, parce que c’est une loi qui modifie des lois existantes. Par-dessus tout, il faut rendre la loi accessible. Il faut donner des moyens aux citoyens pour qu’ils puissent s’y retrouver plus facilement», conclut Me Latreille.

+

QUELLES SERONT LES MESURES À PRENDRE PAR LES ENTREPRISES?

Pour les entreprises, l’application de la loi 25 se fera graduellement, selon les communications sommaires du gouvernement du Québec d’ici le 22 septembre 2024. En vigueur depuis le 22 septembre 2022, la loi a été sanctionnée le même jour en 2021.

La Commission d’accès à l’information du Québec (CAI) a annoncé l’automne dernier que les entreprises et organismes devaient nommer un responsable de la protection des renseignements personnels avant le 22 septembre 2022. Cette personne étant soit celle qui détient la plus haute autorité ou toute autre personne désignée. 

En plus, un inventaire des renseignements personnels et une évaluation de leur sensibilité doivent être faits. Enfin, un plan d’intervention afin de prévenir, de limiter les conséquences ou de réagir rapidement et de façon adéquate lors d’un incident de confidentialité est aussi exigé.

À terme, advenant un incident de confidentialité, les entreprises devront tenir un registre de tous les événements fâcheux. La CAI et les personnes concernées par l’incident devront être avisées par la firme visée.

Du côté du gouvernement fédéral, Ottawa a déposé le 16 juin 2022 le projet de loi C-27, nommé Loi de 2022 sur la mise en œuvre de la Charte du numérique. «De ce qu’on en comprend, il est un peu moins contraignant que la loi québécoise. Il va y avoir aussi une acclimatation du côté du fédéral», lance Charles Milliard, pdg de la Fédération des chambres de commerce du Québec.  Paul-Robert Raymond

Facebook
LinkedIn
Email
Imprimer

"Prenez le contrôle et protégez votre patrimoine numérique avec nos services de gestion performants. Formation, solutions et outils de sécurité inclus pour individus, travailleurs autonomes et entreprises."