Par : Jocelyn Girard
Président, Chapitre de Montréal
Association of Certified Fraud Examiners (ACFE)
Il va sans dire que toute loi promulguée par l’Assemblée nationale mène à des changements ou à des ajustements dans notre société. Il est toutefois plus rare qu’une loi touche pratiquement chaque citoyen et chaque institution. C’est pourtant ce que déclare M. Faouzi Moueffek au sujet de la loi 64, qui a été adoptée le 21 septembre 2021 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) et qui concerne la protection des données personnelles. M. Moueffek, gestionnaire chez Richter, est bien placé pour comprendre les ramifications de cette loi. En effet, il épaule quotidiennement certaines des plus grandes institutions et entreprises de la province dans la gestion de leurs risques en technologies de l’information.
«La loi 64 a un impact direct sur toutes les institutions au Québec, peu importe leur taille ou leur contexte d’affaire.» C’est ce qu’a déclaré d’emblée M. Moueffek lors de son passage comme conférencier pour une formation organisée en décembre 2021 par le chapitre de Montréal de l’Association of Certified Fraud Examiners. Mais avant de nous démontrer ces impacts, M. Moueffek a pris le temps de bien nous expliquer les bases de la gestion des données personnelles.
D’abord, il faut comprendre que les données personnelles se divisent en 2 catégories: les données isolées, celles qui permettent d’identifier quiconque de façon indépendante (ex.: nom, numéro d’assurance sociale, etc.); et les données non isolées, qui doivent être combinées pour mener à une identification (ex.: date de naissance, adresse, etc.). La loi 64 exige donc de toute organisation qu’elle identifie les données isolées et non isolées qu’elle possède, qu’elle détermine les vulnérabilités qui pourraient mener à leur diffusion et qu’elle mette en place des contrôles adéquats pour les protéger.
La loi 64 va cependant plus loin. Elle s’applique à toute entité ayant une présence numérique au Québec. Elle exige que chaque institution nomme un responsable institutionnel et publie son cadre de gestion des données personnelles. La loi requiert de chaque institution qu’elle mène une analyse des répercussions d’une fuite de données sur la vie privé de ses clients et qu’elle instaure un mécanisme de déclaration obligatoire de ces fuites au Commissaire à l’accès à l’information. La loi établit aussi nos droits comme citoyen ou client et élimine l’externalisation complète des risques de gestion des données personnelles aux fournisseurs de service. Elle prévoit enfin des amendes administratives et pénales pour les institutions négligentes, qui peuvent aller jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial d’une entreprise.
M. Moueffek explique que la loi 64 est une réponse aux fuites de données passées et à de tels incidents qui prennent de plus en plus d’ampleur à travers le monde et qui nous touchent comme individus. Il ajoute que les droits des individus comprennent les éléments suivants: le consentement à la collecte de données; le droit à l’accès à ces données par les individus; le «droit à l’oubli», qui signifie le retrait de ces données sur demande; la portabilité des données, qui constitue la capacité de pouvoir extraire toutes les données; ainsi que le droit à la correction. M. Moueffek précise que le droit à l’oubli pourrait être limité, dans les cas de fraude, par exemple. Il est clair pour lui que l’application de ces droits par chacune des institutions devra être définie plus précisément dans l’avenir.
La loi 64 nécessitera clairement beaucoup de travail. M. Moueffek déclare que «mettre en place tout ça, c’est énorme!». Nous n’avons qu’à penser à toutes les données personnelles de candidats, de clients ou de fournisseurs qui peuvent être échangées par courriel; une telle pratique devra changer, selon lui. Heureusement, la loi prévoit une mise en place progressive de toutes les mesures. D’ici septembre 2022, chaque institution devra avoir nommé un responsable ainsi qu’avoir formé un comité de même qu’établi des procédures visant la notification d’incidents de sécurité. En septembre 2023, chaque institution devra avoir mis en place et publié son cadre de gouvernance et de gestion des données personnelles, mené son analyse des impacts sur la vie privée et être en mesure d’«anonymiser» ses données et d’offrir le droit à l’oubli. Les dernières mesures de la loi devront être en vigueur, telle la portabilité des données, au plus tard en septembre 2024.
Bien que la loi 64 amène son lot de changements et de travail pour les institutions, M. Moueffek demeure optimiste et estime qu’il s’agit d’une occasion d’affaire. Selon lui, la mise en place proactive des mesures de la loi 64 représentera un avantage concurrentiel pour une organisation et contribuera à son image de marque en rehaussant la confiance qu’on lui accorde. Cependant, M. Moueffek nous rappelle la règle d’or qu’il partage avec tous ses clients: il vaut mieux s’y prendre d’avance! Et c’est sûrement là le conseil le plus difficile à suivre!
Les auteurs du Blogue ne peuvent donner d'opinion ni de conseil juridique relativement aux situations personnelles des lecteurs.
Consultez un avocat ou un notaire pour obtenir des réponses appropriées à votre situation : visitez la Boussole juridique pour trouver des ressources gratuites ou à faible coût.