Antoine Guilmain
Associé
Co-chef, Groupe national Cybersécurité et protection des données
Article
5
Cet article a été initialement publié par Les Affaires.
Depuis le 22 septembre prochain, les quelques 220 000 entreprises œuvrant au Québec ont désormais toutes un responsable de la protection des renseignements personnels. Il n’y a de choix pour personne puisque, si cette fonction n’est pas déléguée, elle revient automatiquement à la personne ayant la plus haute autorité au sein de l’entreprise. Il est toutefois encore temps d’identifier la personne la plus à même de remplir ce nouveau rôle.
Pour la plupart des entreprises, on connaît depuis longtemps le chef de la technologie (CTO en anglais) et son visage confiant. On s’est habitué récemment au responsable de la sécurité de l’information (CISO en anglais) avec sa voix grave. Au Québec, il faudra maintenant composer avec une nouvelle figure : le responsable de la protection des renseignements personnels (CPO/DPO en anglais). Qui est-il ? Que fait-il ? Où siège-t-il ? Pourquoi lui ? Autant de bonnes questions qui, comme souvent, ne se satisfont pas de réponses faciles.
Tout commence il y a un an presque jour pour jour. La Loi 25, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est adoptée en grande pompe. L’objectif est clair : moderniser coûte que coûte les lois sur la protection des renseignements personnels pour répondre à l’actualité récente, rattraper les avancées technologiques et s’arrimer à la règlementation européenne. Le Québec doit (re)devenir leader en matière de protection des renseignements personnels. Et tous les moyens sont bons pour y parvenir, y compris imposer des règles plus strictes et prescriptives que l’Union européenne et, bien évidemment, nos voisins du reste du Canada.
Le nouveau rôle de responsable de la protection des renseignements personnels en est le parfait exemple. Au Québec, toute entreprise, quelle que soit sa taille, ses ressources, son domaine d’activité, qui traite le moindre renseignement personnel a l’obligation d’exercer la fonction de responsable de la protection des renseignements personnels ou de la déléguer par écrit à une autre personne. Autrement dit, même combat pour la multinationale du secteur des technologies envers ses utilisateurs que pour le dépanneur dans une région reculée du Québec vis-à-vis de ses clients. Par opposition, au sein de l’Union européenne, seules les entreprises traitant à grande échelle des renseignements personnels de type « sensible » ou de façon plus intrusive ont l’obligation de désigner un délégué à la protection des données (DPO en anglais). Cette fonction n’est donc ni automatique ni systématique au sein de l’Union européenne.
D’aucuns pourraient alors minimiser, voire évacuer, la chose en se disant : une casquette de plus sur mon étagère, ce n’est ni la première ni la dernière, une de plus qui pourrait se déformer et prendre la poussière sans que personne ne s’en rende compte. Rien n’est ici moins vrai. Le responsable de la protection des renseignements personnels a en effet de nombreuses tâches et responsabilités, dont celles d’approuver les politiques et pratiques en matière de renseignements personnels, participer aux évaluations des facteurs relatifs à la vie privée, ou encore prendre part à l’évaluation du préjudice causé par un incident de confidentialité. Il est plus fondamentalement la personne vers qui tout le monde se tourne en cas de questions – qui peuvent vite devenir de vrais problèmes – relatif à la protection des données ou de la vie privée.
Le législateur a donc pris le soin de rédiger une description de poste incluant les tâches et responsabilités du responsable de la protection des renseignements personnels. Reste maintenant à combler ce poste vacant… et c’est ici que les choses se compliquent.
Qui donc pour assumer ce rôle à l’interne ? Ça dépend, souvent la personne la plus proche des données de l’entreprise. Comment former cette personne ? Ça dépend, s’il n’y a pas d’obligation de qualifications, une connaissance minimale du régime québécois sur la protection des renseignements personnels semble incontournable. Quelle indépendance lui donner ? Ça dépend, tout en évitant d’en faire un responsable fantoche. Quel budget lui octroyer ? Ça dépend, notamment de la croissance de l’entreprise ou encore des moyens alloués à la sécurité de l’information. Qui recruter à l’externe ? Ça dépend, mais le marché est encore embryonnaire et, comme nous l’a démontré l’exemple européen, n’a rien d’extensible. Quid de l’externalisation de cette fonction ? Ça dépend, assurément une option à considérer qui vient avec ses propres avantages et désavantages.
L’ensemble de cette réflexion doit mener à la publication du titre et des coordonnées du responsable de la protection des renseignements personnels sur le site Internet de chaque entreprise, ou si elle n’a pas de site, rendus accessibles par tout autre moyen approprié. Le responsable doit être au vu et au su de tous, c’est là une exigence législative applicable depuis le 22 septembre 2022.
Il revient alors à toutes les entreprises d’intégrer ce nouvel acteur qu’est le responsable de la protection des renseignements personnels, en n’oubliant pas que ce n’est pas l’habit qui fait le moine, mais bien le moine qui fait valoir l’habit.
Pour toute question concernant le rôle de responsable de la protection des renseignements personnels au sein de votre entreprise, n'hésitez pas à contacter un membre de notre groupe québécois de cybersécurité et de protection des données.
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.