Pour faire suite à notre récent questionnaire-éclair, notre groupe Cybersécurité et Protection des données fournit les réponses aux questions essentielles sur la Loi 25.
Question: En vertu de la nouvelle loi québécoise, les organisations œuvrant au Québec et traitant des renseignements personnels sont-elles obligées d’avoir un responsable de la protection des renseignements personnels ?
Réponse: Oui
Toute organisation œuvrant au Québec, quelle que soit sa taille, ses ressources ou son domaine d’activité, qui traite le moindre renseignement personnel a l’obligation d’exercer la fonction de responsable de la protection des renseignements personnels ou de la déléguer par écrit à une autre personne. La personne ayant la plus haute autorité au sein de l’organisation exerce par défaut la fonction de responsable de la protection des renseignements personnels. Par opposition, en vertu de la règlementation européenne (RGPD), seules les organisations traitant à grande échelle des renseignements personnels de type « sensible » ou de façon plus intrusive ont l’obligation de désigner un délégué à la protection des données (DPO en anglais).
Question: Y-a-t-il une obligation de qualification ou de formation pour devenir responsable de la protection des renseignements personnels en vertu de la nouvelle loi québécoise ?
Réponse: Non, aucune formation ou qualification n’est requise
La nouvelle loi québécoise ne prévoit pas explicitement que le responsable de la protection des renseignements personnels doit avoir des connaissances particulières pour exercer son rôle ou encore avoir une connaissance du français. En pratique, compte tenu des nombreuses tâches et responsabilités qui peuvent être assez techniques, ainsi que l’obligation générale de responsabilité des entreprises, il est préférable que le responsable de la protection des renseignements personnels dispose de connaissances minimales et effectue de la formation continue dans le domaine.
Question: Est-il possible que la fonction de responsable de la protection des renseignements personnels soit exercée par une personne située à l’extérieur du Québec en vertu de la nouvelle loi québécoise ?
Réponse: Oui, cette personne peut être située n’importe où dans le monde
La fonction de responsable de la protection des renseignements personnels peut être déléguée par écrit, en tout ou en partie, à toute personne, qu’il s’agisse d’une personne à l’interne ou d’un tiers, sans restriction quant à son emplacement géographique. L’organisation devra néanmoins considérer et se conformer à d’autres exigences, notamment en ce qui a trait à l’exécution d’un contrat de service ou d’entreprise impliquant des renseignements personnels ou encore à la communication de renseignements personnels à l’extérieur du Québec.
Question: Le titre et les coordonnées du responsable de la protection des renseignements personnels doivent-ils être communiqués à la Commission d’accès à l’information du Québec en vertu de la nouvelle loi québécoise ?
Réponse: Oui, sur demande
Le titre et les coordonnées du responsable de la protection des renseignements personnels doivent être publiés sur le site Internet de l’organisation ou, si cette dernière n’a pas de site, ils doivent être rendus accessibles par tout autre moyen approprié. Une organisation n’est donc pas tenue de communiquer de manière proactive les coordonnées du responsable de la protection des renseignements personnels à la Commission d’accès à l’information du Québec ; elle devra toutefois les fournir de manière réactive si la Commission le demande.
Question: L’ensemble des tâches et responsabilités du responsable de la protection des renseignements personnels sont-elles prescrites par la nouvelle loi québécoise ?
Réponse: Oui, mais l’organisation doit non seulement se fier à la loi mais aussi établir une description des tâches et responsabilités
La nouvelle loi québécoise prévoit explicitement un certain nombre de tâches et de responsabilités reposant sur le responsable de la protection des renseignements personnels, incluant celles d’approuver les politiques et pratiques en matière de renseignements personnels, participer aux évaluations des facteurs relatifs à la vie privée, ou encore prendre part à l’évaluation du préjudice causé par un incident de confidentialité. Toutefois, il revient aussi à l’organisation d’établir une description des tâches et responsabilités plus précise, notamment compte tenu de la réalité de l’organisation et de la structure interne.
Question: La définition d’« incident de confidentialité » en vertu de la nouvelle loi québécoise est-elle identique à celle d’« atteinte aux mesures de sécurité » dans la loi fédérale actuelle ?
Réponse: Non, elle est similaire avec certaines nuances
La nouvelle loi québécoise définit la notion d’« incident de confidentialité » comme étant l’accès, l’utilisation ou la communication non autorisée de renseignements personnels, la perte de renseignements personnels ou toute autre atteinte à la protection de renseignements personnels. Il faut ici relever que cette définition englobe l’utilisation non autorisée de renseignements personnels, ce qui la rend sensiblement plus large que celle d’« atteinte aux mesures de sécurité » dans la loi fédérale actuelle ; on peut ici penser à toute forme d’utilisation sans consentement, ce qui n’est pas sans poser des questions d’interprétation et d’application.
Question: Si une organisation a des motifs de croire qu’un incident de confidentialité a eu lieu, est-ce que l’obligation de prendre des mesures raisonnables pour diminuer le risque qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent découle uniquement de la nouvelle loi québécoise ?
Réponse: Non, cette obligation ne découle pas de cette loi uniquement
La nouvelle loi québécoise oblige les organisations ayant des « motifs de croire » qu’un incident de confidentialité a eu lieu de prendre des « mesures raisonnables pour diminuer le risque qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent », mais cette obligation découle également du régime général de responsabilité du Code civil du Québec.
Question: En vertu de la nouvelle loi québécoise, est-ce que tous les incidents de confidentialité doivent être signalés aux personnes concernées et à la Commission d'accès à l'information du Québec?
Réponse: Non, seuls les incidents présentant un « risque de préjudice sérieux » doivent être signalés
Les organisations doivent aviser la Commission d’accès à l’information du Québec et les personnes concernées de tout incident de confidentialité visant un renseignement personnel présentant un « risque de préjudice sérieux ». Toutefois, contrairement à la loi fédérale actuelle, on relève l’absence du terme « réel » dans l’expression « risque de préjudice sérieux », ce qui pourrait indiquer que les obligations de notification au Québec seraient potentiellement plus strictes qu’au niveau fédéral.
Question: Faut-il conserver un registre de tous les incidents de confidentialité en vertu de la nouvelle loi québécoise ?
Réponse: Oui, pour une durée possible de 5 ans
Les organisations doivent tenir un registre de tous les incidents de confidentialité, et une copie devra être transmise à la Commission d’accès à l’information du Québec sur demande. Le projet de règlement sur les incidents de confidentialité propose une période de conservation de cinq ans après la connaissance de l’incident tandis que cette période est fixée à vingt-quatre mois sur le plan fédéral.
Question: Quand les organisations doivent-elles déclarer la création de banques de données biométriques à la Commission d’accès à l’information du Québec en vertu de la nouvelle loi québécoise ?
Réponse: 60 jours avant sa mise en service
Les organisations doivent déclarer toute création de banques de données biométriques à la Commission d’accès à l’information du Québec au plus tard 60 jours avant sa mise en service. La nouvelle loi québécoise vient ainsi préciser un préavis précis à ne pas dépasser, qui n’existait pas avant.