Antoine Guilmain
Associé
Co-chef, Groupe national Cybersécurité et protection des données
Rapports
51
Les principales dispositions de la nouvelle loi québécoise sur la protection des renseignements personnels, la Loi 25, entreront en vigueur en septembre 2023. Malgré la proximité de l'échéance, bon nombre d'organisations au Québec et à l'étranger se disent préoccupées par de nombreux éléments importants de cette nouvelle loi qui restent ambigus.
Pour bien mesurer les réactions de l'industrie au régime de protection des renseignements personnels le plus rigoureux à ce jour au Canada, Gowling WLG et IAB Canada ont récemment mené une enquête auprès de plus de 100 organisations de divers secteurs d'activité. Les résultats ont mis en évidence d'importantes réticences et inquiétudes à l'égard de la Loi 25. Parmi les organisations consultées :
Parmi les autres préoccupations relevées dans l'enquête, citons les exigences de transfert de données et de consentement, ainsi que les effets du vaste champ d'application de la Loi 25 sur les « paramètres de confidentialité par défaut ».
« Malgré le long chemin parcouru par la Loi 25 depuis son introduction dans le cadre du projet de loi 64, les questions d'interprétation et de mise en œuvre non résolues laissent présager des difficultés pour son entrée en vigueur en septembre », a déclaré Antoine Guilmain, co-chef national du groupe Cybersécurité et protection des données de Gowling WLG.
« Compte tenu des résultats de l'enquête et en attendant de nouvelles directives de la Commission d'accès à l'information du Québec, nous voulons avant tout aider nos clients à bien comprendre les modalités d'application de la Loi 25 à leur cas, et de là, à concevoir des stratégies pratiques et rentables pour s'y conformer ».
« Les résultats de cette enquête montrent clairement l'urgence de mettre en place des cadres appropriés et éprouvés qui permettront à l'industrie de trouver un équilibre entre l'innovation dans le secteur important et croissant de la publicité numérique au Canada, et la protection des droits des citoyens à la vie privée », affirme Sonia Carreno, présidente de l'IAB Canada. « Avec nos membres, nous aidons les acteurs de l'écosystème de la publicité numérique à se conformer aux exigences complexes de cette nouvelle loi, et le cadre de TCF Canada constitue un outil efficace pour assurer une meilleure transparence, un consentement valable et une responsabilité démontrable. »
La Loi 25 du Québec (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) représente le plus récent et le plus important développement législatif en matière de protection des renseignements personnels au Canada. La plupart des modifications adoptées en vertu de la Loi 25 entreront en vigueur le 22 septembre 2023.
Pour les organisations actives au Québec ou qui recueillent, utilisent ou divulguent des renseignements personnels sur des individus situés dans la province, ces modifications entraîneront des ajustements substantiels des cadres de conformité en matière de protection des renseignements personnels et des méthodes actuelles d'exploitation des entreprises.
C'est pour mieux comprendre les préoccupations les plus pressantes des entreprises à l'égard de la Loi 25 et pour mesurer leur degré de préparation que Gowling WLG et IAB Canada ont réalisé une enquête de 40 questions. Des organisations très diverses ont été invitées à y participer, dont 10 associations professionnelles représentant des organisations de secteurs de tailles, d'industries et de degrés de sophistication variés en matière de protection des renseignements personnels. Nous avons reçu des réponses de plus de 100 organisations dont le siège social se trouve au Canada ou à l'étranger1.
Dans de nombreux cas, l'enquête a été distribuée à des interlocuteurs individuels déjà connus, principalement ceux qui sont responsables de la protection des renseignements personnels au sein de leurs organisations respectives, bien que les réponses à l'enquête elles-mêmes soient restées anonymes. L'enquête a également été distribuée aux membres des associations professionnelles nationales et québécoises des secteurs de la publicité, de la vente au détail, des banques, de l'automobile, de l'assurance et de la finance.
La période de réponse à l'enquête s'étendait du 6 juin 2023 au 30 juin 2023. Cette période coincide avec la période de consultation concernant les lignes directrices sur les critères de validité du consentement en matière de protection des renseignements personnels publié par la Commission d'accès à l'information (CAI) du Québec entre le 16 mai 2023 et le 25 juin 2023.
A. Données démographiques : Profil des organisations concernées par la Loi 25
B. Responsables de la protection des renseignements personnels
C. Préoccupations et incertitudes
D. Éléments particuliers
La majorité des organisations qui ont répondu à l'enquête exercent une grande partie de leurs activités au Québec, avec au moins 100 employés au sein de la province. Il y avait toutefois d'autres participants hors Québec, ainsi qu'un petit sous-ensemble de participants sans activité au Canada, ce qui témoigne de la vaste portée de cette loi, de ses répercussions et de l'intérêt qu'elle suscite.
Tous les répondants du secteur privé étaient tenus de se conformer à des lois en vigueur dans d'autres provinces ou territoires que le Québec (comme la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)). Trente-sept pour cent des répondants étaient tenus de se conformer aux lois sur la protection des renseignements personnels dans le secteur privé dans des territoires hors du Canada, principalement le Règlement général sur la protection des données (RGPD) de l'UE et diverses lois d'États américains.
Les organisations qui ont répondu à l'enquête avaient généralement des mécanismes bien établis en matière de protection des renseignements personnels. Tout les répondants ayant plus d'un employé ont tous mis en place une ou plusieurs politiques et pratiques formelles en matière de respect de la législation sur la protection des renseignements personnels.
L'enquête a été remplie par une personne par organisation, au nom de leur organisation. Ces personnes représentaient divers postes de haut niveau, tels que conseiller juridique, gestionnaire, dirigeant et cadre (p. ex. PDG, vice-président).
Fait notable, 54 % des répondants à l'enquête ont été désignés « responsables de la protection des renseignements personnels » par leur organisation, conformément aux dispositions de la Loi 25, bien que seulement 26 % d'entre eux aient exercé une fonction professionnelle dans ce domaine. Il en ressort que les principaux responsables de la mise en conformité de leur organisation avec la Loi 25 cumulent souvent bien d'autres fonctions importantes.
La conciliation de ces responsabilités peut représenter un défi de taille, surtout si l'on considère les obligations que la Loi 25 impose aux responsables de la protection des renseignements personnels, notamment celle de donner des conseils sur les évaluations des facteurs relatifs à la vie privée et de répondre aux demandes de consultation, de rectification et de suppression. Dans ces conditions, rien d'étonnant à ce que les responsables de la protection des renseignements personnels de nombreuses organisations n'exercent pas ces fonctions eux-mêmes, mais se contentent de les superviser.
Les résultats de l'enquête confirment ce qui suit :
Ces chiffres démontrent la nécessité de procéder de manière réaliste pour mettre en œuvre et faire respecter la Loi 25, en tenant compte des limites et des réalités quotidiennes des organisations et de leurs responsables de la protection des renseignements personnels.
Les répondants à l'enquête ont reçu un lien vers les dispositions pertinentes de la Loi 25, regroupées dans les catégories suivantes :
Il a été demandé aux répondants d'examiner les dispositions et 1) d'évaluer sur une échelle de 1 à 10 leur confiance quant à leur compréhension des dispositions fournies, 1 signifiant qu'ils ne sont pas du tout confiants et 10 qu'ils sont trés confiants,et 2) d'indiquer les facteurs d'incertitude qui affectent leur confiance dans leur interprétation des dispositions. Il leur a été proposé certaines options présélectionnées pour les facteurs d'incertitude, mais les répondants pouvaient aussi en indiquer d'autres dans un champ libre intitulé « autre ».
Selon l'enquête, ce sont les dispositions de la Loi 25 sur les paramétres de confidentialité par défaut qui suscitent le plus d'incertitude sur le plan de l'interprétation. Quarante-trois pour cent des répondants ont attribué une note de confiance de 5 ou moins à leur compréhension de ces dispositions, le mode étant de 4. Les dispositions relatives au « transfert de données > suivent de prés, avec 40 % des répondants qui lui attribuent une note de confiance de 5 ou moins.
50 % des répondants ont indiqué que les exigences de « transfert de données » constituent l'une des principales préoccupations de leur organisation en ce qui concerne la Loi 25.
Les exigences de la Loi 25 en matiére de « transparence et de consentement » suivent de prés, avec 48 % des répondants qui les considérent comme leur principale source d'inquiétude.
D'autres questions ont ensuite été posées aux répondants pour déterminer les causes profondes de ces inquiétudes et les moyens d'y remédier. Cinquante-quatre pour cent des répondants ont signalé avoir besoin d'autres directives d'interprétation.
69 % ont exprimé le désir d'obtenir des éclaircissements sur les exigences pratiques de la Loi. Ces remarques ont été confirmées par les commentaires des personnes interrogées par les commentaires dans les champs libres des personnes interrogées.
Cependant, plus que les exigences spécifiques de la Loi 25, c'est le coût de la mise en œuvre de ses dispositions que les répondants considérent le plus souvent comme une source majeure de préoccupation, puisqu'ils ont choisi ce facteur dans une proportion de 54 %.
Cela signifie que, si les organisations ne savent trop comment interpréter certaines dispositions de la Loi 25, les problémes de fond et les considérations pratiques constituent une source d'inquiétude encore plus importante. Cinquante-deux pour cent d'entre elles ont affirmé ne pas avoir les ressources nécessaires pour se conformer aux exigences de la Loi 25, et beaucoup d'entre elles ont déclaré qu'elles auraient besoin de plus de temps pour le faire.
Environ 60 % des répondants ont attribué une note de 5 ou moins à leur accord avec les affirmations suivantes :
52 % d'entre elles ont affirmé ne pas avoir les ressources nécessaires pour se conformer aux exigences de la Loi 25, et beaucoup d'entre elles ont déclaré qu'elles auraient besoin de plus de temps pour le faire.
Dans leurs réponses, les répondants se sont également dits préoccupés par le coût et la faisabilité liés à l'obligation de se conformer aux exigences de fond de la Loi. Les préoccupations d'ordre pratique sont les suivantes :
Certains commentaires indiquent également que le fardeau imposé par la Loi 25, en conjonction avec le projet de loi 96 (imposant des exigences en matière de langue française), a incité des organisations à quitter définitivement le marché québécois, ce qui pourrait nuire considérablement aux résidents du Québec.
Les préoccupations mentionnées ci-dessus semblent être exacerbées par les inquiétudes importantes des organisations à propos des pénalités et des sanctions prévues par la Loi 25. Soixante-sept pour cent des répondants ont exprimé leur crainte de se voir infliger des pénalités et des sanctions par leur organisation en cas de manquement à la Loi 25. Seuls 15 % des répondants ont affirmé que les peines et sanctions susceptibles d'être imposées aux termes de la Loi 25 leur paraissaient équitables.
Plus précisément, pour chacune des grandez zones de préoccupation des organisations mises en de préoccupation des organisations mis en évidence par l'enquête, les résultats ont permis de dégager les indications suivantes :
Parmi les dispositions de la Loi 25, le plus grand degré d'incertitude des répondants porte sur l'interprétation des dispositions prévoyant une exigence de paramètres de confidentialité par défaut (article 9.1). Les sources d'incertitude les plus fréquemment mentionnées sont les suivantes :
Cependant, malgré le degré de confiance exprimé par les répondants dans l'interprétation des exigences pour le transfert de données, lorsqu'il leur a été demandé de désigner les autres sources d'incertitude affectant leur confiance, les sources les plus fréquemment citées étaient les suivantes :
En général, les répondants étaient plus confiants en ce qui a trait à leur compréhension des exigences de la Loi 25 pour les transferts de données hors du Québec (article 17). Avec une note de 1 pour < pas du tout confiant > et une note de 10 pour < très confiant >, 60 % des répondants ont attribué une note de 6 ou plus à leur compréhension des exigences pour le transfert de données.
Ce résultat indique que le degré élevé d'inquiétude signalé par les organisations à propos des exigences de la Loi 25 pour le transfert de données est lié à des enjeux qui vont au-delà de la compréhension de base de ces exigences.
En particulier, 35 % des répondants ont affirmé que leur organisation ne serait pas en mesure d'évaluer l'impact du transfert de données sur la vie privée pour chaque transfert et les facteurs relatifs à la vie privée (i.e. évalutations des facteurs relatifs à la vie privée axés sur les transferts de données) pour chaque transfert et toutes les juridictions vers lesquelles des données sont transférées. des données. À l'heure actuelle, bien que 42 % d'entre eux affirment pouvoir le faire, seuls 19 % des répondants effectuent les évaluations qui seront bientôt obligatoires.
Si les répondants ont exprimé des inquiétudes quant aux exigences de la Loi 25 en matière de consentement, la majorité d'entre eux sont assez confiants dans leur compréhension de ses dispositions sur le consentement et la transparence. Il semble donc que le degré élevé d'inquiétude entourant les exigences de la Loi 25 sur le consentement réside surtout dans l'incertitude quant à la mise en œuvre pratique de ces exigences, plutôt que dans l'ambiguïté de leur interprétation. Il subsiste cependant quelques incertitudes quant à l'interprétation des dispositions sur le consentement et la transparence.
Avec une note de 1 pour « pas du tout confiant » et une note de 10 pour « trés confiant » 75 % es répondants ont attribuéune note de 6 ou plus à leurcom préhension des exigences sur le consentement et la transparence, le mode étant de 8. Parmi les différents éléments de la Loi 25 identifiés par l'enquête, c'est celui qui a obtenu le taux de confiance le plus élevé sur le plan de l'interprétation. Cette confiance est peut-être attribuable, en partie, à la publication par la CAI d'un projet de lignes directrices sur le consentement. Elle peut aussi s'expliquer par la conviction qui prévaut chez 38 % des répondants que les exigences de la Loi 25 correspondent à celles de la LPRPDE.
Quoi qu'il en soit, elle permet de cibler les préoccupations d'ordre pratique des organisations. Dans les commentaires à champs libres, les organisations ont laissé entendre que les exigences de la Loi 25 en matiére de consentement explicite risquaient de créer une grande lassitude chez les individus en ce qui a trait aux exigences en matiére de consentement exprés.consentement. En outre, les exigences de la Loi 25 sur le consentement et la transparence présentent un degré élevé d'interaction avec et son hautement informés par les autres dispositions de cette même Loi. Elles sont également étayées par notamment celles qui concernent les paramétres de confidentialité par défaut et celles qui s'appliquent aux incidents de confidentialité, au profilage et aux témoins de connexion. Malgré une plus grande confiance dans l'interprétation des dispositions sur le consentement, les organisations demeurent trés préoccupées par l'incertitude qui subsiste quant à l'interprétation de ces exigences qui se recoupent. Il a été demandé que davantage de conseils pratiques sur la façon de recueillir les différents types de consentement, en particulier dans le contexte du profilage, du suivi et des témoins de connexion, de connexion, soient fournis.
Néanmoins, quelques incertitudes demeurent quant à l'interprétation des dispositions sur le consentement et la transparence (articles 8, 8.3, 12 et 14). Lorsqu'il leur a été demandé de désigner les autres sources d'incertitude affectant leur confiance, les sources les plus fréquemment citées sont les suivantes :
Description | Pourcentage |
---|---|
incertitude quant à ce qui constitue des « mesures raisonnables » pour limiter le risque d'identification d'une personne à l'aide de renseignements dépersonnalisés dépersonnalisées; | 62% |
incertitude quant aux circonstances dans lesquelles les renseignements personnels sont « clairement utilisés dans l'intérêt » d'une personne, de sorte qu'ils peuvent être utilisés à certaines fins sans le consentement de cette personne; | 47% |
incertitude quant à ce qui peut constituer un « lien pertinent et direct » entre les fins, de sorte qu'une finalité serait considérée comme compatible avec les fins auxquelles le renseignement a été recueilli, et celui-ci pourrait donc être utilisé sans le consentement de la personne concernée; | 43% |
incertitude quant à chacun des éléments suivants :
|
42% |
incertitude quant à chacun des éléments suivants :
|
40% |
incertitude quant aux circonstances où une utilisation peut être « nécessaire » pour une fin particulière (par exemple, prévention et détection de la fraude, fourniture ou livraison d'un produit ou d'un service, recherche, etc.); | 36% |
incertitude quant à ce qui peut être considéré comme des « termes simples et clairs » pour les demandes de consentement; | 34% |
des répondants ont exprimé leur incertitude quant aux circonstances dans lesquelles les renseignements personnels peuvent être considérés comme « sensibles ». | 32% |
33 % (un tiers) des répondants fournissent des services et 36 % vendent des produits. Parmi les répondants figurent cinq organisations à but non lucratif et une organisation s'identifiant comme société d'État. Les organisations qui ont répondu ne sont pas toutes directement soumises à la législation sur la protection des renseignements personnels dans le secteur privé.
La plupart des organisations interrogées exercent actuellement leurs activités au Québec. Il y avait toutefois des organisations hors Québec, ainsi qu'un petit sous-ensemble de participants sans activité au Canada, ce qui témoigne d'une prise de conscience et de préoccupations à l'échelle nationale et internationale :
La majorité des répondants appartiennent aux secteurs de la publicité ou des technologies publicitaires (30 %), suivis de près par les secteurs de la finance et de l'assurance (26 %).
L'enquête a été remplie par une personne au nom de son organisation. Les personnes qui ont répondu à l'enquête occupaient différentes fonctions au sein de leur organisation :
Des réponses ont été obtenues de plusieurs organisations du public qui ont répondu qu'elles n'étaient pas tenues de se conformer aux lois sur la protection des renseignements personnels dans le secteur privé. Tous les répondants du secteur privé ont fait mention de leur obligation de se conformer à des lois en vigueur dans d'autres provinces ou territoires que le Québec.
Avant l'entrée en vigueur de la loi 25, lesquelles des politiques suivantes votre organisation avait-elle mises en place, soit indépendamment, soit dans le cadre d'une ou de plusieurs politiques plus larges?
Les organisations interrogées étaient généralement assez sophistiquées en ce qui concerne les mesures de conformité existantes en matière de protection de la vie privée. bous les répondants ayant plus d'un employé ont tous mis en place une ou plusieurs politiques et pratiques formelles en matière de respect de la législation sur la protection des renseignements personnels. 92 % des répondants avaient instauré une politique externe de protection des renseignements personnels. Cette même proportion de répondants a mis en place des politiques concernant au moins deux éléments distincts de protection des données (à savoir la collecte, l'utilisation et la divulgation, la réponse aux incidents de cybersécurité et/ ou la correction individuelle ou la réponse aux plaintes).
Les organisations interrogées avaient une très bonne connaissance des dispositions de la Loi 25 et de ses exigences. La note 1 correspond à un désaccord total et la note 10 à un accord total quant à leur niveau de connaissance :
81 % des répondants ont attribué une note de 6 à 10 à leur connaissance des nouveaux droits en matière de protection des renseignements personnels prévus par la Loi 25.
75 % des répondants ont attribué une note de 6 à 10 à leur connaissance de la date d'entrée en vigueur de chacune des exigences de la Loi 25, ainsi qu'à leur connaissance des pénalités et sanctionsqui peuvent être imposées en vertu de la Loi 25.
Les organisations estiment pouvoir se conformer aux exigences de la Loi 25, mais elles ne sont pas convaincues de disposer des ressources et du personnel suffisants pour le faire dans les délais impartis.
Avec une note de 10 pour un accord total et une note de 1 pour un désaccord total, 70 % des répondants ont attribué une note de 6 ou plus à l'affirmation « J'ai confiance en la capacité de mon organisation à se conformer aux exigences de la Loi 25 », le mode étant de 8.
Environ 60 % des répondants ont attribué une note de 5 ou moins à leur accord avec les affirmations suivantes :
Si de nombreuses organisations ont adopté un plan de mise en conformité avant le 22 septembre 2023, ce n'est pas le cas partout :
La majorité des organisations interrogées (70 %) ont déclaré ne pas encore se conformer à toutes les exigences de la Loi 25 en raison d'un manque de clarté de la Loi sur les exigences pratiques à respecter pour satisfaire à ses dispositions. Plus de 50 % des répondants attribuent également cette situation à l'absence de directives officielles pour pour faciliter l'interprétation, ainsi qu'à l'insuffisance des ressources.
Les principales préoccupations des organisations quant aux exigences de la Loi 25 étaient les suivantes :
Il convient de noter que cette enquête s'est déroulée au même moment que la période de consultation sur les lignes directrices sur le consentement menée par la CAI.
Les coûts de mise en œuvre et les exigences de la Loi 25 concernant les transferts transfrontaliers de données sont les domaines les plus préoccupants pour les organisations, ayant été choisis respectivement par 54 % et 50 % des répondants. Le consentement suit de près, ayant été choisi par 48 % des répondants comme le sujet de préoccupation le plus important.
Lorsqu'on leur a demandé quelles seraient les mesures ou ressources supplémentaires les plus utiles pour rassurer les organisations sur le respect de la Loi 25, la possibilité de reporter l'entrée en vigueur des nouvelles dispositions était clairement en tête de liste. Elle a été choisie par 52 % des répondants. Le report de l'entrée en vigueur a été préféré à une période de grâce après le 22 septembre 2023 durant laquelle les pénalités et les sanctions ne seraient pas imposée. Seuls 9 % des répondants ont estimé que cette mesure était la plus utile pour leur organisation.
20 % des répondants ont indiqué que les mesures les plus utiles pour leur organisation seraient des directives supplémentaires de la CAI sur les démarches pratiques à entreprendre pour se conformer aux nouvelles exigences de la Loi 25.
Enfin, 17 % des répondants ont indiqué que l'obtention de directives directives supplémentaires de la part de la CAI sur la bonne interprétation du libellé de la Loi 25.
Les répondants ont également eu la possibilité d'indiquer d'autres ressources qui leur seraient utiles. Plusieurs répondants ont indiqué qu'en plus de leur choix principal, il serait utile de retarder la mise en applicationde la Loi. D'autres répondants ont mentionné expressément :
Malgré leurs préoccupations au sujet du consentement, les répondants sont généralement assez confiants quant à leur compréhension des dispositions de la Loi 25 en matière de consentement et de transparence.
Avec une note de 1 pour « pas du tout confiant » et une note de 10 pour « très confiant », 75 % des répondants ont attribué une note de 6 ou plus à leur compréhension des exigences sur le consentement et la transparence, le mode étant de 8.
Les sources d'incertitude les plus fréquemment mentionnées sont les suivantes :
D'autres sources d'incertitude ont été signalées, notamment : la façon d'obtenir les différents types de consentement en ligne (par exemple, sur un site Web); ce qui serait considéré comme « présenté distinctement de toute autre information communiquée à la personne concernée »; les exigences du consentement pour le profilage; l'application d'exigences spécifiques aux témoins de connexion; la distinction entre « consentement implicite > et « consentement exprès ».
Les organisations ont manifesté une grande incertitude quant à la distinction entre les exigences relatives au consentement valable en vertu de la Loi 25 et de la LPRPDE.
25 % des répondants ont affirmé ne pas savoir si les exigences en matière de consentement valable étaient les mêmes pour la Loi 25 et la LPRPDE. Les autres répondants étaient presque à égalité entre leur interprétation respective des exigences comme étant soit identiques (38 %), soit différentes (37 %).
En général, les répondants étaient davantage confiants que le contraire dans leur compréhension des exigences de la Loi 25 entourant la prise de décision automatisée et le profilage.
Avec une note de 1 pour « pas du tout confiant » et une note de 10 pour « très confiant », 62 % des répondants ont attribué une note de 6 ou plus à leur compréhension des exigences entourant la prise de décision automatisée et le profilage.
Parmi les répondants ayant déclaré utiliser des processus automatisés de prise de décision, seuls 17 % ont indiqué que leur organisation serait en mesure de signaler aux particuliers toutes les décisions prises exclusivement à l'aide du traitement automatisé. En revanche, 69 % des répondants ont indiqué qu'il leur serait possible de signaler aux particuliers les décisions fondées exclusivement sur un traitement automatisé qui auraient des effets concrets, directs ou sensibles sur une personne ou sur ses droits. 9 % des répondants ont indiqué que ces deux options n'étaient pas réalisables, et 6 % d'entre eux ont exprimé leur incertitude en raison de la confusion dans les exigences de la loi.
Les sources d'incertitude les plus fréquemment mentionnées sont les suivantes :
En général, les répondants étaient davantage confiants que le contraire dans leur compréhension des exigences de la Loi 25 pour les transferts de données hors du Québec.
Avec une note de 1 pour « pas du tout confiant » et une note de 10 pour « très confiant », 60 % des répondants ont attribué une note de 6 ou plus à leur compréhension des exigences pour le transfert de données.
35 % des répondants ont affirmé que leur organisation ne serait pas en mesure d'évaluer les incidences du transfert de données sur la vie privée (par exemple, une évaluation des conséquences sur la vie privée portant surtout sur le transfert de données) pour chaque transfert et pour chaque administration destinataire des données. 42 % des répondants affirment pouvoir faire ces évaluations, mais seuls 19 % d'entre eux les font déjà.
En général, les répondants sont assez confiants quant à leur compréhension des dispositions de la Loi 25 sur les évaluations des facteurs relatifs à la vie privée.
Avec une note de 1 pour « pas du tout confiant » et une note de 10 pour « très confiant », 68 % des répondants ont attribué une note de 6 ou plus à leur compréhension des exigences sur les évaluations des facteurs relatifs à la vie privée.
Les sources d'incertitude les plus fréquemment mentionnées sont les suivantes :
Les répondants se sont montrés plus partagés quant à leur compréhension des exigences de la Loi 25 en matière de confidentialité par défaut.
Avec une note de 1 pour « pas du tout confiant » et une note de 10 pour « très confiant », 57 % des répondants ont attribué une note de 6 ou plus à leur compréhension des exigences sur les paramètres de confidentialité par défaut.
Les sources d’incertitude les plus fréquemment mentionnées sont les suivantes :
Plus de 50 % des répondants ne sont pas convaincus qu'il serait possible pour leur organisation de mettre en œuvre les exigences de confidentialité par défaut.
30 % des répondants ont exprimé leur incertitude quant à la capacité de leur organisation de choisir le plus haut niveau de confidentialité comme valeur par défaut pour tous les paramètres de confidentialité. 22 % des répondants ont indiqué que ce ne serait pas possible.
En général, les répondants sont assez confiants quant à leur compréhension des dispositions de la Loi 25 sur le signalement des incidents de confidentialité. Ces exigences sont entrées en vigueur en septembre 2022, ce qui a sans doute permis de mieux les faire connaître.
Avec une note de 1 pour « pas du tout confiant » et une note de 10 pour « très confiant », 72 % des répondants ont attribué une note de 6 ou plus à leur compréhension des exigences sur le signalement des incidents de confidentialité.
Plusieurs répondants ont également exprimé leur incertitude quant aux circonstances dans lesquelles l'utilisation sans autorisation de renseignements personnels constituerait un incident de confidentialité, et ont évoqué l'exemple 16.2 du projet de lignes directrices sur le consentement de la CAI, qui ajoute encore à l'ambiguïté.
Les répondants se sont dits assez incertains quant à la distinction entre les normes de notification en vertu en vertu de la Loi 25 lorsqu'un incident présente un risque de préjudice sérieux, et en vertu de la LPRPDE, lorsqu'un incident présente un risque réel de préjudice grave. 52 % des répondants ont attribué une note de 5 ou moins à leur confiance en leur compréhension, avec un mode de 5.
70 % des répondants affirment craindre que le nom des organisations qui signalent des incidents de confidentialité à la CAI puisse être publié.
15 % des répondants ont jugé équitables les sanctions et les pénalités susceptibles d'être imposées en vertu de la Loi 25.
67 % des répondants se sont dits préoccupés par le risq ue de sanctions et de pénalités à leur encontre ou à l'encontre de leur organisation en cas de manquement à la Loi 25.
61 % des répondants ont déclaré ne pas comprendre les circonstances dans lesquelles la Loi 25 permet d'imposer des sanctions administratives pécuniaires, par opposition aux circonstances qui permettent d'engager des poursuites pénales. Avec une note de 1 pour < pas du tout confiant > et une note de 10 pour < très confiant >, seulement 39 % des répondants ont attribué une note de 6 ou plus à leur degré de confiance.
Enfin, il a été possible pour les répondants de formuler d'autres commentaires sur la Loi 25 et sur les préoccupations de leur organisation. Outre les demandes répétées de directives pour chacun des aspects mentionnés ci-dessus, les organisations ont fait part des préoccupations suivantes :
Les organisations ont également exprimé le souhait que le Québec harmonise son cadre législatif avec celui qui sera adopté par le gouvernement fédéral (c.-à-d. le projet de loi C-27).
Grâce à son savoir-faire juridique de calibre international, Gowling WLG offre à ses clients un soutien multiterritorial dans des secteurs clés à l'échelle mondiale : technologie, fabrication, services bancaires et financiers, marchés des capitaux, infrastructures et sciences de la vie. Forts d'une pratique de propriété intellectuelle figurant parmi les plus importantes au monde, nous fournissons une gamme complète de services juridiques en droit des affaires et en résolution de litiges.
Comptant plus de 1 500 professionnels juridiques dans le monde entier, nous offrons une expertise approfondie couvrant des secteurs clés internationaux ainsi qu'une gamme complète de services juridiques, localement comme à l'étranger. Nous voyons le monde du point de vue de nos clients et nous collaborons entre nous dans différents pays, dans nos divers bureaux, domaines de compétences et secteurs d'activité pour les aider à réussir, peu importe la complexité de leurs affaires. Que ce soit au Canada, au Royaume-Uni, en Europe continentale, au Moyen-Orient et en Asie, vous pouvez compter sur nous pour vous prodiguer des services juridiques essentiels à votre succès, où que vous soyez. En savoir plus »
Regroupant la crème des professionnels du domaine de la protection de la vie privée et des données, notre équipe chevronnée sait tirer parti de sa vaste expérience pour créer des solutions efficaces et avantageuses pour ses clients. Grâce à nos conseils et ressources pratiques, vous pourrez évaluer les enjeux juridiques et stratégiques pour votre entreprise quant à un éventail de questions sur le sujet, dont la Loi 25. L'équipe de Gowling WLG est composée de professionnels ayant fait partie du personnel politique de haut niveau ayant occupé des postes gouvernementaux importants ou contribué à l'élaboration de politiques et de régimes législatifs et réglementaires. Notre objectif? Faire en sorte que vous puissiez participer pleinement au débat politique tout en conservant une longueur d'avance dans le paysage législatif dynamique de la protection de la vie privée. N'hésitez donc pas à explorer nos ressources ou à communiquer avec un membre de notre équipe pour entamer un dialogue.
Le Bureau de la publicité interactive du Canada (IAB Canada) est le porte-parole national et le leader d'opinion de l'industrie canadienne de la publicité et du marketing interactifs. Il s'agit de la seule association professionnelle qui se consacre exclusivement au développement et à la promotion du secteur de la publicité et du marketing numériques au Canada. En tant qu'organisme sans but lucratif, IAB Canada représente plus de 250 annonceurs, agences de publicité, entreprises médiatiques, prestataires de services, établissements d'enseignement et organismes gouvernementaux figurant parmi les plus respectés au pays. Parmi ses membres, on compte diverses parties prenantes du secteur de la publicité et du marketing numériques en pleine croissance au Canada, notamment un grand nombre de petites et de moyennes entreprises.
En tant qu'unique organisme consacré entièrement au développement et à la promotion de la publicité numérique et interactive au pays, IAB Canada collabore avec ses membres afin :
IAB Canada est une organisation constituée et exploitée de façon indépendante : elle n'est ni détenue, ni contrôlée, ni exploitée par un autre Bureau de la publicité interactive. Toutes les marques de commerce et tous les noms sont utilisés sous licence. Si IAB Canada et les autres Bureaux internationaux de la publicité interactive collaborent étroitement dans le cadre de projets et d'initiatives d'envergure, chaque pays possède son propre programme d'adhésion. Pour en savoir plus, rendez- vous au www.iabcanada.com
1 Toutes les questions étaient optionnelles. Certaines organisations n'ont pas répondu à toutes les questions. Sauf indication contraire, les pourcentages indiqués ci-dessous ont été calculés à partir du nombre total de réponses reçues pour chaque question, au lieu du nombre total de répondants à l'enquête. La taille des échantillons pour chaque question variait de 87 à 46.
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.