Projet de loi 64 : la sécurité des données au cœur des départements RH

En entreprise, un nombre important d’informations sensibles circule au quotidien. La sécurité de ces données doit être une priorité.

C’est pourquoi les départements RH doivent prendre leur place dans la gestion de ces données qui est, jusqu’à présent, encore trop souvent laissée aux services informatiques.

Il y a pourtant des principes de protection de données personnelles dans le code de déontologie de l'ordre des CRHA et des CRIA!

Ces principes viennent directement s’attacher au projet de loi 64,  adopté ce 14 octobre, qui compte faire évoluer la protection des données personnelles au Québec.

PROJET DE LOI 64, COUSIN QUÉBÉCOIS DU RGPD

Le projet de loi 64 fait beaucoup de bruit depuis plusieurs mois au Québec.

Il est important de prêter une attention toute particulière à cette nouvelle loi qui impose de nouvelles obligations notamment aux entreprises québécoises tout en augmentant significativement les pouvoirs de la Commission d'accès à l'information (« CAI »).

"La volonté du gouvernement de mieux protéger les renseignements personnels des Québécoises et Québécois", comme expliqué par le Cabinet du ministre délégué à la Transformation numérique gouvernementale dans un communiqué.

La nouvelle loi va donc venir favoriser la transparence, rehausser le niveau de confidentialité des données et renforcer le consentement des utilisateurs.

Un lien naturel se fait entre le Règlement général sur la protection des données (RGPD) européen et le projet de loi 64 du Québec.

Pour rappel, l'objectif de la réglementation RGPD est d'harmoniser la gestion des données personnelles au niveau européen. La loi a été votée en 2016 et implantée en 2018. Cette réglementation touche non seulement les entreprises européennes, mais également les organisations internationales gérant, d’une manière ou d’une autre, des données européennes (clients, branches en Europe…).

Ainsi, pour certaines d’entreprises québécoises, le projet de loi 64, si voté, n'est qu’un ajout à des changements déjà implantés avec le RGPD.

En effet, les deux textes ont comme but premier de réformer les obligations incombant aux organismes publics et aux entreprises du secteur privé en matière de protection des renseignements personnels.

Un des aspects communs aux deux textes est le concept de responsable de protection des données.

Le responsable de la protection des données est l'interlocuteur privilégié. Il a la connaissance et les compétences pour évangéliser la notion de protection des données au sein de l'entreprise, d'une part en termes de sensibilisation, mais aussi pour s'assurer que les règles sont bien mises en place.

Devenu quotidien pour les entreprises faisant d’ores et déjà affaire en Europe, il fait partie des aspects de cette loi à surveiller de près.

Plusieurs recommandations suggèrent de choisir un membre de la haute direction dans l’entreprise pour cette tâche primordiale. Il pourrait ensuite se faire appuyer ou accompagner par une personne dans l’organisation.

Cela  permettra de démontrer l'importance de la protection des données personnelles car cette question touche toutes les sphères de l’organisation.

UNE COMMISSION CRÉÉE POUR LA CONFIDENTIALITÉ DES DONNÉES

Le projet de loi 64 prévoit également des protocoles précis en cas d’incidents ou de fuites de données.

Tout d’abord, les entreprises seront obligées de divulguer les fuites auprès des personnes concernées, mais également d'en aviser la Commission d'accès à l'information. La Commission pourra également imposer des sanctions administratives pécuniaires aux contrevenants.

Cela assurerait que toutes les personnes concernées soient mises au courant d'une fuite potentielle, mais également de mener des analyses à postériori afin d’éviter que de tels incidents ne se reproduisent.

Évidemment, afin de pouvoir être transparent en cas d’incidents, encore faut-il être capable de reconnaître lorsqu’il y en a.

C’est pourquoi nous conseillons aux entreprises de réfléchir à l’implantation de systèmes sécurisés qui assureront le contrôle sur ces systèmes, mais aussi que les données au sein de ces systèmes soient sécurisées.

Un SIRH permet, entre autres, de centraliser et de sécuriser les données d’une entreprise à un seul et même endroit. Il permet également une granularité des données en tout temps. Ainsi, les équipes peuvent identifier clairement qui a accès à certaines données et agir en fonction!

LE PROJET DE LOI C-11, ÉQUIVALENT FÉDÉRAL

Le gouvernement du Québec a été le premier à passer à l’action en déposant le 12 juin 2020 son projet de loi 64.

En novembre, le gouvernement fédéral a emboîté le pas en introduisant le projet de loi C-11, la Loi de 2020 sur la mise en œuvre de la Charte du numérique, qui propose de remplacer la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) par une nouvelle loi applicable au secteur privé.

Une fois adopté, le projet de loi C-11 propose lui aussi d’accorder de nouveaux droits aux individus, d’imposer de nouvelles obligations aux organisations, notamment pour les forcer à être plus transparentes. C-11 propose aussi d’octroyer des pouvoirs accrus au Commissaire à la protection de la vie privée du Canada, d’instituer un nouveau Tribunal de la protection des renseignements personnels et des données et prévoit des pénalités substantielles en cas de manquements ou d’infractions à la loi.

Un projet très similaire à celui de la province québécoise.

Le cabinet d'avocats Fasken, présent au Canada, au Royaume-Uni, en Afrique du Sud et en Chine, offre un tableau résumant et comparant les principales dispositions visant le secteur privé des deux régimes proposés.