L’adoption, le 21 septembre 2021, de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le Projet de loi no 64), impose désormais à toutes les entreprises des obligations additionnelles visant la protection des renseignements personnels des individus ou organisations avec lesquels elles font affaires.
Mais quel est l'impact de ces obligations sur les PME québécoises?
En 2019, la quasi-totalité (99,8 %) des entreprises québécoises étaient des PME, c'est-à-dire qu'elles comptaient moins de 500 employés, et plus de la moitié (53,0 %) comptaient moins de 5 employés.
INSTITUT DE LA STATISTIQUE DU QUÉBEC
Science, technologie et innovation, July 13, 2020
Les technologies de l’information procurent un avantage compétitif appréciable pour ces petites organisations, tant sur le plan de la visibilité que sur celui de la gestion efficace des opérations. Cet avantage est par ailleurs accentué par les technologies infonuagiques qui sont faciles d’accès et ne nécessitent qu’un investissement minimal pour l’organisation.
Ne disposant généralement que de ressources limitées, la plupart de ces petites entreprises ne comptent généralement pas de spécialiste en technologies de l’information parmi leurs effectifs, certaines faisant toutefois appel à des entreprises de services de gestion des T.I. Les changements apportés par le projet de loi 64 signifient que toute entreprise ou organisation opérant dans la province et qui recueille ou conserve des informations sur ses clients, membres ou partenaires sera tenue de prendre des mesures spécifiques pour assurer la protection des informations personnelles qu'elle détient. Ces mesures incluront très probablement des modifications des systèmes d'information existants et pourront parfois nécessiter le déploiement de technologies supplémentaires.
SI VOUS ÊTES PROPRIÉTAIRE OU EXPLOITANT D’UNE PME QUÉBÉCOISE, PEU IMPORTE SA TAILLE, VOUS DEVEZ AGIR DÈS MAINTENANT
D'une manière générale, cette loi impose aux entreprises de toute taille les obligations suivantes (cette liste n'est pas exhaustive) :
IMPUTABILITÉ - L’organisation doit nommer une personne responsable de la protection des renseignements personnels (« RP »).
GOUVERNANCE - L’organisation doit adopter, appliquer et publier ses règles de gouvernance à l’égard de la collecte et de la protection des RP. Elle devra par conséquent informer le citoyen de la nature des RP recueillis, des moyens par lesquels les RP sont recueillis, de leurs droits, de la période de conservation des RP, et des coordonnées du responsable de la protection des renseignements personnels.
DIVULGATION - L’entreprise a l’obligation de divulguer tout cyber incident susceptible de compromettre les RP qu’elle détient. Elle doit aussi, en cas d’incident, prendre les mesures nécessaires afin de minimiser l’impact de l’incident sur les individus concernés, et aussi afin d’assurer qu’un incident similaire ne se reproduise. Finalement, l’entreprise doit maintenir à jour un registre de tous les cybers incidents visant les RP qu’elle détient.
CONSENTEMENT - L’entreprise doit obtenir le consentement explicite et informé de chaque individu dont elle recueille les RP, et ce de façon distincte pour chaque utilisation qu’elle compte en faire. Elle doit expliquer en termes simples et clairs l’usage qui sera fait des RP. En retour, l’individu visé doit poser un geste concret pour signifier son consentement (remplir un formulaire, cocher une case, répondre « oui » à une question).
DESTRUCTION DES RENSEIGNEMENTS - L’entreprise a l’obligation de détruire les RP recueillis lorsque les fins pour lesquelles ils ont été recueillis sont accomplies.
La conformité à ces nouvelles exigences comprend deux volets :
VOLET LÉGAL - Les entreprises devront d’abord s’assurer que les mesures qu’elles comptent adopter sont conformes à la loi et à l’esprit de la loi. Ceci s’applique, par exemple (sans toutefois s’y limiter) à la rédaction d’une politique de confidentialité, à la nature des RP que l’entreprise compte recueillir, et à l’usage qu’elle compte en faire.
VOLET TECHNOLOGIQUE - Une fois ces paramètres établis, sous le volet technologique, l’entreprise devra passer en revue l’ensemble de ses systèmes informatiques, qu’ils soient infonuagiques ou physiques, et procéder aux ajustements nécessaires. Par exemple (sans toutefois s’y limiter) : ajouter leur politique de confidentialité à leur site web ou sur les médias sociaux, ajouter ou modifier les mécanismes requis au consentement, ou mettre en place des mécanismes de protection des données.
Plusieurs des dispositions de la Loi modernisant les dispositions législatives en matière de protection des renseignements personnels ont été rédigées de manière à minimiser l’impact de ces changements sur les petites entreprises.
Nous comprenons que ces changements peuvent sembler intimidants pour les propriétaires de petites entreprises. Nexop peut vous aider à vous y retrouver en vous offrant une solution efficace et simple.
TÉLÉCHARGEZ LE RAPPORT COMPLET
Nexop peut de temps à autre fournir des informations et des ressources aux utilisateurs, y compris, mais sans s'y limiter, des références à des ressources juridiques ou légales. La fourniture de ces informations ou références ne doit en aucun cas être interprétée comme la fourniture d'un avis ou d'une orientation juridique. Nexop encourage les utilisateurs à consulter un avocat pour obtenir des conseils juridiques en rapport avec le contenu offert par Nexop.