espace membre

Loi 25 : les entreprises sont-elles prêtes?

Les entreprises du Québec, y compris les concessionnaires automobiles et les carrossiers, ont jusqu’au 22 septembre pour se conformer à la Loi 25, qui encadre la gestion des renseignements personnels dans la province. Si vous ne vous en êtes pas déjà occupé, il est grand temps de vous y mettre. Les amendes en cas de non-conformité pourraient être salées.

Le premier volet de la Loi 25 est entré en vigueur en 2022. La loi vise à repenser comment les renseignements personnels sont gérés au Québec. « Les renseignements personnels, c’est ce qui permet d’identifier directement ou indirectement une personne », a résumé Me Angela Nguema, conseillère juridique à la Corporation des concessionnaires automobiles du Québec (CCAQ), à l’occasion du dernier Rendez-vous professionnel de la CCAQ, disponible pour ses membres sur l’Académie de formation. Le nom et le numéro d’assurance sociale d’un employé, notamment, sont des renseignements personnels, ainsi que l’adresse et l’âge d’un client.

Même si la Loi 25 comporte un important volet numérique, il est possible, en fait, qu’elle entraîne le changement des façons de faire dans l’ensemble des entreprises. « La Loi 25 n’est pas seulement en lien avec la cybersécurité », explique Étienne Parent, directeur responsable du développement des affaires de MicroAge Québec, spécialisée dans les services et les conseils informatiques. « Il s’agit beaucoup plus d’une loi qui touche les opérations », ajoute-t-il.

Les informations personnelles des clients et des employés des entreprises ne se trouvent pas que dans les bases de données informatiques. Elles sont inscrites dans les contrats de vente également. On les retrouve même parfois sur des notes autocollantes laissées sur un bureau…

Il faut prendre les renseignements personnels au sérieux. Les entreprises qui prennent la Loi 25 à la légère vont en payer le prix. « On ne sait pas encore ce qui va se passer. Il semblerait que la Commission d’accès à l’information du Québec compte frapper fort et rapidement », note Robert Richelieu, directeur des technologies de l’information à la CCAQ. En cas de non-respect de la loi, la Commission sera en mesure d’imposer des sanctions qui pourraient s’élever à 25 millions $, ou à 4 % du chiffre d’affaires mondial de la société mère.

Il est très important que les entreprises se conforment à la Loi 25 et qu’elles sécurisent bien leur réseau informatique, afin que les renseignements personnels des clients et des employés soient bien protégés. « Ce n’est pas parce qu’une entreprise a installé un pare-feu une fois que les renseignements sont protégés. Elle doit se doter des bonnes technologies, et s’assurer que tout est à jour », rappelle Nicolas Martin, directeur de comptes chez Vidéotron Affaires.

Vous trouverez dans le texte qui suit ce qu’il faut savoir sur la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, mieux connue sous le nom de Loi 25.

Ce que les entreprises devraient avoir déjà fait

Depuis septembre 2022, toutes les entreprises du Québec qui collectent des données personnelles, autant de leurs clients que de leurs employés, devraient avoir désigné une personne responsable de la protection des renseignements personnels.

« Si vous ne nommez pas de responsable, c’est la personne au haut de l’échelle qui devra rendre les comptes », précise Me Angela Nguema.

Le premier volet de la Loi 25, entré en vigueur l’an dernier, encadre notamment ce que les entreprises doivent faire en cas d’incident de confidentialité. C’est le second volet, qui est attendu le 22 septembre 2023, qui demandera le plus d’efforts de la part des entreprises.

Les cinq étapes de la gestion des renseignements personnels

Au cœur de la Loi 25 se trouve la gestion des données personnelles, qui se résume à cinq étapes principales : la collecte, la conservation, l’utilisation, la communication et la destruction.

Collecte

« Les entreprises collectent des renseignements tous les jours », note Me Angela Nguema. Pour plusieurs d’entre elles, la nécessité de se conformer à la Loi 25 pourrait être l’occasion d’adopter de meilleures pratiques de collecte d’informations. « Il n’est pas nécessaire de tout conserver », explique l’avocate. Il est possible que vous ayez besoin du numéro de permis de conduire d’un client pour vos dossiers, mais la photocopie de la carte, elle, est inutile. La collecte doit aussi s’accompagner d’un consentement plus explicite. Le consentement doit être libre et éclairé, et sans ambiguïté. La durée du consentement doit être indiquée, et il doit être présenté de façon distincte de toute autre information communiquée.

Conservation

La Loi 25 encadre la façon dont les renseignements personnels doivent être conservés. Les données numériques doivent être sauvegardées dans un logiciel protégé par un mot de passe, que ce soit sur un ordinateur ou sur un serveur à jour et sécurisé. Il faut également protéger les copies de sauvegarde, évidemment. « On entrepose les données sur papier, elles, dans un endroit fermé à clé », précise Robert Richelieu, de la CCAQ. Il va sans dire qu’une clé maîtresse laissée à la réception ne doit pas permettre d’accéder aux données sur papier. Comme le rappelle Robert Richelieu, en ce qui a trait à la conservation, la modération est de mise : « Vous n’êtes pas obligé de garder tous les documents que vous recevez. S’il est vrai que vous avez besoin du permis de conduire d’un client pour l’essai d’un véhicule, il n’est pas nécessaire d’en conserver une copie. »

Utilisation

Les entreprises ont toujours le droit d’utiliser les renseignements personnels qu’elles amassent. L’utilisation des données, cependant, est désormais plus encadrée. « Parmi les éléments importants de la Loi 25 est le fait de limiter l’accès aux renseignements », explique Étienne Parent, de MicroAge Québec. « Il est normal qu’un service de marketing fasse un suivi auprès d’un client cinq ans après un achat », précise-t-il. Il est important de noter que si l’utilisation qu’une entreprise fait d’un renseignement personnel change avec le temps, elle devra obtenir un nouveau consentement de la personne visée.

Communication

« La communication de données personnelles à des tiers, même en dehors du Québec, est comprise dans la Loi 25 », note Étienne Parent. La communication doit être sécuritaire. Si cette communication de renseignements n’avait pas été prévue au moment du consentement initial, l’entreprise devra obtenir un nouveau consentement.

Destruction

La Loi 25 exige des entreprises qu’elles limitent la période pendant laquelle les renseignements personnels sont conservés. Par exemple, une entreprise n’a pas besoin de conserver le curriculum vitae d’un employé qui a remis sa démission il y a cinq ans. « Dans le cas d’un problème informatique, vous n’appelez pas un employé qui a quitté il y a 10 ans ou un client qui n’a rien acheté depuis 15 ans pour leur dire que leurs données ont été compromises », lance Étienne Parent. Une fois qu’elles sont échues, les données numériques ou sur papier doivent être détruites ou anonymisées. « C’est ce qu’on appelle la dépersonnalisation, qui est irréversible. On fait en sorte qu’il devient impossible d’identifier une personne par ses données », explique Me Angela Nguema. Le service de marketing d’un concessionnaire, par exemple, peut conserver les renseignements sur les tranches d’âge de sa clientèle plutôt que la date de naissance de ses clients.

Des outils pour aider les entreprises

Les entreprises doivent adapter leurs politiques conformément à la Loi 25 d’ici le 22 septembre, afin que leur gestion des renseignements personnels respecte les cinq grandes étapes décrites précédemment. Pour s’y conformer, il y a toutefois plusieurs autres exigences à remplir. Vous devez faire l’inventaire des renseignements personnels que vous détenez et évaluer leur sensibilité. Il existe des outils spécialisés qui vous permettront de créer ces documents et de les maintenir à jour, comme les logiciels de mappage des données (ou data mapping, en anglais).

Il vous faut revoir la façon dont vous obtenez le consentement des personnes pour collecter des données et également mettre en place un mécanisme leur permettant de revenir sur leur consentement. Une entreprise doit s’assurer que ses fournisseurs qui collectent ou utilisent des renseignements personnels pour l’entreprise sont aussi conformes à la Loi 25. Pour illustrer, prenons l’exemple d’un concessionnaire qui, présent à un Salon de l’auto, recueille des renseignements sur des clients potentiels qui ont été amassés par une entreprise de gestion d’évènements. C’est le concessionnaire qui a la responsabilité de s’assurer que le gestionnaire d’évènements est aussi conforme à la loi.

Les entreprises peuvent heureusement obtenir de l’aide afin d’y voir plus clair. Robert Richelieu, de la CCAQ, le rappelle : « Il doit absolument y avoir au sein de l’entreprise une personne responsable, mais elle peut recevoir du soutien de l’extérieur. » Certains consultants accompagnent les entreprises d’un bout à l’autre du processus de conformité, tandis que d’autres se concentrent sur des aspects précis, comme le mappage des données ou l’obtention du consentement.

Un fournisseur technologique comme Vidéotron Affaires peut s’assurer que sa connexion Internet est bien sécurisée, en effectuant la gestion de la cybersécurité ou en mettant en place un réseau de type SD-WAN. Ce type de réseau permet d’établir une connexion entre plusieurs sites, comme les différentes installations d’un même groupe de concessionnaires. Parmi les autres solutions, il y a aussi CloudEXTN, grâce à laquelle une entreprise est connectée directement à ses fournisseurs de services infonuagiques.

« Souvent, lorsqu’on travaille auprès d’une entreprise et qu’on analyse son réseau, on se rend compte qu’il y a plusieurs éléments vulnérables. On réalise aussi que certains appareils n’ont pas été mis à jour depuis longtemps et qu’ils présentent un risque », explique Nicolas Martin, directeur de comptes chez Vidéotron Affaires.

« Grâce à l’accompagnement que nous faisons auprès des concessionnaires, pour les aider à déployer ou à moderniser leurs réseaux informatiques, nous pouvons les protéger contre les pirates et les attaquants. » conclut Nicolas Martin. Les concessionnaires peuvent ainsi conserver en sécurité les renseignements personnels de leurs employés et de leurs clients. (Il est possible de joindre Nicolas Martin par courriel, au nicolas.martin@videotron.com, ou par téléphone, au 438 392-7613.)

La CCAQ a mis en place sur son site Web une boîte à outils accessible à ses membres. On y trouve des capsules vidéo et un aide-mémoire, qui permet aux entreprises d’organiser leur processus de conformité, pour savoir par où commencer. La boîte à outils contient aussi une série de modèles, dont celui d’un avis d’incident pour la Commission d’accès à l’information et celui d’un registre des incidents de confidentialité.

Il est vrai que la conformité à la Loi 25, surtout d’ici septembre, peut sembler une tâche insurmontable. Il faut toutefois s’y mettre. Le temps et le travail nécessaire pour mettre le processus en place varieront d’une entreprise à l’autre, en fonction de la taille et des processus déjà présents au sein des entreprises, ainsi que de leurs différents fournisseurs et partenaires d’affaires. « Cependant, c’est encore faisable », affirme Robert Richelieu, de la CCAQ.

Précisons, pour conclure, que d’autres modalités de la Loi 25 entreront en vigueur en septembre 2024, notamment l’obligation, pour une entreprise, de communiquer, à la personne qui en fait la demande, les renseignements personnels qu’elle a fournis.