Protection des renseignements personnels en temps de pandémie : les règlements d’ici et d’ailleurs

Depuis son entrée en vigueur en Europe en 2018, le règlement général sur la protection des données (RGPD) a fait du respect des renseignements personnels l’un des sujets les plus populaires dans les milieux d’affaires et réglementaires du monde.

Ce que nous vivons aujourd’hui avec la pandémie peut être considéré comme un grand défi de la RGPD. Si votre entreprise fait affaire dans l’Union européenne (UE) ou offre des biens et services à des individus dans l’UE, il est important de considérer les paramètres de mise en œuvre de la RGDP. La manière dont ce défi est relevé déterminera la capacité de cette loi à protéger les renseignements personnels des individus tout en offrant la flexibilité nécessaire pour lui éviter de devenir un fardeau pour les organisations et un obstacle à la croissance économique.

La pandémie actuelle ne doit pas être considérée comme un feu vert pour se soustraire aux obligations et aux lois en matière de protection des renseignements personnels.

La flexibilité de la RGDP se reflète dans les déclarations de plusieurs législateurs. Par exemple, l’Information Commissionner Office au Royaume-Uni (« ICO ») a souligné que les organisations peuvent manquer de ressources, ce qui pourrait avoir un impact sur leur capacité à se conformer à certains aspects de la loi. En outre, l’ICO a confirmé qu’une approche flexible sera adoptée en prenant en considération l’impact de la pandémie sur l’économie. L’ICO a souligné qu’un soutien sera apporté aux organisations au moment où elles se remettent de cette urgence de santé publique.[1] Toutefois, le législateur indique aussi que les droits des personnes en matière de confidentialité des données restent applicables et doivent être protégés.

En parallèle, la Commission d’accès à l’information du Québec a rappelé que pour les organismes publics et les entreprises privées, les dispositions habituelles en matière de protection des renseignements personnels demeurent applicables.[2] Cela démontre que la pandémie actuelle ne doit pas être considérée comme un feu vert pour se soustraire aux obligations et aux lois en matière de protection des renseignements personnels.

Une person sur son ordinateur

Les menaces envers les renseignements personnels sont réelles et imminentes :

  • La lutte contre la COVID-19 a obligé les organisations à introduire diverses formes de travail à distance.
  • La transition vers cette nouvelle façon de travailler a été soudaine. Par conséquent, si une entreprise n’avait pas auparavant une culture de travail à distance, l’organisation et ses employés peuvent ne pas être adéquatement et suffisamment préparés et formés en termes de risques liés à la protection des données, y compris les données personnelles.
  • Cette nouvelle réalité s’accompagne d’autres défis pour les équipes TI et de sécurité :
    • L’utilisation de réseaux et de routeurs WIFI personnels représente un risque de sécurité accru. Ces dispositifs peuvent être plus facilement compromis que les équipements d’entreprise ce qui augmente le risque de fuite de données.
    • En raison des difficultés de communication en personne, le volume de fichiers échangés par courrier électronique ou sur des sites partagés a considérablement augmenté, ce qui accroît le risque de transférer des informations personnelles sensibles par des moyens moins sécurisés.

 Loi 25 (anciennement projet de loi 64) : un changement de paradigme

Le 12 juin 2020, la ministre de la Justice du Québec, Me Sonia Lebel, a déposé un projet de loi (dorénavant connu sous le nom de Loi 25) visant à moderniser la Loi sur la protection des renseignements personnels.

Lors d’une conférence de presse tenue le même jour, la ministre Lebel a souligné que nos lois actuelles ne sont pas assez robustes pour assurer une protection adéquate des données personnelles[3].

L’implantation de cette loi signifie que les organisations privées et publiques faisant affaire au Québec ou offrant des biens et services au Québec qui utilisent des données personnelles devront faire le nécessaire pour protéger les renseignements personnels. Tout manquement à cette nouvelle loi sera très coûteux pour toute organisation : actuellement, les amendes prévues par la loi ne sont que de 10 000 dollars et de 50 000 dollars en cas de récidive. La loi 25 (anciennement projet de loi 64) augmente ces amendes jusqu’à 25 millions de dollars ou 4 % des ventes mondiales, selon le montant le plus élevé. L’amende minimale est de 15 000 dollars.

De plus, la Commission d’accès à l’information du Québec aurait également le pouvoir d’imposer, dans le secteur privé, des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 2 % des ventes mondiales.

Nous pensons donc que les organisations doivent avoir une idée précise de la manière dont elles utilisent les renseignements personnels, de l’endroit où elles les enregistrent et de comment ces renseignements sont utilisés.

Comment Richter peut-il vous aider ?

Chez Richter, nous sommes conscients du caractère essentiel de la protection des données des organisations. Notre équipe d’experts peut vous aider :

  • mettre en place un cadre, des politiques et des procédures en matière de protection des données personnelles,
  • examiner la robustesse des contrôles et des mesures concernant la protection des données personnelles ;
  • comparer la conception et l’efficacité opérationnelle de vos pratiques avec les exigences des meilleurs cadres et lois (RGPD…) ;
  • former vos équipes pour un meilleur traitement des données ;
  • dresser un inventaire des données personnelles collectées, traitées et stockées par l’entreprise ;
  • établir une cartographie des données personnelles collectées, traitées et stockées par l’entreprise ;
  • s’assurer que les équipes TI et de sécurité disposent des ressources adéquates pour aider les organisations à surmonter les défis de la nouvelle réalité des affaires.

 

[1] https://ico.org.uk/media/about-the-ico/policies-and-procedures/2617613/ico-regulatory-approach-during-coronavirus.pdf

[2] https://www.cai.gouv.qc.ca/pandemie-de-covid-19-protection-des-renseignements-personnels-et-securite-de-linformation/

[3] http://www.assnat.qc.ca/fr/actualites-salle-presse/conferences-points-presse/ConferencePointPresse-62359.html