Protection des renseignements personnels et « loi 64 » : profiter des retours d’expérience du RGPD

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (connue sous le nom de « loi 64 ») vient d’être adoptée par l’assemblée nationale du Québec. Quelle que soit leur taille, les organisations québécoises doivent commencer à s’y conformer dès aujourd’hui de manière graduelle et elles devront s’y conformer entièrement d’ici 2023. Mais par où commencer ? Pour y répondre, revenons sur le webinaire consacré à ce sujet au début de l’été dans le cadre de nos événements virtuels Perspectives et échanges - conversations avec les leaders d’opinion d’aujourd’hui.

Très largement inspirée du RGPD (Règlement général sur la protection des données) européen, la « loi 64 » entrera en vigueur progressivement et certaines obligations s’appliqueront dès le 22 septembre 2022. Les entreprises ont tout intérêt à se pencher sur le dossier sans tarder. Bonne nouvelle : les retours d’expérience des entreprises européennes où le RGPD est appliqué depuis mai 2018 représentent une matière précieuse pour baliser les chantiers et initiatives à lancer. Voilà pourquoi notre webinaire consacré à ce sujet dans le cadre de nos événements virtuels Perspectives et échanges a accueilli Walid Cheriaa et Hervé Ysnel, experts de CGI Business Consulting à Paris en matière de cybersécurité, de gestion des risques et de conformité aux lois et règlements.

L’objectif est le même : conduire les entreprises à intégrer l’approche de « protection de la vie privée dès la conception » (privacy by design) dans l’ensemble de leurs services et processus. Au cœur du dispositif, la notion de renseignements personnels. Celle-ci désigne toute information qui, de manière directe ou indirecte (en combinaison avec d’autres données), permet d’identifier une personne.

Collecter les données de manière loyale

Sans surprise, les modalités de la collecte du consentement représentent un principe clé de la gestion des renseignements personnels. Ce consentement doit être libre, éclairé et manifeste. En un mot : loyal. Voilà qui doit conduire chaque entreprise à faire œuvre de transparence quant à la finalité d’une collecte de données et au traitement de ces données. Le principe du RGPD et de la nouvelle loi québécoise est de limiter la collecte de ces renseignements personnels selon les finalités et les objectifs des services correspondants.

Autre point que l’on peut comparer : les pénalités en cas de manquements tels qu’une collecte illégitime, une conservation de renseignements au-delà des délais convenus ou une non-déclaration d’incidents de confidentialité (un piratage par exemple). La « loi 64 » évoque des sanctions administratives ainsi que de potentielles poursuites pénales. Autant dire que la gestion des risques liés à une non-conformité est un sujet à part entière…

Ne pas sous-estimer les travaux préparatoires

En plus d’un calendrier dorénavant établi par la « loi 64 », le risque de pénalités suffira probablement à encourager les entreprises québécoises à presser le pas sur le sujet et s’épargner le stress vécu par les entreprises européennes. Entre l’entrée en vigueur du RGPD en 2016 et son application en 2018, celles-ci se sont souvent montrées trop attentistes. « Résultat : beaucoup d’organisations ont dû arrêter des projets de données et reprioriser parce qu’elles n’étaient pas en mesure de se conformer à temps au RGPD. Les deux années entre 2016 et 2018 n’ont pas suffisamment été mises à profit pour mener le travail préparatoire », analyse Walid Cheriaa, expert de CGI Business Consulting à Paris et spécialiste en conformité, risque et contrôles internes.

Au Québec, l’application de la loi se fera graduellement d’ici 2023, donnant du temps aux entreprises pour se préparer comme cela a été le cas avec le RGPD. Ce temps doit être mis à profit. En s’appuyant sur ces retours d’expérience, des travaux peuvent être entamés dès maintenant :

• dresser une cartographie des données pour identifier les redondances et les données inutiles, notamment les renseignements personnels particulièrement sensibles;
• référencer dans un registre des traitements toutes les opérations qui manipulent des renseignements personnels pour disposer d’une vue globale de leur circulation au sein du système d’information et des risques associés;
• mener une évaluation des facteurs relatifs à la vie privée (EFVP) pour les traitements sens

Nommer un responsable des renseignements personnels au plus vite (avant le 22 septembre 2022)

Lancer ces chantiers suppose de nommer un responsable des renseignements personnels qui va veiller à assurer le respect et la mise en œuvre de la Loi. En fonction de la gouvernance et de la taille des organisations, cette responsabilité pourra incomber à une ou plusieurs personnes.

En France, le délégué à la protection des données, appelé DPD (ou DPO, de l’anglais Data Privacy Officer) est un poste à part entière. « Ce rôle ne doit pas être sous-estimé, prévient Hervé Ysnel. En France, par exemple, on a parfois pensé cette fonction dans la continuité du correspondant Informatique et Libertés ce qui était une erreur… ». Le DPO est responsable de coordonner la réponse globale de l’organisation pour faire du concept de la « protection de la vie privée dès la conception » une réalité. En d’autres termes, il ne peut se limiter à un rôle d’encadrement et doit être responsable de la mise en œuvre de la protection des renseignements personnels.

« Le DPO et la direction juridique sont les premiers relais pour interpréter les textes et les traduire sous la forme d’une politique d’entreprise, précise Walid Cheriaa. Sur cette base, la direction TI peut décliner des processus opérationnels. Quant au directeur des données (ou CDO, de l’anglais Chief Data Officer), son rôle s’avère également décisif pour comprendre les données impliquées et maîtriser les environnements dans lesquels elles sont enregistrées. En quelque sorte, le DPO (avec la direction juridique), la direction TI/Sécurité et le CDO représentent le triumvirat qui porte ces chantiers de conformité. »

Au fil des travaux, d’autres fonctions clé de l’organisation pourront être mobilisées :

• les fonctions de contrôle : responsable de la cybersécurité, responsable de la conformité, gestionnaire des risques, etc.;
• la direction des ressources humaines, dont les processus touchent des données et des renseignements sensibles sur les salariés;
• la direction des achats qui fait appel à la sous-traitance sera amenée à formuler des obligations précises dans les contrats;
• les communications internes, pour assurer la sensibilisation et la formation des collaborateurs

Aborder la « loi 64 » comme un projet d’entreprise global

Autre apprentissage qui nous vient de l’expérience européenne : comprendre l’échelle à laquelle conduire le projet. « Dans de grands groupes européens, on a parfois vu des entités qui, chacune dans leur coin, s’occupaient de gérer leur propre mise en conformité avec le RPGD. Dans la mesure où les sanctions s’appliquent à l’échelle d’un groupe, une approche globale s’impose avec une stratégie cohérente et homogène qui sera élaborée et appliquée de manière uniforme dans toutes les entités du groupe », recommande Hervé Ysnel, également expert de CGI Business Consulting à Paris sur les questions de cybersécurité et la gestion des risques.

« C’est un projet d’entreprise, global, qui doit donc avoir un promoteur (un sponsor) de haut niveau », souligne Hervé Ysnel. Et pour cause : au-delà des risques financiers, la qualité de la conformité avec cette règlementation à venir engage la réputation de toute l’entreprise. « Il y a d’ailleurs de la valeur à aller chercher sur ce terrain. Les entreprises ont tout intérêt à être proactives, à déployer un discours pour montrer qu’elles s’investissent sur le sujet. Mettre en valeur la confiance numérique est créateur de valeur », estime Hervé Ysnel.

Des règlementations comme le RGPD et la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« loi 64 ») permettent également de renouveler la réflexion sur des sujets tels que la gouvernance des données ou la politique de cybersécurité. Transformer en opportunité stratégique ce qui se présente en premier comme une contrainte règlementaire : voilà sans doute ce qui doit inspirer les démarches à venir autour de cette nouvelle règlementation. Par conséquent, les organisations québécoises de toutes tailles sont encouragées à être proactives et à entreprendre les travaux de mise en conformité dès maintenant afin de tirer profit du délai d’application graduelle de la loi.

Il est important de noter que nous ne donnons pas de conseils juridiques ou des conseils sur les implications légales du RGPD et de la « loi 64 ».