Protection des renseignements personnels et loi 64 : Six bonnes raisons d’entreprendre les travaux de mise en conformité dès maintenant

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (connue sous le nom de « loi 64 ») vient d’être adoptée par l’Assemblée Nationale du Québec et avec une mise en vigueur qui s’étalonnera jusqu’en 2023, il peut paraître tentant d’attendre. Et pourtant, l’expérience européenne sur le RGPD encourage  les organisations à tirer profit du délai d’application graduelle de la loi.

Se lancer sans attendre alors que la loi 64  sur les renseignements personnels (RP) vient d’être adoptée. Voici probablement l’un des éléments les plus importants apportés par l’expérience européenne : les entreprises ont tout intérêt à lancer les chantiers qui en découlent le plus tôt possible. Se montrer proactif sur le sujet, c’est comprendre et anticiper les risques d’amendes, profiter de cette occasion pour renforcer sa réputation corporative ou encore éviter le report éventuel de projets, notamment ceux liés à des renseignements personnels. Prendre les devants présente donc de nombreux avantages et voici six bonnes raisons d’entreprendre les travaux de mise en conformité dès maintenant.

• Raison #1 : renforcer l’agilité pour mener des projets liés aux RP

Nous l’avons souligné dans notre blogue précédent, les entreprises québécoises ont tout intérêt à puiser dans les gains rapides observés par les entreprises européennes.

Autrement dit, les entreprises pourraient déjà cartographier dès que possible la nature des traitements liés aux renseignements personnels dans leurs systèmes d’information pour identifier les vulnérabilités bien sûr, mais aussi les redondances, les approximations, les sources d’erreurs et, plus globalement, tout ce qui mène à perdre en efficacité.

Les gains d’une telle cartographie menée au plus tôt seront tangibles. En effet, cette initiative permettra aux entreprises d’acquérir des connaissances sur leurs données, qui aujourd’hui sont peut-être manquantes ou incomplètes. Des connaissances indispensables pour, une fois le texte en vigueur, rester suffisamment agile pour maximiser les chances de réussite des projets impliquant des données personnelles. À défaut, ces projets pourraient souffrir de retards importants, liés aux non-conformités.

• Raison #2 : anticiper une possible pénurie des compétences

C’est l’une des leçons apprises par les entreprises européennes confrontées aux échéances du RGPD : trop attendre, c’est prendre le risque de se retrouver confronté à une pénurie des compétences requises pour accompagner les changements induits par la loi 64. Nous ne parlons pas ici uniquement des compétences juridiques pour le soutien dans l’interprétation des textes, la mise à jour de tous les contrats (de vente, d’embauche, d’achat, etc.), mais aussi celles nécessaires pour accompagner les multiples chantiers.

En France, plusieurs mois avant l’entrée en vigueur du RGPD, les entreprises éprouvaient déjà de grandes difficultés à mobiliser des ressources pour les accompagner.

• Raison #3 : tirer profit des nouvelles définitions de la protection des données

Si le RGPD a développé la notion de « pseudonymisation », la loi 64 souhaite introduire pour sa part celle de « dépersonnalisation ». Une information est considérée comme « dépersonnalisée » dès lors qu’elle ne permet pas la réidentification directe d’une personne. Quant à « l’anonymisation », elle est vue comme une alternative à la destruction, puisqu’une information anonymisée ne doit plus pouvoir être rattachée à une personne.

En fonction des consentements collectés et des usages finaux, les entreprises doivent donc clairement statuer sur les renseignements à dépersonnaliser ou à anonymiser. Surtout, elles doivent s’assurer que les solutions mises en œuvre pour dépersonnaliser ou anonymiser sont fiables. À défaut, ce sont tous les projets exploitant de telles données qui pourraient en pâtir.  

• Raison #4 : s’outiller face aux menaces actuelles et à venir

La loi 64 est adoptée dans une période où les cyber menaces se multiplient, et notamment le rançongiciel, cette attaque qui crypte les données et les prend en otage pour mieux les revendre. Avec les sanctions et les obligations de transparence s’accroissent les risques qui pèsent sur l’entreprise et sa réputation corporative en cas de manquement comme en cas d’incident de sécurité.

Il s’avère donc essentiel de questionner les mesures de sécurité en place : les antivirus sont-ils à jour ? Les rustines sont-elles appliquées sur les systèmes ? Des listes noires (pour les sites comme les expéditeurs de courriels) établies ? Les comptes à privilège élevé limités en nombre ? Les plans de recouvrement des activités et de restauration des données prêts, et testés régulièrement ?  Ces questions méritent un diagnostic sur la maturité de la sécurité.

• Raison #5 : intégrer les nouveaux risques liés aux renseignements personnels

Même s’il est possible qu’une certaine période de probation soit accordée aux entreprises, il ne faut pas oublier les conséquences potentielles, qu’elles soient pénales ou administratives.

Les organisations auraient intérêt à étendre le périmètre de leur gestion des risques et faire du respect de la règlementation un projet de conformité à part entière. Attendre l’adoption du texte pour intégrer la gestion de ces risques, c’est s’exposer à des retards d’application, donc à des risques d’amende. Mais au-delà des risques financiers se dessine une opportunité pour les organisations.

• Raison #6 : renforcer la réputation corporative

On l’a compris, les règlementations autour des renseignements personnels sont une occasion de renforcer la sécurité des données à caractère personnel en sa possession. La mise en conformité entend éviter une collecte illicite de renseignements personnels et limiter le risque de fuite de données. Ainsi, il s’agit d’une véritable opportunité pour les organisations de rassurer les clients et les citoyens sur la façon dont elles traitent leurs données, amenant une certaine confiance numérique, et contribuant à sa bonne image.

Il faut le reconnaître, se conformer à la loi 64 demandera du temps et des investissements.

Mais s’y atteler dès maintenant et entamer le chantier autour des renseignements personnels, c’est tirer parti des réglementations, profiter d’une amélioration des processus internes et créer potentiellement un avantage concurrentiel de précurseur non négligeable.
Il est important de noter que nous ne donnons pas de conseils juridiques, ou des conseils sur les implications légales du RGPD et du projet de loi 64.