Le Projet de loi 64 et les fables de Jean de la Fontaine : Pourquoi devriez-vous songer à adopter la stratégie de la tortue

Vanessa Deschênes et Jules Gaudin [1]
ROBIC, S.E.N.C.R.L.
Avocats, agents de brevets et de marques de commerce

« Rien ne sert de courir, il faut partir à point ». Telle était la leçon à tirer de la célèbre fable de Jean de La Fontaine, Le lièvre et la tortue. Quel lien entre cette fable de 1668 et le Projet de Loi n°64[2] (« PL64 ») déposé le 12 juin dernier vous direz-vous? C’est justement ce à quoi ce bref article tentera de répondre!

La stratégie de la tortue : Mieux vaut partir à point, anticiper et planifier!

Comme vous avez sans doute pu le constater en lisant nos articles précédents sur le PL64, ce dernier constitue une réforme majeure des lois en matière de protection des renseignements personnels au Québec. Alors que certaines entreprises déjà conformes au Règlement général pour la protection des données (« RGPD ») ne verront pas de grandes distinctions entre la loi québécoise et la loi européenne, et n’auront ainsi pas à planifier de grands chantiers de mise à niveau, les entreprises n’ayant pas déjà emboîté le pas quant à la mise en œuvre de certaines pratiques risquent de trouver la marche un peu haute.

Bien que nous n’ayons pas de certitudes sur le moment exact où le PL64 sera adopté, nous croyons qu’il serait surprenant que le PL64 change du tout au tout, sachant que le Canada (et donc le Québec), a tout à gagner à conserver son statut d’équivalence[3] au regard du RGPD.

Lors de notre analyse du PL64, et en nous appuyant sur notre expérience relativement à la mise à niveau des pratiques afin de se rendre conforme au RGPD, nous sommes d’avis que la stratégie de la tortue pourrait être de mise, et qu’il conviendrait donc de déjà commencer à entamer votre réflexion interne afin d’anticiper l’ampleur du chantier que pourrait représenter la mise à la conformité aux amendements proposées à la Loi sur la protection dans renseignements personnels dans le secteur privé[4] (« LPRPSP »). En adoptant la stratégie de la tortue et ainsi prendre une avance confortable, vous serez encore plus prêt le moment venu!

PL 64 : Un RGPD québécois?

Tel que mentionné dans nos articles précédents, le PL 64 est fortement inspiré du RGPD, lequel est entré en vigueur le 25 mai 2018. C’est dans cette optique que nous désirons vous informer des leçons à tirer de nos amis européens et de tenter de vous éviter certains maux de tête.

A. La mise en conformité prendra plus de temps que vous ne le pensez.

Il ne faut pas sous-estimer le volume de changements de mentalités, de processus et de technologies que peut constituer la mise à niveau aux nouvelles dispositions de la LPRPSP proposées par le PL64. Avec la numérisation des modèles d’entreprise et le volume grandissant de données détenues par les organisations, les entreprises comprennent parfois mal la quantité de renseignements personnels (« RP ») qu’elles détiennent, pourquoi elles conservent ces RP et comment ceux-ci sont utilisés.

En s’appuyant sur les statistiques relatives au RGPD, malgré une période transitoire de deux ans, 40 à 50% des entreprises se disaient encore non-conformes lors de l’entrée en vigueur de cette législation.[5] Pourquoi?

L’explication la plus évidente est que plusieurs nouvelles dispositions insérées dans la législation européenne impliquaient une refonte complète de la façon dont les entreprises géraient leurs données. En outre, pour de nombreuses petites et moyennes organisations qui ne disposaient pas de programmes de protection de la vie privée bien établis, la mise en conformité complète avec le RGPD a facilement nécessité de six à douze mois de préparation. Pour les entreprises de plus grandes envergures, ou celles traitant un volume important et complexe de données, le processus a été encore plus long, voire au-delà du deux ans!

Ainsi, malgré une période transitoire actuellement fixée dans le PL64 à un an – et trois ans quant à la question de la portabilité des données – force est de constater que la mise en conformité prendra assurément plus de temps que vous ne le pensez.

B. Savoir où se trouvent vos données n’est pas aussi facile qu’il n’y paraît, surtout avec des systèmes dits de « legacy »

De nombreuses organisations commencent à réaliser que les RP sont omniprésents dans leurs systèmes. Pour se conformer aux nouvelles dispositions, elles devront pouvoir étiqueter et rechercher tout ce qui se trouve dans leur environnement informatique, des applications existantes aux systèmes de courriers électroniques.  Pour pouvoir gérer les RP ou les supprimer, il faut d’abord savoir où ils se trouvent.

Ainsi, s’attaquer aux systèmes existants qui ne disposent pas de capacités de suppression automatique peut être une tâche colossale. En outre, de nombreux systèmes de base de données existants, notamment ceux contenant des RP sur vos clients peuvent ne pas être en mesure de supprimer automatiquement les données en fonction des dates d’expiration ou des demandes des individus (pensons notamment ici à l’exercice du droit à l’effacement). Sans automatisation, votre entreprise risque de trouver ce type de gestion excessivement pénible et coûteux. Les entreprises devraient, à tout le moins, créer des solutions provisoires pour aider à automatiser ces pratiques de suppression afin que les choses ne passent pas à travers les mailles du filet.

Imaginez une demande de droit à l’effacement : si vous détenez plusieurs vieux systèmes et que les RP des clients se trouvent dans de multiples bases de données au sein de votre entreprise, serez-vous en mesure de connaître tous les endroits où ces données sont stockées? En Europe, nous avons pu constater que de nombreuses organisations luttent pour soutenir le droit à l’oubli en raison de la complexité et de la large diffusion des données dans différentes bases de données, sauvegardes, etc.

C. « Vie privée dès la conception » et évaluation de facteurs relatifs à la vie privée

La bonne mise en œuvre réussie des programmes « vie privée dès la conception » et de « vie privée par défaut » exige que les employés – en particulier ceux qui participent au développement de nouveaux produits et services – aient des connaissances de base suffisantes en matière de protection de la vie privée. Concrètement, cela signifie également que les questions relatives à la protection des RP ainsi qu’au respect de la vie privée des individus ne se situent plus exclusivement au sein du secteur juridique de votre entreprise et doivent être intégrées dans tous les secteurs, que ce soit, le marketing, l’intelligence d’affaires, les ressources humaines et tout autre département utilisant de la donnée.

Des politiques, des lignes directrices et des procédures claires en matière de protection des RP doivent être élaborées et la méthode de développement utilisée au sein de votre entreprise (agile, cascade, etc.) doit être prise en compte afin d’appliquer les concepts tout au long du processus de développement. Cela permettra notamment à vos équipes de développement de prendre les mesures appropriées dans les phases concernées.

De plus, les entreprises croient souvent à tort que sécurité rime avec protection des RP, se pensant ainsi conformes puisque la sécurité de l’information est déjà un élément bien implanté dans leurs processus d’entreprise. Or, la sécurité de l’information n’est qu’un des principes à respecter dans la législation en matière de protection des renseignements personnels et de respect de la vie privée. Ainsi, intégrer les principes de « vie privée dès la conception et par défaut » dans tous les processus de l’entreprise peut s’avérer un chantier en soi!

N’oubliez pas non plus que dans le cadre de la nouvelle mouture de la LPRPSP, les organisations ne seront pas seulement responsables du respect des principes de protection des RP, mais devront également être en mesure de prouver qu’elles les respectent, tel que nous l’avons abordé dans notre second article[6]. Un bon outil pour le faire est la réalisation d’une évaluation des facteurs relatifs à la vie privée, laquelle est d’ailleurs exigée en vertu du PL64. Cette évaluation vous aidera également à identifier les risques d’atteinte à la vie privée dans le cadre de votre nouvelle conception et vous permettra d’ajuster le tir en conséquence. N’oubliez pas de conserver les résultats de cette évaluation. Cela vous permettra de démontrer ultérieurement les raisons qui sous-tendent certaines décisions.

D. Droit à la portabilité des RP

La raison pour laquelle le droit à la portabilité des données aura possiblement un impact important sur votre entreprise est en raison du fait qu’il modifie la relation que vous avez avec les individus et vos clients. En effet, les individus peuvent gérer leurs données sur différentes plateformes, par exemple via un outil ou une application de téléchargement direct. La plate-forme que l’utilisateur préfère recevra finalement tous les RP. Si vous n’êtes pas la plate-forme privilégiée – lire ici préférée de l’individu – vous pourriez être obligé de transférer vos données à un concurrent et éventuellement être invité à effacer les données (si précieuses) que vous avez recueillies au fil des ans. Cela entraîne une plus grande concurrence entre les entreprises et devrait donc être pris en compte lors de la détermination de votre stratégie commerciale.

D’un point de vue technique, les entreprises devront s’assurer que leurs systèmes, produits connectés, applications et dispositifs collectant et stockant des RP sont également munis de fonctionnalités permettant de transmettre les données aux individus (et non pas simplement leur donner accès). Dans certains cas, cela nécessitera que vous réajustiez ou reconfiguriez certains systèmes, produits, applications et dispositifs. En outre, le nouveau droit à la portabilité des données signifie que vous devrez être en mesure d’exporter les données dans un format structuré, couramment utilisé et lisible par les machines, de sorte que la réutilisation des données soit possible. Sachez toutefois que ce droit a certaines limites et son exercice par un individu ne devrait pas faire en sorte de vous créer une charge ou d’obstacle supplémentaire.

En pratique, cela signifie que vous devez non seulement avoir la possibilité de fournir à votre client une copie de tous les RP que vous possédez à son sujet, mais également lui offrir la possibilité de transférer les RP à une autre entreprise ou à un autre prestataire de services. Les données que vous possédez sur un client sont interprétées comme étant toutes les données que l’individu a fournies activement et sciemment. Cela inclut les informations que la personne vous a fournies en utilisant le service ou l’appareil (par exemple, les données de localisation ou les battements de cœur d’un appareil de suivi de la condition physique). Il peut donc s’agir d’une vaste collecte de données. En outre, les données doivent être fournies de manière à faciliter leur réutilisation. Par exemple, le courrier électronique doit être fourni dans un format qui préserve toutes les métadonnées pour permettre une réutilisation efficace. La fourniture de courriers électroniques au format PDF ne suffirait pas, car ce format n’est pas suffisamment structuré pour permettre la réutilisation. Répondre à une demande de portabilité des données pourrait prendre beaucoup de temps et entraîner des coûts considérables pour de nombreuses organisations qui n’ont pas encore adopté une approche de « vie privée dès la conception » pour la conception et la construction de leurs systèmes et de leurs produits et propositions numériques. Ce n’est d’ailleurs pas sans hasard que le PL 64 prévoit actuellement un délai additionnel de 2 ans (donc 3 ans en tout) afin de se rendre conforme à cette nouvelle disposition.

E. Commencer tôt permet d’économiser pour plus tard

En plus d’éviter des amendes et des poursuites judiciaires coûteuses liées à de potentielles violations de la législation sur la protection des données[7], les entreprises qui élaboreront une stratégie de conformité précoce et intentionnelle en préparation à la nouvelle mouture de la LPRPSP pourront fort probablement réduire leurs coûts de transition globaux. Par exemple, les organisations qui ont donné à leurs équipes suffisamment de temps pour planifier et mettre en œuvre les mesures de conformité appropriées sont plus susceptibles d’éviter les efforts inutiles et inefficaces résultant d’une transition précipitée. En outre, la planification stratégique des futures campagnes publicitaires, des applications et des produits pour répondre aux nouvelles dispositions de la LPRPSP peut aider à éviter la nécessité d’apporter des modifications coûteuses à ces investissements futurs.

Comme vous pouvez sans doute le constater, les entreprises qui mettront les efforts nécessaires en matière de protection des RP en amont seront les mieux placées pour la réforme de la LPRPSP et sa mise en œuvre efficace. En mettant au point des processus de documentation, nouant des alliances interservices et considérant la conformité comme un marathon, et non comme un sprint, ces entreprises « tortues » s’éviteront bien des casse-têtes et autres inquiétudes le moment venu.

Vous voulez adopter la stratégie de la tortue, mais ne savez pas par où commencer? Notre secteur Protection des données, vie privée et cybersécurité est là pour vous!

---

[1] Vanessa Deschênes et Jules Gaudin sont avocats chez ROBIC, S.E.N.C.R.L., un cabinet multidisciplinaire d’avocats et d’agents de brevets et de marques de commerce.

[2]Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Pour plus d’information, voir notre article : Projet de loi no. 64- Comment la modernisation des obligations en matière de protection des renseignements personnels affectera-t-elle votre entreprise?

[3] En décembre 2001, la Commission européenne (CE) a publié une décision stipulant que le Canada était considéré comme assurant un niveau de protection adéquat des données à caractère personnel transférées de l’Union européenne (UE) aux destinataires soumis à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). La décision d’adéquation a été réaffirmée en 2006 et doit à nouveau faire l’objet d’une révision en regard du RGPD.

[4]Ch. P-39.1.

[5]Digital Guardian, 2018, en ligne:  https://digitalguardian.com/blog/52-percent-organizations-ready-gdpr#:~:text=According%20to%20a%20recent%20survey,goes%20into%20effect%20next%20month.&text=The%20research%20and%20advisory%20firm,t%20be%20in%20full%20compliance.

[6]Se dire conforme c’est bien, mais pouvoir le démontrer c’est encore mieux! : Regard sur le Projet de loi 64 et la notion de programme de gestion de la protection de la vie privée.

[7]Cela inclut, par exemple, des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise ou 25 000 000 $, selon le montant le plus élevé.