Se dire conforme c’est bien, mais pouvoir le démontrer c’est encore mieux! : Regard sur le Projet de loi 64 et la notion de programme de gestion de la protection de la vie privée
Autres articles à lire sur le sujet:
- Nouveau projet de loi en matière de protection des renseignements personnels
- Projet de loi n°19 : une petite révolution dans le domaine des données médicales
- Projet de loi n°64 – Que faut-il savoir de son adoption et son entrée en vigueur?
- Le projet de loi 64 et les fables de Jean de La Fontaine : pourquoi devriez-vous songer à adopter la stratégie de la tortue
- Projet de loi n°64 – Comment la modernisation des obligations en matière de protection des renseignements personnels affectera-t-elle votre entreprise?
- Projet de loi C-11 et renseignements personnels : le fédéral enclenche son processus de réforme
Se dire conforme c’est bien, mais pouvoir le démontrer c’est encore mieux! : Regard sur le Projet de loi 64 et la notion de programme de gestion de la protection de la vie privée
Le 12 juin dernier, l’Assemblée nationale annonçait une réforme importante de la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP »)en déposant le Projet de Loi n°64[2] (« PL64 »). Parmi les changements prévus, notons notamment l’obligation de mettre en place des politiques encadrant la protection des renseignements personnels (« PRP »), la nomination d’un responsable pour en assurer la mise en œuvre, de même que de nouvelles exigences relatives à la destruction ou à l’anonymisation des renseignements personnels (« RP »), aux évaluations de facteurs relatifs à la vie privée et à la gestion des incidents.
Ainsi, le PL64 introduit de façon formelle la nécessité de mettre sur pied un Programme de gestion de la vie privée (« PGVP »), aussi connu sous le nom de programme de conformité. En effet, à son article 144, le PL64 ajoute une nouvelle disposition[3] à la LPRPSP, laquelle permet à la Commission d’accès à l’information (« CAI ») d’exiger la production de tout renseignement ou de tout document permettant de vérifier l’application de la LPRPSP. Étant donné que le PL64 prévoit également qu’« une décision de la CAI ayant pour effet d’ordonner à une partie de faire quelque chose est exécutoire à l’expiration des 30 jours qui suivent la date de sa réception par les parties »[4], toute entreprise devrait prendre la mise sur pied d’un tel PGVP au sérieux et en faire une priorité d’affaires. Qui plus est, les statistiques maintenant disponibles permettent de démontrer le retour sur investissement des entreprises ayant mis en place de tel PGVP.[5]
Bien que la mise en œuvre et le maintien d’un PGVP à la fois conforme à la législation et adapté à la réalité de votre entreprise puissent sembler complexes, plusieurs modèles existent déjà afin de vous servir de point de départ. Afin de vous accompagner dans cette réflexion, nous vous présenterons, dans ce bref article, certaines considérations universelles lors de l’élaboration d’un tel PGVP.
Programme de gestion de la vie privée : Par où commencer!
L’objectif de tout PGVP étant d’assurer un respect efficace des règles, la pérennité de l’entreprise et la protection des RP et de la vie privée des individus, il est ainsi primordial, afin d’atteindre ce but, de porter une attention particulière à l’engagement de l’organisation, à la mise en place de politiques et mécanismes appropriés ainsi qu’à l’évaluation des risques.
1. L’engagement de la haute direction
L’appui de la haute direction est sans aucun doute l’un des éléments essentiels à la réussite d’un PGVP. En effet, les orientations choisies par la haute direction définissent l’engagement – et l’utilisation des ressources – de l’entreprise, de sorte que la valorisation du PGVP par celle-ci permet d’ancrer les exigences en matière de PRP à même la culture d’entreprise.
Ainsi, avant même de songer à mettre en place un PGVP, vous devriez d’abord et avant tout élaborer la mission ou la vision de l’entreprise en matière de PRP et de vie privée. Cette étape est importante afin d’assurer un consensus au sein des diverses parties prenantes et ainsi faciliter son acceptation lors de la mise en œuvre. Cette mission/vision devrait notamment traiter les points suivants :
- La valeur accordée par votre entreprise au respect de la vie privée et à la PRP;
- Les objectifs de votre entreprise à cet égard;
- Les stratégies pour orienter les tactiques utilisées pour atteindre les résultats escomptés; et
- La clarification des rôles et responsabilités au sein de l’entreprise.
Cet engagement par la haute direction doit également être accompagné par la nomination d’un responsable PRP (« RPRP »). En effet, qu’il s’agisse d’un cadre d’une grande entreprise ou du propriétaire d’une petite organisation, une personne doit assumer la responsabilité officielle eu égard à la LPRPSP. Bien que cette exigence faisait déjà partie de plusieurs lois, comme par exemple la Loi sur la protection des renseignements personnels et les documents électroniques, au fédéral,ou le Règlement général sur la protection des données, en Europe, il s’agit ici d’une nouvelle disposition ajoutée dans le cadre du PL64.
À noter que le PL64, nomme, par défaut, la personne ayant la plus haute autorité au sein de l’entreprise comme RPRP en prévoyant toutefois la possibilité de déléguer cette responsabilité. Bien que cette délégation ne soit pas nécessaire pour une entreprise de très petite taille, notre expérience démontre que des organisations de moyenne et grande taille auraient tout intérêt à déléguer cette responsabilité à une personne dédiée spécifiquement à cette fonction.
Une bonne façon d’assurer la légitimité du RPRP au sein de votre organisation, si cette responsabilité est déléguée, est notamment par la création et mise en œuvre d’une politique interne dans laquelle vous pourrez également officialiser les éléments relatifs à votre mission/vision et ainsi détailler les responsabilités que vous attribuez au RPRP et à toute autre personne œuvrant au sein de l’organisation. Cette politique servira également de « guide », à l’interne, afin de rappeler aux employés et cadres leurs obligations en matière de PRP.
2. La mise en place d’un PGVP
Pour mettre en œuvre un PGVP, rien ne sert de réinventer la roue. Si vous avez déjà en place des programmes de conformité au sein de votre entreprise, des programmes de gestion des risques ou un programme de gestion de la sécurité de l’information, vous pourrez fort possiblement établir votre PGVP à partir des bases de ces programmes et même, à certains égards, réutiliser ou adapter la documentation déjà existante.
Voici quelques éléments à prendre en considération :
- Valider/vérifier s’il existe déjà, au sein de votre organisation, des programmes, processus ou procédures pouvant être réutilisés ou dans lesquels votre PGVP pourrait s’intégrer;
- Définir l’étendue de votre PGVP (Lois applicables, règles sectorielles, etc.);
- Structurer votre équipe responsable de la PRP (Une seule personne? Un RPRP et des employés sous sa responsabilité? Des répondants par secteurs?);
- Développer une stratégie alignée avec les objectifs d’affaires de votre organisation et de ses différents secteurs (Sécurité de l’information, marketing, ventes, etc.); ou
- Choisir un cadre de référence (Privacy framework en anglais) à suivre (Est-ce la loi elle-même? Le cadre proposé par une firme externe?)
3. L’état de la situation
Maintenant que vous avez mis en place une politique interne, que vous avez nommé un RPRP et que vous avez défini et identifié le cadre de référence à suivre, vous pouvez désormais faire un état de la situation, c’est-à-dire évaluer et identifier l’écart entre votre cadre de référence et ce que vous avez réellement en place au sein de votre entreprise.
En comparant votre cadre de référence aux processus, procédures et pratiques actuelles de gestion de la vie privée dans l’organisation, vous pourrez évaluer l’ampleur de la mise en conformité, déterminer les éléments à prioriser et y appliquer les meilleures pratiques.
Voici quelques pistes afin de vous guider dans votre évaluation :
- Identifier les RP en votre possession c’est-à-dire quels types de RP sont en votre possession, qui les utilise, les manipule ou y accède et comment vous les utilisez;
- Identifier les exigences légales;
- Faire un examen des capacités des systèmes actuels, des outils de gestion, du matériel informatique, des systèmes d’exploitation, des compétences des administrateurs, de l’emplacement des systèmes, des services d’externalisation et de l’infrastructure physique;
- Garder en tête l’alignement avec les stratégies, objectifs et buts de l’entreprise, l’efficacité des contrôles en place, le risque lié au projet, au programme et à l’organisation ainsi que les coûts de mise en œuvre/mise à niveau; et
- Documenter votre évaluation
Une fois votre analyse effectuée, vous pourrez, si vous le désirez, évaluer votre niveau de maturité. Les modèles de maturité sont des méthodes reconnues par lesquelles les organisations peuvent mesurer les progrès réalisés par rapport à des points de référence et des mesures établis.[6] Cela vous permet notamment de vous positionner par rapport au reste de l’industrie.
Finalement, en effectuant un tel état de la situation, il vous sera plus facile de déterminer par où et comment commencer votre mise à la conformité au regard de la LPRPSP, en plus de vous indiquer les zones pouvant générer des risques juridiques au sein de votre entreprise et donc les éléments nécessitant votre attention immédiate.
4. L’élaboration de politiques et procédures internes
Bien qu’il puisse parfois paraître ardu et sans réelle plus-value de rédiger des politiques et procédures internes, cela permet pour autant à l’entreprise de démontrer facilement, à tout le moins, son réel désir de se conformer à la législation en plus d’être une bonne façon d’informer et guider les employés sur ce qu’ils doivent ou ne doivent pas faire.
Suivant les indications du Commissariat à la protection de la vie privée du Canada[7], les principales politiques dont les organisations doivent se munir sont les suivantes :
- Collecte, utilisation, communication des RP, y compris les exigences en matière de consentement et d’avis;
- Accès aux RP et leur correction;
- Conservation et élimination des RP;
- Utilisation responsable des renseignements et des technologies de l’information;
- Possibilité de porter plainte à l’égard du non-respect des principes.
À cette liste devraient également s’ajouter des politiques et procédures relatives au télétravail, à la gestion des fournisseurs et à la gestion des incidents pour ne nommer que celles-ci. Dans les faits, une entreprise devrait avoir en place des politiques et procédures permettant de protéger les RP, et ce, tout au long de leur cycle de vie, c’est-à-dire de leur collecte à leur destruction ou anonymisation.
5. La conformité en continu
Pour que le PGVP fonctionne et soit efficace, les organisations doivent également faire preuve d’efforts soutenus, lesquels impliquent d’offrir des programmes de formation et de sensibilisation à la protection de la vie privée, d’assurer un suivi des efforts de conformité et d’évaluer et réviser régulièrement les politiques et mécanismes de contrôle du PGVP.
Tout bon PGVP doit prévoir un programme de formation afin que tous les membres de l’organisation soient au fait des obligations en matière de PRP et de respect de la vie privée. Une organisation pourrait se doter des meilleures politiques internes, mais à quoi bon si celles-ci ne sont pas connues et appliquées correctement par les employés.
Un bon programme de formations devrait viser l’ensemble des employés, incluant les cadres, et devrait couvrir, au minimum, les sujets suivants :
- Les lois et politiques applicables en matière de protection de la vie privée;
- Des techniques afin d’identifier et de reconnaître les violations potentielles;
- Le traitement des plaintes en matière de protection de la vie privée; et
- Les conséquences de la violation des lois et des politiques en matière de protection de la vie privée.
L’humain étant reconnu comme le maillon faible en matière de PRP, il est d’autant plus important de sensibiliser ces employés, et ce, à plus d’une reprise pendant l’année.
Les organisations doivent également prévoir un plan de surveillance afin de s’assurer que leur PGVP est fonctionnel et à jour et que les mesures en place sont efficaces, c’est-à-dire qu’elles répondent vraiment au besoin pour lequel elles ont été mises en place. En effet, ces vérifications régulières devraient permettre de déceler toute nouvelle menace ou nouveau risque, et ce, tout en déterminant si les contrôles existants sont adéquats pour y faire face. En d’autres termes, il s’agit essentiellement d’effectuer un audit interne des pratiques, procédures et contrôles mis en place.
L’application d’un tel programme de surveillance est normalement du ressort du RPRP. Celui-ci devrait mettre en place un plan concret, incluant un calendrier de révision de l’ensemble des politiques ou autres mesures prévues par le PGVP.
Voici certains éléments qui devraient être pris en compte lors de votre audit :
- Tout changement dans l’entreprise, tel que de nouveaux secteurs d’activité ou de nouvelles zones géographiques qui peuvent avoir une incidence sur les contrôles du programme;
- Les changements de la loi qui affectent les niveaux de conformité ou de risque; et
- Les domaines à améliorer sur la base des résultats de la surveillance, des plaintes ou de toute autre documentation.
Un programme de gestion de la vie privée permet à l’entreprise non seulement de démontrer sa conformité à la législation, mais également de s’assurer que la protection de la vie privée et des RP est intégrée dans toutes les initiatives, programmes ou services de l’entreprise. À maturité, un tel programme permet non seulement d’être proactif et de gérer adéquatement les risques, mais il crée également de la plus-value et un retour sur investissement.
Vous désirez prendre de l’avance et débuter la mise en place d’un tel programme? Nos professionnels sont là pour vous!
Autres articles à lire sur le sujet:
- Projet de loi n°64 – Comment la modernisation des obligations en matière de protection des renseignements personnels affectera-t-elle votre entreprise?
- Le Projet de loi 64 et les fables de Jean de la Fontaine : Pourquoi devriez-vous songer à adopter la stratégie de la tortue
Nos professionnels en protection des données, vie privée et cybersécurité
Vincent Bergeron
Avocat et agent de marques, associé
vbergeron@robic.com
Voir son profil
Vanessa Deschênes
Avocate
deschenes@robic.com
Voir son profil
Jules Gaudin
Avocat
gaudin@robic.com
Voir son profil
Marcel Naud
Lawyer and Trademark Agent
naud@robic.com
View his profile
Jean-François Normand
Lawyer
normand@robic.com
View his profile
[2] Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Pour plus d’information, voir notre article : Projet de loi no. 64- Comment la modernisation des obligations en matière de protection des renseignements personnels affectera-t-elle votre entreprise?
[3] Nouvel article 81.2 LPRPSP (art. 144 PL64).
[4] Art. 128 PL64.
[5] 97% des entreprises reconnaissant gagner un avantage concurrentiel à la suite de leurs investissements en matière de PRP. Voir notamment Cisco Cybersecurity Series 2019 – Consumer Privacy Survey.
[6] Il existe plusieurs modèles comme par exemple celui de l’AICPA/CICA.
[7] Un programme de gestion de la protection de la vie privée : la clé de la responsabilité, Commissariat à la protection de la vie privée du Canada (2012).