Loi 25 | Règles encadrant la gouvernance des renseignements personnels

Nouvelles obligations à compter du 22 septembre 2023

D’ici cette date, les entreprises doivent :

• établir et mettre en œuvre des politiques et des pratiques encadrant leur gouvernance à l’égard des renseignements personnels;
• faire approuver ces politiques et ces pratiques par leur responsable de la protection des renseignements personnels;
• publier sur leur site Internet des renseignements détaillés au sujet de ces règles, en termes simples et clairs.

Note : Si l’entreprise n’a pas de site Internet, elle doit rendre les renseignements accessibles par tout autre moyen approprié.

Quelle est l’utilité d’un tel cadre de gouvernance?

L’objectif est d’assurer la protection des renseignements personnels grâce à une saine gestion et à la responsabilisation des membres du personnel.

La sécurité de l’information n’est pas seulement l’affaire des techniciens informatiques ou des experts en cybersécurité. Dans le cadre de leurs fonctions, de nombreux employés recueillent, manipulent, utilisent et communiquent des renseignements personnels. Par exemple, le service de la comptabilité utilise les coordonnées et les numéros de carte de crédit des clients pour la facturation. L’équipe des ressources humaines gère les dossiers des employés. C’est par ce type d’actions que l’entreprise respecte ou contrevient à ses obligations légales en matière de protection des renseignements personnels. Il est donc primordial qu’au sein de l’entreprise, chacun comprenne ce qu’on attend de lui et soit sensibilisé à la protection de ces renseignements.

Des règles formelles et claires contribuent à prévenir les incidents de confidentialité et à y réagir efficacement.

Enfin, l’élaboration d’un cadre de gouvernance démontre le sérieux que l’entreprise accorde à l’enjeu de la protection des renseignements personnels.

Thèmes à aborder

La Loi énonce que les politiques/pratiques doivent minimalement prévoir :

• les rôles et les responsabilités des membres des équipes pendant tout le cycle de vie des renseignements personnels, c’est-à-dire la collecte, l’utilisation, la communication, la conservation des renseignements et la destruction;
• l’encadrement applicable à la conservation et à la destruction des renseignements;
• le processus de traitement des plaintes relatives à la protection des renseignements personnels.

Forme et format

La Loi prévoit simplement que l’entreprise doit se doter de politiques et de pratiques qui sont proportionnées à la nature et à l’importance de ses activités. Il revient donc à l’entreprise de déterminer ce qui convient le mieux à sa situation et à ses besoins organisationnels.

Le cadre de gouvernance peut prendre diverses formes : une politique unique détaillée, plusieurs politiques courtes, des directives, un guide, etc.

Il est possible de rédiger de nouveaux documents normatifs ou d’enrichir les documents existants. Par exemple, une entreprise ayant déjà une politique générale en matière de traitement des plaintes pourrait choisir d’ajouter une section portant sur les plaintes relatives à la protection des renseignements personnels.

Par où commencer?

1. Faire l’inventaire des renseignements personnels avec lesquels votre entreprise est en contact, que les renseignements soient conservés par l’entreprise elle-même ou par un tiers qu’elle a mandaté (ex. : serveurs infonuagiques).
2. Identifier les types de renseignements personnels collectés et évaluer leur niveau de sensibilité. *
3. Schématiser la façon dont les renseignements circulent dans l’organisation, de leur collecte à leur destruction :
   • Définir les activités pour lesquelles ils sont utilisés;
   • Déterminer les personnes qui doivent y avoir accès;
   • Déterminer la durée de conservation nécessaire.
4. Consulter les membres du personnel et les gestionnaires afin d’obtenir leur avis sur les besoins et les enjeux.
5. Solliciter les personnes ayant des responsabilités en lien avec des domaines connexes à la protection des renseignements personnels, comme la sécurité de l’information, la sécurité physique, la gestion documentaire et l’éthique.
6. Analyser les processus et les politiques déjà en place pour déterminer la manière d’insérer les règles en matière de protection des renseignements personnels dans le cadre général.
7. Rédiger les documents normatifs appropriés.
8. Réviser les politiques/pratiques sur une base périodique et lors de changements dans l’entreprise (ex. : nouvelle collecte de renseignements personnels, réorganisation des services, etc.)

* Note : En général, la Loi prévoit des obligations additionnelles plus exigeantes lorsqu’il est question de renseignements personnels sensibles.

Existe-t-il un modèle?

La Commission d’accès à l’information, responsable de l’application de la Loi, n’a pas encore produit de modèle ou de guide pour élaborer un cadre de gouvernance. Cependant, elle prépare actuellement plusieurs outils. Nous vous informerons de leur publication dans notre bulletin L’Info.

Nous soulignons que le cadre de gouvernance est intimement lié à la situation particulière de l’entreprise. Par conséquent, l’utilisation d’un modèle sans l’adapter à votre contexte n’est pas recommandée. Plusieurs exemples disponibles en ligne peuvent servir d’inspiration. Il est aussi possible d’obtenir les conseils et l’accompagnement d’un cabinet de consultants de votre choix.

Pour toute question concernant la protection des renseignements personnels, nous vous invitons à communiquer avec le Service juridique.

Retour