LA NOUVELLE LOI MODERNISANT DES DISPOSITIONS LÉGISLATIVES EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS EST EN VIGUEUR AU QUÉBEC. VOICI EN QUOI ELLE VOUS CONCERNE.
ARTICLE DE KATE NG
Une nouvelle loi provinciale est entrée en vigueur, obligeant toute entreprise québécoise susceptible de traiter des données personnelles de clients à nommer un responsable de la protection des renseignements personnels, à alerter les autorités provinciales de toute violation de données et à donner aux clients la possibilité de consulter et de supprimer les renseignements personnels identifiables dont l’entreprise a le contrôle.
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, initialement proposée comme projet de loi 64, a reçu la sanction officielle l’an dernier. Cette loi touche toutes les entreprises privées et publiques qui exercent leurs activités au Québec et les oblige à protéger tous les renseignements identifiables sous leur contrôle.
En fait, cela signifie que les ateliers de réparation de carrosserie du Québec peuvent devenir responsables de toutes les données qu’ils traitent : véhicules des clients, diagnostics, renseignements de paiement, outils, etc. S’ils recueillent des données, ils en sont désormais responsables. Le non-respect de cette obligation peut entraîner des pénalités financières importantes pouvant atteindre jusqu’à six pour cent du chiffre d’affaires mondial d’une entreprise, le montant le plus élevé étant retenu.
LE RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DOIT :
• Établir et mettre en oeuvre des politiques et des pratiques régissant l’entreprise et la protection des renseignements personnels.
• Assurer la mise en oeuvre des politiques/pratiques relatives à la conservation et à la destruction des renseignements personnels.
• Définir les rôles et responsabilités des membres de son personnel.
• Établir un processus de traitement des plaintes relatives à la protection des renseignements personnels.
• Évaluer les facteurs liés à la vie privée de tout projet de système d’information ou de prestation de services électroniques.
• Suggérer, à n’importe quelle étape d’un tel projet, les mesures de protection des renseignements personnels prévues par la Loi sur la protection des renseignements personnels dans le secteur privé du Québec.
• Participer à la gestion d’un incident de confidentialité, par exemple en établissant des politiques à cet égard, comme un plan d’intervention dans le cas où un tel incident surviendrait.
DONNÉES ET ATELIER DE CARROSSERIE
Selon la société technologique Privacy- 4Cars, plus de 80 % des véhicules revendus contiennent des renseignements personnels des utilisateurs précédents.
Contrairement à ce que l’on pourrait croire, il s’agit de toutes les données qui peuvent être rattachées à un utilisateur identifiable. Les heures d’utilisation de la chaîne stéréo ne sont peut-être pas identifiables en soi, mais les métadonnées telles que les chansons jouées, les noms des listes de lecture ou les noms de l’utilisateur et de l’appareil sont toutes identifiables, et donc protégées. Comme nous l’avons mentionné précédemment, ces éléments d’information identifiables peuvent se trouver dans vos outils, les véhicules des clients et les ordinateurs des magasins.
Depuis le 22 septembre de cette année, toutes les entreprises du Québec doivent avoir nommé un responsable de la protection des renseignements personnels. En l’absence d’un tel responsable, c’est la plus haute autorité de l’entreprise, comme le PDG ou le président, qui s’en chargera par défaut.
Le responsable des renseignements personnels, dont le nom figure sur le site Web de l’entreprise, est chargé de répondre aux demandes d’information et d’assurer la liaison avec la Commission d’accès à l’information du Québec (CAI).
Il doit s’assurer que l’entreprise informe les clients de la façon dont les renseignements recueillis seront utilisés, des personnes qui peuvent y avoir accès et expliquer les mesures de sécurité prises. Les personnes et les organisations qui accèdent à ces renseignements à partir de l’extérieur de la province doivent également offrir des niveaux de protection similaires. Tous les incidents de confidentialité présentant un risque de blessure grave doivent être signalés à la CAI, et un registre de tous les incidents doit être accessible à la CAI sur demande. L’état de la protection de la vie privée au Canada.
Bien que la Loi fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDE) existe depuis 2000, les mesures d’application nécessaires pour transformer les lois sur papier en décisions pratiques et exécutoires ont toujours manqué.
C’est là qu’interviennent les lois modernes sur la protection des renseignements personnels, comme la LPRPDE et le Règlement général sur la protection des données de l’Union européenne; elles actualisent la législation sur les données à une époque où la plupart des appareils peuvent recueillir, stocker et transmettre des informations identifiables, et font en sorte que ces lois puissent être appliquées dans le monde réel. Bon nombre de ces lois modifient les normes de collecte des données, en faisant en sorte que les consommateurs n’aient pas à faire d’efforts pour retirer les données des mains des entreprises, mais en exigeant de ces dernières qu’elles obtiennent explicitement l’autorisation du consommateur d’une manière conforme à la loi; pas de refus de services ici.
À toutes fins utiles, il s’agit de lois qui obligent les entreprises à protéger les données de leurs clients, plutôt que d’une loi visant à réprimer les petites entreprises. Vous protégez les voitures qui se trouvent dans votre parc; protéger les données de leur carte de crédit et les diagnostics de leur véhicule n’est pas très différent.