Canada: L'ABC D'un Programme De Conformité En Matière De Renseignements Personnels : Ce Que Vous Avez Toujours Voulu Savoir Et N'avez Osé Demander!

La récente réforme de la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi 25 »)¹  amène son lot de questionnements pour les organisations. Notamment, certaines se demandent par où commencer, comment s'assurer de se conformer à leurs nouvelles obligations tout en mitigeant les risques afférents au traitement des renseignements personnels. La mise en place d'un programme de conformité en matière de renseignements personnels (« Programme PRP ») constitue donc une étape importante afin de satisfaire efficacement à l'ensemble des exigences législatives applicables, dont, notamment, celles portant sur la mise en place de mesures de protection préventives. 

Cette série de bulletins présentée en chapitres démystifiera ce concept, tout en suggérant des mesures concrètes pour entamer votre mise en conformité.

Chapitre 1 : Qu'est-ce qu'un Programme PRP et pourquoi le mettre en place?

Qu'est-ce qu'un Programme PRP?

Il s'agit d'une « approche structurée combinant différentes disciplines dans un cadre permettant à une organisation de se conformer à ses obligations légales et de satisfaire les attentes de ses clients, [employés ou autres parties prenantes] »² en matière de protection des renseignements personnels.

Le Programme PRP se distingue donc du cadre de conformité. Le cadre de conformité pourrait se définir comme un ensemble de règles, structures, processus ou autres contrôles clés permettant à l'organisation de gérer et mitiger ses risques de conformité. Il peut être composé de plusieurs intrants, tels que les obligations légales applicables à l'organisation ou des standards reconnus en matière de protection des renseignements personnels (par exemple : ISO/IEC 27701 : 2019). Le programme, lui, est la méthode qui met en place ce cadre et le fait vivre au sein de l'organisation. Ce dernier est soutenu par des individus identifiés au sein de l'organisation et englobe tant la conception et l'intégration du cadre de conformité aux activités de l'organisation que la mise en place de sa gouvernance, la surveillance et la gestion des risques afférents.

À quoi cela sert-il?

La mise en place d'un tel programme sert à identifier, prévenir et traiter les risques en matière de protection de la vie privée (comme les fuites de données), et à se conformer aux obligations légales.  Il peut aussi apporter plusieurs bénéfices insoupçonnés aux organisations.

Par exemple, en plus d'aider à améliorer la confiance des clients, employés, partenaires ou, plus largement, du public en favorisant une culture axée sur la protection de la vie privée, le Programme PRP permet d'optimiser certains de processus ou activités.

Notamment :

• Structurer ou automatiser les processus liés à l'exercice des droits des individus à l'égard de leurs renseignements personnels (accès et rectification, mais aussi les nouveaux droits à la portabilité des données et à la désindexation³);
• Fournir aux personnes concernées les informations requises au sujet des renseignements personnels collectés par l'entreprise⁴ afin d'améliorer la confiance que ces derniers lui portent;
• Identifier et localiser les renseignements personnels afin d'en faciliter leur protection;
• Donner aux dirigeants et aux administrateurs les informations nécessaires pour prendre des décisions éclairées;
• Valoriser les données de l'organisation en s'assurant que ces dernières soient à jour, que leur utilisation soit proprement documentée et qu'elles puissent être utilisées de façon conforme en obtenant, notamment, les consentements appropriés;
• Cartographier les obligations de l'organisation en matière de protection des renseignements personnels, les accoler à des processus ou des contrôles existants (par exemple, en matière de sécurité de l'information), afin de réduire les coûts de mise en conformité à long terme et même, d'en optimiser l'exécution;
• Permettre d'assurer une gestion efficace et optimale des différentes exigences législatives et réglementaires pour les organisations ouvrant dans plusieurs juridictions;
• Optimiser la vérification diligente des vendeurs, fournisseurs de services ou mandataires;
• Être proactif, agile et efficace lors de la survenance d'incidents de confidentialité qui touchent les renseignements personnels, notamment, en ayant des rôles et des responsabilités bien déterminés, des plans de réponses préétablis et en ayant un meilleur portrait des risques organisationnels en la matière ainsi que des obligations juridiques et réglementaires applicables.

Conclusion

Le premier chapitre de cette série avait pour but de vous familiariser avec le concept de Programme PRP et de vous souligner son importance en vous présentant les bénéfices qu'il peut apporter à votre organisation. Lors du prochain chapitre, nous aborderons l'importante question des rôles et responsabilités des parties prenantes au Programme PRP et présenterons les modèles de structure de l'équipe qui en est responsable.

Footnotes

1 Cette refonte est incarnée par l'adoption du projet de loi 64 le 22 septembre 2021; c'est donc la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021 c 25 qui modifie la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1.

2 Traduction libre avec les adaptations nécessaires de Russell DENSMORE, "Introduction to Privacy Program Management", dans Privacy Program Management. Tools for managing privacy within your organization. 2nd ed., Portsmouth, International Association of Privacy Professionals, 2019, p.254, à la page 1.

3 À ce sujet, voir les articles 27 al.1, 28, 29 de la LPRPSP, 38 à 40 du Code civil du Québec ainsi que les articles 27 al. 1 et 3, 28, 28.1 et 29 de la Loi 25. Pour en savoir plus : https://www.fasken.com/fr/knowledge/projet-de-loi-64/2021/09/23-debut-temps-nouveau-secteur-prive-pl-64-adopte.

4 Par exemple, l'article 8 al.3 de la Loi 25 exige des organisations qu'elles informent, sur demande, la personne concernée des catégories de personnes qui ont accès aux renseignements personnels qui ont été recueillis auprès d'elle, de la durée de conservation de ces renseignements ainsi que des coordonnées du responsable de la protection des renseignements personnels. 

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.