Pour souligner la Journée internationale de la protection des données qui vient de passer et mettre en lumière les modifications à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25) du Québec, en vigueur depuis plusieurs mois, nous avons pensé vous fournir sept conseils pour vous aider à établir votre liste de priorités en matière de respect de la vie privée et de protection des renseignements personnels 2024.
1. Planifiez les changements à venir
Évaluation des facteurs relatifs à la vie privée (ÉFVP). Effectuez une ÉFVP si vous entreprenez de nouveaux projets qui comprennent l’acquisition, le développement ou la refonte de systèmes d’information ou de prestation électronique de services axés sur la collecte, l’utilisation, la communication, la conservation ou la destruction des renseignements personnels. Assurez-vous d’effectuer des ÉFVP pour les nouvelles initiatives et de revoir et de mettre à jour les évaluations déjà terminées qui pourraient nécessiter des modifications pour refléter vos pratiques en évolution.
Sécurité des données biométriques. Si vous envisagez de traiter des données biométriques, veillez à ce que vos projets respectent le critère de raisonnabilité énoncé dans les lois canadiennes sur la protection de la vie privée; dans l’affirmative, élaborez un plan exhaustif pour garantir des mesures de sécurité suffisantes, obtenez les consentements éclairés nécessaires et respectez vos obligations en vertu de la Loi concernant le cadre juridique des technologies de l’information du Québec, surtout lors de l’identification de personnes ou de la création d’une base de données biométriques.
Mise à jour de vos politiques de confidentialité. Veillez à ce que toute nouvelle pratique commerciale comportant un nouveau processus de traitement de renseignements personnels soit reflétée avec exactitude dans vos politiques et avis de confidentialité pertinents, et assurez-vous d’informer les personnes concernées de ces mises à jour.
2. Vérifiez si vous en avez encore vraiment besoin
Suivez votre calendrier de rétention. Commencez la nouvelle année en consultant votre calendrier de rétention et en vérifiant que tous les renseignements dont la destruction est prévue ont été correctement éliminés. Envisagez de documenter ce processus avec des certificatss de destruction car certaines organisations jugent utile de conserver des preuves de conformité.
Examinez vos pratiques d’anonymisation. Sachez que le gouvernement du Québec a récemment publié un projet de règlement sur la question de l’anonymisation, et que le règlement définitif devrait être publié sous peu.
3. Préparez-vous à l’arrivée ou au départ des employé·es de votre organisation
Examinez votre processus d’intégration. Évaluez votre processus d’intégration pour vous assurer que les vérifications d’antécédents nécessaires sont effectuées conformément aux lois canadiennes sur la protection des renseignements personnels et que les employés reçoivent une formation adéquate qui reflète les exigences et les pratiques d’atténuation des risques prescrites par les lois du pays sur la protection des renseignements personnels.
Mettez à jour votre cadre de responsabilisation. Puisque le début de l’année peut être synonyme de roulement de personnel, assurez-vous lors, de la nomination d’employé·es à des rôles ou à des fonctions de protection des renseignements personnels, que votre cadre de responsabilisation interne peut résister aux fluctuations de personnel et demeure conforme aux lois canadiennes sur la protection des renseignements personnels.
4. Traitez correctement les transactions commerciales
Préparez un accord écrit. Qu’il s’agisse d’une fusion, d’une acquisition ou de toute autre transaction commerciale, rappelez-vous qu’un accord de confidentialité et de protection des renseignements personnels doit être préalablement établi avec l’autre partie. Cet accord devrait énoncer explicitement les exigences des lois canadiennes sur la protection des renseignements personnels afin d’assurer le traitement et la protection appropriés de ces derniers pendant la transaction, y compris pendant le processus de diligence raisonnable.
Avisez les personnes concernées. Si vous êtes une partie qui reçoit des renseignements personnels dans le cadre d’une transaction commerciale et que vous avez l’intention de continuer à les utiliser après la clôture de la transaction, informez les personnes concernées que vous possédez maintenant leurs renseignements personnels et que vous vous conformez à vos autres obligations en vertu des lois canadiennes en la matière.
5. Préparez-vous à répondre de votre utilisation de l’IA
Mettez en place un cadre de gouvernance de l’IA. L’IA a rapidement évolué en 2023 et la tendance se poursuit en 2024. Pour vous assurer que votre organisation est adéquatement équipée pour faire face aux risques associés à l’IA, envisagez d’établir un cadre de gouvernance à ce sujet, y compris une politique d’IA générative pour régir l’utilisation des outils de ce type par les employés. Pour de plus amples renseignements à ce sujet, veuillez consulter notre abécédaire sur la gouvernance de l’IA.
6. Consignez ce qui se passe
Prenez soin de vos demandes de consentement. L’organisme de réglementation de la protection des renseignements personnels de la province, la Commission d’accès à l’information du Québec, a publié des lignes directrices sur la validité du consentement, qui établissent les pratiques exemplaires à cet égard. Nous vous recommandons par conséquent de consulter ces lignes directrices (et notre webinaire explicatif), d’examiner vos demandes de consentement et de mettre en place un registre faisant état de votre conformité aux exigences de consentement en vertu des lois canadiennes sur la protection des renseignements personnels.
Laissez des traces. Pour minimiser et gérer les risques associés aux réclamations potentielles et à la surveillance réglementaire, établissez des procédures de documentation et de consignation des activités de traitement de données de votre organisation. Plus précisément, veillez à vous concentrer sur la documentation approfondie du consentement, des incidents de sécurité et de la gestion du droit au respect de la vie privée des individus.
7. Gérez vos contrats
Nouveaux contrats. Lors de la négociation de nouveaux contrats qui comportent le partage de renseignements personnels, assurez-vous que l’entente intègre les dispositions privilégiées nécessaires pour protéger les renseignements personnels et aborde les risques cernés. Mieux encore, adoptez une approche proactive et envisagez d’y joindre votre propre calendrier de conservation des données.
Contrats arrivant à échéance. Lorsque vos contrats avec des fournisseurs de services approchent de leur échéance, évaluez avant de les renouveler si des mesures de protection des données adéquates sont en place. Pour éviter les lacunes dans vos obligations contractuelles en matière de protection des données, créez une base de données pour gérer les contrats avec les fournisseurs de services qui traitent des renseignements personnels.
Contrats résiliés. Si vous décidez de ne pas renouveler un contrat, n’oubliez pas que votre fournisseur de services peut avoir des obligations liées à la résiliation. Ces obligations peuvent comprendre le renvoi de tout renseignement personnel ou confidentiel partagé pendant la durée du contrat ou la confirmation de sa destruction sécuritaire.
*****
Misez sur nos sept recommandations afin d’organiser et de prioriser vos activités de protection et de sécurité des renseignements personnels pour l’année à venir. N’hésitez pas à communiquer avec notre équipe si vous avez besoin de conseils pratiques sur la façon de vous attaquer aux étapes énumérées ci-dessus.
