La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) a mis en place de nouvelles mesures visant à protéger les renseignements personnels des consommateurs, en responsabilisant les entreprises privées et les organismes publics qui en détiennent. Ces mesures sont entrées progressivement en vigueur le 22 septembre 2022 et il en sera ainsi jusqu’en septembre 2024.

 

Les cabinets devront en tenir compte dans le cadre de leurs opérations,
sans quoi des pénalités importantes risquent d’être appliquées. 

 

Parmi les mesures entrées en vigueur en septembre 2022, certaines imposent notamment aux entreprises, qui traitent et communiquent des renseignements personnels de leurs clients, employés et/ou fournisseurs, de désigner un responsable de la protection des renseignements personnels. Les entreprises devront également informer les personnes concernées, de même que la Commission d’accès à l’information, en cas d’incident de confidentialité impliquant un renseignement personnel qui pourrait causer un préjudice sérieux. Dans le même ordre d’idées, les entreprises devront aussi détenir un plan pour gérer ce type d’incident et tenir un registre les regroupant. 

Soulignons par ailleurs que la Loi 25 prévoit notamment la possibilité de communiquer les renseignements personnels sans le consentement de la personne concernée, et ce, à des fins d’étude, de recherche ou de productions de statistiques, en respectant toutefois le nouvel encadrement de cette communication. 

 

À compter de septembre 2023¹, les entreprises devront notamment :  

• élaborer un cadre de gouvernance en matière de protection des renseignements personnels;
• bonifier les informations transmises aux clients lors de la collecte de leurs renseignements;
• détruire ou rendre anonymes les renseignements personnels dans certaines circonstances;
• évaluer les risques en matière de vie privée lors de certaines utilisation et communication de renseignements personnels;
• obtenir, au préalable, le consentement de la personne pour utiliser ses renseignements personnels à des fins de prospection commerciale.

 

À compter de septembre 2024², les entreprises devront entre autres :

• communiquer, à la demande de la personne concernée, ses renseignements personnels qu’elle a fournis à une entreprise tierce. 

 

Les implications pour votre cabinet dès septembre 2022

 

Force est de constater que la Loi 25 vient imposer de nouvelles obligations aux cabinets quant à la protection des données personnelles des clients, afin de mieux refléter la réalité technologique actuelle.

La Loi 25 met en place une meilleure protection des renseignements personnels en donnant à la personne concernée plus de pouvoirs sur le traitement de ses données personnelles et une meilleure compréhension à l’égard des conséquences de ses choix.

 

Principales obligations maintenant en vigueur

 

Nommer un responsable de la protection des renseignements personnels

La personne dûment désignée et identifiée formellement au sein de l’entreprise à titre de responsable de la protection des renseignements personnels doit bien connaître son rôle et ses responsabilités, qui sont notamment de s’assurer que l’entreprise traite les données personnelles qu’elle détient conformément aux normes en vigueur. 

La personne désignée doit connaître la nature des renseignements personnels que l’entreprise détient, traite et communique. Elle doit par ailleurs aussi savoir qui peut avoir accès à ces renseignements personnels et pour quel motif. Enfin, elle doit produire et mettre en place des politiques et des pratiques qui encadrent la gouvernance des renseignements personnels. À titre d’exemple, il pourrait s’agir des règles de conservation et de destruction ainsi que de la centralisation des données sensibles pour faciliter leur protection et leur surveillance.

Bien entendu, les coordonnées du responsable de la protection des renseignements personnels doivent être clairement affichées sur le site web de l’entreprise, question de permettre aux clients de s’y adresser directement. 

Cette fonction, assumée par défaut par celui ou celle qui détient la plus haute autorité dans l’entreprise, pourra également être déléguée, par écrit, à un spécialiste à l’externe ou à toute autre personne; il faut toutefois se rappeler que c’est l’entreprise qui assume toute dérogation à la Loi 25. 

Plan et registre des incidents de confidentialité

Les cabinets devront mettre en place un plan d’action à suivre dans l’éventualité où un incident de confidentialité se présentait, afin que des mesures rapides puissent être prises visant à diminuer le risque de préjudice. Par ailleurs, il est également nécessaire de tenir un registre des incidents de confidentialité.  

Des mesures adéquates doivent ainsi être adoptées dans le cabinet pour protéger les renseignements personnels détenus et pour agir de manière diligente dans la gestion des incidents. Un plan efficace permettant de réagir promptement et la sensibilisation des employés à l’importance de le suivre à la lettre permettront de démontrer que le cabinet a la capacité de gérer toute situation présentant un réel incident et de minimiser ainsi le plus possible les risques de préjudice. 

À cette fin, le responsable de la protection des renseignements personnels doit être en mesure de détecter ces fameux incidents. À cet égard, il serait souhaitable que l’entreprise sensibilise ses employés à déclarer immédiatement les situations où ils sont exposés à des renseignements personnels qui ne les concernent pas. Il sera également nécessaire d’identifier les emplacements où les informations sensibles doivent se retrouver et éviter d’en faire des copies, sous quelque support, tout comme de les communiquer par courriel. On comprendra dès lors l’importance de sensibiliser ses employés à déclarer les informations sensibles qui se trouvent ailleurs qu’à l’endroit désigné.

Une politique sur l’utilisation des dispositifs de stockage amovibles (clé USB, disque dur d’ordinateur portable, etc.) et l’enregistrement systématique des dispositifs de stockage est pertinente. Comme on le sait, l’utilisation d’ordinateurs portables en dehors des lieux du travail et l’utilisation d’une carte mémoire sont de nature à favoriser la perte ou le vol des renseignements relatifs à une clientèle. Il serait par ailleurs approprié d’assurer l’absence d’accès au personnel qui n’est pas tenu d’utiliser des informations personnelles relatives aux clients. Enfin, il y aurait lieu de prévoir des mesures de protection lorsqu’un tiers malveillant chercherait à accéder à une boîte de courriels ou à un espace de stockage informatique; une authentification à doubles facteurs pourrait dès lors être appropriée. 

Dénonciation de tout incident

La Loi 25 impose de signaler tout incident à la Commission d’accès à l’information ainsi qu’aux personnes concernées si l’incident présente un risque de préjudice sérieux pour les victimes. Si ledit incident nécessite une divulgation au client et à la Commission, le responsable doit prévoir comment établir cette divulgation. Il est important d’éviter d’ouvrir la porte à des recours légaux en laissant penser que l’incident aurait potentiellement été causé par une négligence.

Conséquences 

La Loi 25 prévoit qu’en cas de défaut et du non-respect de ses obligations légales, l’entreprise pourrait se voir imposer des sanctions majeures pouvant s’élever jusqu’à 25 M$ ou à 4 % du chiffre d’affaires.

Pour sa part, il importe de rappeler que le Code de déontologie des représentants en assurance de dommages impose, aux articles 23 et 24, l’obligation de respecter le secret de tout renseignement personnel obtenu d’un client et d'utiliser ces renseignements exclusivement aux fins pour lesquelles ils ont été obtenus. 

Un courtier ne peut non plus divulguer les renseignements personnels ou de nature confidentielle qu’il a obtenus autrement que conformément à la Loi ni les utiliser au préjudice du client en vue d’obtenir un quelconque avantage. Ces obligations sont imposées non seulement au représentant en assurance, mais également au cabinet, tel que l’indique l’article 80 de la Loi sur la distribution des produits et services financiers. Il appartient enfin au cabinet, conformément aux articles 84, et suivants de cette dernière loi, de s’assurer que ses dirigeants, représentants et employés agissent conformément à celle-ci et à ses règlements.

En conclusion

Il en ressort donc que c’est avec le plus grand sérieux que les cabinets doivent s’assurer que le responsable de la protection des renseignements personnels désignée par l’entreprise respectera ses obligations et celles imposées par la Loi 25, et qu’il en supervisera leur application auprès des membres du cabinet. 

Voilà donc l’essentiel des éléments que nous désirions porter à votre attention. Pour un complément d’information, nous vous invitons à consulter l’aide-mémoire conçu par la Commission d’accès à l’information, qui vise à aider les entreprises à respecter leurs nouvelles obligations.

 

Un texte de M^e Luc Jobin et M^e Alexis Falanga-Duchesneau, Tremblay Bois Avocats

 

¹ et ² : Nous pourrons vous revenir en temps et lieu à propos de ces obligations additionnelles.