Depuis le 22 septembre dernier, les quelque 220 000 entreprises Ĺ“uvrant au QuĂ©bec ont dĂ©sormais toutes un responsable de la protection des renseignements personnels. Si cette fonction n’est pas dĂ©lĂ©guĂ©e, elle revient automatiquement Ă la personne ayant la plus haute autoritĂ© au sein de l’entreprise. Il est toutefois encore temps d’identifier la personne la plus Ă mĂŞme de remplir ce nouveau rĂ´le…
Pour la plupart des entreprises, on connaĂ®t depuis longtemps le chef de la technologie (CTO en anglais) et son visage confiant. On s’est habituĂ© rĂ©cemment au responsable de la sĂ©curitĂ© de l’information (CISO en anglais) avec sa voix grave. Au QuĂ©bec, il faudra maintenant composer avec une nouvelle figure : le responsable de la protection des renseignements personnels (CPO/DPO en anglais). Qui est cette personne? Que fait-elle? OĂą siège-t-elle? Pourquoi elle? Autant de bonnes questions qui, comme souvent, ne se satisfont pas de rĂ©ponses faciles.
Dans la loi : trop, c’est jamais assez
Tout commence il y a un an. La loi 25, Loi modernisant des dispositions lĂ©gislatives en matière de protection des renseignements personnels, est adoptĂ©e en grande pompe. L’objectif est de moderniser coĂ»te que coĂ»te les lois sur la protection des renseignements personnels pour rĂ©pondre Ă l’actualitĂ© rĂ©cente, rattraper les avancĂ©es technologiques et s’arrimer Ă la rĂ©glementation europĂ©enne. Le QuĂ©bec doit (re)devenir leader en matière de protection des renseignements personnels. Et tous les moyens sont bons pour y parvenir, y compris imposer des règles plus strictes et plus prescriptives que l’Union europĂ©enne et, bien Ă©videmment, nos voisins du reste du Canada.
Le nouveau rĂ´le de responsable de la protection des renseignements personnels en est le parfait exemple. Au QuĂ©bec, toute entreprise, quelle que soit sa taille, ses ressources, son domaine d’activitĂ©, qui traite le moindre renseignement personnel, a l’obligation d’exercer la fonction de responsable de la protection des renseignements personnels ou de la dĂ©lĂ©guer par Ă©crit Ă une autre personne. Autrement dit, mĂŞme combat pour la multinationale du secteur des technologies envers ses utilisateurs que pour le dĂ©panneur dans une rĂ©gion reculĂ©e du QuĂ©bec vis-Ă -vis de ses clients.
Par opposition, au sein de l’Union europĂ©enne, seules les entreprises traitant Ă grande Ă©chelle des renseignements personnels de type « sensibles » ou de façon plus intrusive ont l’obligation de dĂ©signer un dĂ©lĂ©guĂ© Ă la protection des donnĂ©es (DPO en anglais). Cette fonction n’est donc ni automatique ni systĂ©matique au sein de l’Union europĂ©enne.
D’aucuns pourraient alors minimiser, voire Ă©vacuer la chose en se disant : « Une casquette de plus sur mon Ă©tagère, ce n’est ni la première ni la dernière, une de plus qui pourrait se dĂ©former et prendre la poussière sans que personne ne s’en rende compte. » Rien n’est ici moins vrai. Le ou la responsable de la protection des renseignements personnels a en effet de nombreuses tâches et responsabilitĂ©s, dont celles d’approuver les politiques et pratiques en matière de renseignements personnels, participer aux Ă©valuations des facteurs relatifs Ă la vie privĂ©e, ou encore prendre part Ă l’Ă©valuation du prĂ©judice causĂ© par un incident de confidentialitĂ©. Il est plus fondamentalement la personne vers qui tout le monde se tourne en cas de questions — qui peuvent vite devenir de vrais problèmes — relatives Ă la protection des donnĂ©es ou de la vie privĂ©e.
En pratique : trop, c’est pas assez
Le lĂ©gislateur a donc pris le soin de rĂ©diger une description de poste incluant les tâches et responsabilitĂ©s du ou de la responsable de la protection des renseignements personnels. Reste maintenant Ă pourvoir ce poste vacant… et c’est ici que les choses se compliquent.
Qui donc pour assumer ce rĂ´le Ă l’interne? Ce sera souvent la personne la plus proche des donnĂ©es de l’entreprise. Comment former cette personne? Ça dĂ©pend, s’il n’y a pas d’obligation de qualifications, une connaissance minimale du rĂ©gime quĂ©bĂ©cois sur la protection des renseignements personnels semble incontournable. Quelle indĂ©pendance lui donner? Ça dĂ©pend, tout en Ă©vitant d’en faire un responsable fantoche. Quel budget lui octroyer? Ça dĂ©pend, notamment de la croissance de l’entreprise ou encore des moyens allouĂ©s Ă la sĂ©curitĂ© de l’information. Qui recruter Ă l’externe? Ça dĂ©pend, mais le marchĂ© est encore embryonnaire et, comme nous l’a dĂ©montrĂ© l’exemple europĂ©en, n’a rien d’extensible. Quid de l’externalisation de cette fonction? Ça dĂ©pend, assurĂ©ment une option Ă considĂ©rer qui vient avec ses propres avantages et dĂ©savantages.
L’ensemble de cette rĂ©flexion doit mener Ă la publication du titre et des coordonnĂ©es du responsable de la protection des renseignements personnels sur le site Internet de chaque entreprise, ou si elle n’a pas de site, rendus accessibles par tout autre moyen appropriĂ©. Le ou la responsable doit ĂŞtre au vu et au su de tous, c’est lĂ une exigence lĂ©gislative applicable depuis le 22 septembre 2022.
Il revient alors Ă toutes les entreprises d’intĂ©grer ce nouvel acteur ou cette nouvelle actrice qu’est le responsable de la protection des renseignements personnels, en n’oubliant pas que ce n’est pas l’habit qui fait le moine, mais bien le moine qui fait valoir l’habit.
Me Guilmain codirige le groupe de pratique national CybersĂ©curitĂ© et protection des donnĂ©es de Gowlings WLG. Sa pratique englobe notamment la protection des renseignements personnels, la rĂ©glementation europĂ©enne sur la protection des donnĂ©es (RGPD), le respect de la loi antipourriel, la gestion des risques et la conformitĂ© en matière de cybersĂ©curitĂ©, l’accès Ă l’information et la protection du consommateur.