Dossiers mercredi 12 juillet 2023
L’application de la Loi 25
Par Marie-Hélène Paradis
La Loi sur la protection des renseignements personnels dans le secteur privé applicable aux cabinets d’avocats a été modifiée de manière importante par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, aussi connue sous le nom de projet de loi 64 ou Loi 25.
Cette loi redéfinit en effet les règles du jeu en la matière et oblige toutes les entreprises publiques et privées détenant des renseignements personnels à de nouvelles obligations législatives.
Le premier conférencier de la Journée a été Me Antoine Guilmain, avocat-conseil et cochef du groupe de pratique national Cybersécurité et protection des données chez Gowling WLG. La présentation de Me Guilmain portait sur les différents enjeux liés à l’application de la Loi 25 sur la protection des renseignements personnels.
Tout a commencé en Europe. Des entreprises canadiennes y ayant des projets d’affaires et voyant comment leurs partenaires européens géraient les questions de sécurité entourant les renseignements personnels se sont intéressées à cette problématique et ont compris que les répercussions pouvaient être importantes.
En vertu de la nouvelle Loi 25 maintenant en vigueur, les organisations doivent désormais considérer et exercer la fonction de responsable de la protection des renseignements personnels, et aviser la Commission d’accès à l’information (CAI) et la personne concernée si un incident de confidentialité survient. Septembre 2023 est la date clé à retenir puisque c’est le moment où la majorité des dispositions de la Loi entreront en vigueur.
Depuis le mois de septembre 2022, par ailleurs, toutes les entreprises doivent avoir nommé une personne responsable de l’application de la Loi. Mais, dans les faits, il semble que les entreprises et les organisations, malgré leur volonté de se conformer à la nouvelle loi, accusent un retard dans la mise en place de ce processus en raison de la complexité de son application. Toutes les juridictions font des changements dans le but de protéger le public mais, selon Me Guilmain, le sujet plus chaud est certainement le transfert de juridiction professionnelle. Il donne comme exemple le cas d’une entreprise qui donne en sous-traitance la gestion de ses commandes en ligne à une entreprise en Californie. Les questions qui surgissent alors révèlent les problématiques. Où sont les serveurs de cette entreprise? Est-ce que les renseignements sensibles y sont transférés? Est-ce qu’une protection existe? Les difficultés de communication amènent un problème de définition des évaluations des facteurs relatifs à la vie privée. D’après le spécialiste, il faut que le gouvernement mette en place un modèle d’évaluation pour les entreprises avec des lignes directrices claires, afin que tous et toutes soient sur la même longueur d’onde et puissent se conformer à la nouvelle Loi.