Les données personnelles – La responsabilité
Avec la venue du Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne en 2018 et la prochaine sortie de la loi 64 du Québec qui modernisera certaines dispositions législatives en matière de protection des renseignements personnels au Québec, les petites organisations québécoises se questionnent sur le type de gouvernance à mettre en place.
Protection des Renseignements Personnels dans le Secteur Privé et la loi 64
Au Québec, les modifications apportées à la Loi sur la Protection des Renseignements Personnels dans le Secteur Privé par la loi 64 introduiront la notion de responsabilité à l’égard des données personnelles. En effet, cette loi définit qu’au sein de l’entreprise, la personne ayant la plus haute autorité veille à assurer le respect et la mise en œuvre de la présente loi. Cette responsabilité peut être déléguée à un « Responsable de la Protection des Renseignements Personnels » (RPRP) dont le titre et les coordonnées seront publiés sur le site internet de l’organisation, ou tout autre moyen approprié. La loi 64 introduit avec précision l’ensemble des responsabilités du RPRP d’une organisation tout au long du cycle de vie d’une donnée personnelle.
Il est impératif de mentionner que la loi 64 introduit le principe des « Sanctions administratives pécuniaires » afin d’inciter la personne qui exploite une entreprise à prendre rapidement les mesures requises pour remédier aux manquements et dissuader la répétition de tels manquements. Cette nouveauté suit la tendance mise en place par le RGPD, ces mesures coercitives ont, règle générale, une grande portée sur les grands joueurs commerciaux et les grands donneurs d’ordre. Ces grands joueurs exigent souvent de leurs partenaires d’affaires des preuves à l’effet que ces derniers respectent les cadres légaux touchant les données personnelles.
Règlement Général sur la Protection des Données (RGPD)
En Europe, le RGPD introduit le rôle de « Délégué à la Protection des Données ». Les articles 37 à 39 abordent les responsabilités de ce délégué à la protection des données (art. 37 : Désignation; art. 38 : Fonctions; art. 39 : Missions). Souvent nous entendons l’acronyme anglais pour définir ce rôle, soit le « Data Protection Officer » (DPO). Pour ce texte nous utiliserons l’acronyme anglais.
Le RGPD va beaucoup plus loin que la loi 64 quant aux rôles et responsabilités du responsable ou délégué à la protection des données personnelles. Son rôle est plus incisif et plus large allant, du maintien d’un registre, de la gestion du risque, de la surveillance, de la notification et de l’assurance que des mesures de sécurité suffisantes ont été mises en place. De plus, le RGPD définit deux principes importants : l’indépendance et les connaissances suffisantes du DPO.
En outre, le RGPD définit quels types d’entreprises doit obligatoirement assigner un DPO. Les deux types les plus importants sont :
-
Les organisations publiques (ex. : université, hôpital, etc.)
-
Les sociétés privées qui ont un volume considérable de données personnelles (ex. : Facebook)
C’est donc dire, qu’hormis, les deux types d’organisations mentionnés précédemment, il n’y a pas d’obligation de créer un rôle de DPO.
La réalité des entreprises privées au Québec
Toutes les petites entreprises privées du Québec sont déjà touchées par la Loi sur la Protection des Renseignements Personnels dans le Secteur Privé, la loi 64 viendra rehausser leur niveau de responsabilités. De plus, ces mêmes entreprises privées peuvent être touchées par le RGPD pour différentes raisons (Ex. : filiales européennes, données de citoyens européens, etc.). Comment ces petites entreprises devraient-elles gérer l’enjeu des données personnelles en ce qui a trait à la gouvernance?
Gouvernance – Le conseil d’administration
Pour les petites entreprises privées qui ont un conseil d’administration et qui ont des enjeux à l’égard des données personnelles, il serait pertinent d’impliquer, à haut niveau, le conseil d’administration. La direction de l’entreprise pourrait présenter un sommaire annuel des activités et des incidents en lien avec les données personnelles. De plus, lors de la présentation annuelle de l’analyse des risques, il y aurait lieu de mettre en évidence les risques en lien avec les données personnelles.
Gouvernance – Le responsable des données personnelles
Pour les entreprises qui ont des enjeux touchant les données personnelles autant au Québec qu’en Europe, est-ce qu’ils devraient nommer un DPO ou un RPRP?
L’assignation DPO a un sens légal dans le RGPD et a des responsabilités très précises et vastes, de plus il doit être indépendant et avoir les connaissances suffisantes. Pour les petites entreprises du Québec, il y aurait lieu de ne pas octroyer le titre de DPO à son responsable des données personnelles. Le titre de « Responsable de la Protection des Renseignements Personnels » (RPRP) sera suffisant et permettra de respecter la loi du Québec et le RGPD. Ce dernier pourra mettre en place suffisamment de nouveaux processus ou contrôles afin de respecter le RGPD.
Une fois le RPRP nommé, il y aurait lieu de publier ses coordonnées sur le site internet de l’entreprise, de bien définir son cadre de travail, ses pouvoirs et ses responsabilités.
Gouvernance - Indépendance du « Responsable de la Protection des Renseignements Personnels » (RPRP)
La notion d’indépendance pour le RPRP devient un enjeu pour les petites entreprises, le peu de personnel fait en sorte qu’il peut être difficile de ne pas créer des conflits d’intérêts. Bien que quelquefois il soit impossible d’y échapper, le gestionnaire des technologies de l’information ne devrait pas être le RPRP. Si l’organisation a un responsable de la sécurité de l’information, cette option, peut certainement être viable. Dans tous les cas, la notion d’indépendance du RPRP peut devenir un casse-tête pour les petites organisations.
Gouvernance – Responsabilités et implication du RPRP
Le RPRP qui sera nommé aura, par la loi 64, des responsabilités précises et il sera nécessaire de mettre en place un cadre qui lui permettra de remplir ses tâches correctement. Voici certaines pistes de réflexions qui pourrait permettre au RPRP de bien remplir ses fonctions. Le RPRP pourrait :
-
Faire partie intégrante du comité de sécurité.
-
Être impliqué lors du lancement d’un nouveau produit afin de détecter si des données personnelles sont parties prenantes dudit projet.
-
Être impliqué lorsque l’équipe TI développe de nouvelles fonctionnalités ayant une grande portée à l’égard des données personnelles.
-
Être impliqué lors de l’acquisition de nouvelles solutions TI.
-
Avoir un budget afin d’être en mesure de faire auditer l’ensemble des processus et contrôles en lien avec les données personnelles.
-
Être impliqué lors de l’élaboration et des tests touchant le plan de réponse aux incidents de sécurité.
-
Être impliqué lors de l’analyse annuelle des risques de l’organisation.
-
Être impliqué lors de la révision annuelle de la politique de sécurité de l’organisation.
Les autorités gouvernementales ne changent pas les lois ou les règlements touchant les données personnelles sans raison, les enjeux sont grandissants et la population se sent vulnérable à cet égard. Les petites organisations auront encore plus de responsabilités et d’obligations, elles devront trouver des approches simples et pratiques afin de respecter ces nouvelles lois ou règlements sans que cela devienne un fardeau.