Par : Jocelyn Girard
Président, Chapitre de Montréal
Association of Certified Fraud Examiners (ACFE)
Il va sans dire que toute loi promulguée par l’Assemblée nationale mène à des changements ou des ajustements dans notre société. Mais il est plus rare qu’une loi affecte pratiquement chaque citoyen et chaque institution. C’est pourtant ce que déclare M. Faouzi Moueffek, au sujet de la loi 64 qui a été adopté le 21 septembre 2021 et qui concerne la protection des données personnelles. M. Moueffek, gestionnaire chez Richter, est bien placé pour comprendre les ramifications de cette loi. En effet, il épaule quotidiennement certaines des plus grandes institutions et entreprises de la province dans la gestion de leurs risques en technologies de l’information (TI).
« La loi 64 a un impact direct sur toutes les institutions au Québec, peu importe leur taille ou leur contexte d’affaire ». C’est ce qu’a déclaré d’amblée M. Moueffek lors de son passage comme conférencier pour une formation organisée en décembre 2021 par le chapitre de Montréal de l’Association of Certified Fraud Examiners (ACFE). Mais avant de nous démontrer ces impacts, M. Moueffek a pris le temps de bien nous expliquer les bases de la gestion des données personnelles.
D’abord, il faut comprendre que les données personnelles se séparent en deux catégories : les données isolées, celles qui permettent d’identifier quiconque de façon indépendante (ex : nom, numéro d’assurance sociales, etc); et les données non-isolées, qui doivent être combinées pour mener à une identification (date de naissance, adresse, etc.). La loi 64 exige donc à toute organisation d’identifier les données isolées et non-isolées qu’elle possède, d’identifier les vulnérabilités qui pourraient mener à leur diffusion et mettre en place des contrôles adéquats pour les protéger.
Mais la loi 64 va plus loin. La loi s’applique à toute entité ayant une présence numérique au Québec. Elle exige que chaque institution nomme un responsable institutionnel et publie son cadre de gestion des données personnelles. La loi requiert chaque institution de mener une analyse concernant l’impact d’une fuite de données sur la vie privé de ses clients ainsi qu’un mécanisme pour la déclaration obligatoire de ces fuites au Commissaire à l’accès à l’information. La loi établie aussi nos droits comme citoyen ou client et élimine l’externalisation complète des risques de gestion des données personnelles aux fournisseurs de service. La loi instaure finalement des amandes administratives et pénales pour les institutions négligentes, qui peuvent aller jusqu’à $25 millions ou 4% du chiffre d’affaires mondiale d’une entreprise.
M. Moueffek explique que la loi 64 est une réponse aux incidents et fuites de données passés qui prennent de plus en plus d’ampleur à travers le monde et qui nous affecte comme individu. M. Moueffek explique que les droits des individus inclus le consentement à la collecte de données; le droit à l’accès à ces données par les individus; le droit « à l’oubli » qui constitue le retrait de ces données sur demande; la portabilité des données qui constitue la capacité de pouvoir extraire toutes les données; ainsi que le droit à la correction. M. Moueffek précise que le droit à l’oubli pourrait être limités, comme dans les cas de fraude par exemple. Il est clair pour M. Moueffek que l’application spécifique de ces droits pour chacune des institutions devra être définie plus amplement dans le futur.
La loi 64 nécessitera clairement beaucoup de travail. M. Moueffek déclare que « mettre en place tout ça, c’est énorme! ». Nous n’avons qu’à penser à toutes les données personnelles de candidats, clients ou fournisseurs, qui peuvent être échangées par courriel; une pratique qui devra changer selon M. Moueffek. Heureusement, la loi prévoit une mise en place progressive de toute les mesures. Pour septembre 2022, chaque institution devra avoir nommé un responsable ainsi qu’avoir établis un comité et des procédures pour la notification d’incidents de sécurité. En septembre 2023, chaque institution devra avoir mis en place et publié son cadre de gouvernance et de gestion des données personnelles, mené son analyse des impacts sur la vie privée, et devra être en mesure « d’anonymiser » ses données et offrir le droit à l’oubli. Les dernières mesures de la loi devront être en place, telle la portabilité des données, au plus tard en septembre 2024.
Bien que la loi 64 amène son lot de changements et de travail pour les institutions, M. Moueffek demeure optimiste et estime qu’il s’agit d’une opportunité d’affaire. Selon lui, la mise en place proactive des mesures de la loi 64 représente un avantage concurrentiel pour une organisation qui contribuera à son image de marque et qui rehaussera la confiance qu’on lui accorde. Cependant, M. Moueffek nous rappelle la règle d’or qu’il partage avec tous ses clients : il vaut mieux s’y prendre en avance! Et c’est sûrement là, le conseil le plus difficile à suivre!