La gestionnaire veut garder l’anonymat pour ne pas causer d’ennuis à son employeur, qui est loin d’atteindre les objectifs de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, appelée loi 25. Elle ne veut pas attirer l’attention de la Commission d’accès à l’information (CAI), chargée d’enquêter sur les accrocs aux nouvelles règles, et encore moins celles des pirates aux rançongiciels, qui ont volé des renseignements personnels de dizaines de PME québécoises ces dernières années.

« C’est absolument certain que beaucoup d’entreprises ont de gros enjeux », dit Soleïca Monnier, avocate spécialisée en renseignements personnels au cabinet Fasken.

L’un des principaux cauchemars des petites entreprises : le « calendrier de destruction » des données. À partir du 22 septembre, les entreprises devront éliminer les renseignements personnels quand ils ne servent plus.

Cette obligation concerne l’ensemble des données personnelles collectées auprès de toute personne physique : clients, employés, fournisseurs… Fini, en principe, les numéros de permis de conduire, d’assurance sociale, les dates de naissance et autres coordonnées stockés pour toujours dans les serveurs de votre employeur ou de votre institution financière. Fini aussi, les coordonnées complètes de clients conservées ad vitam æternam dans l’ordinateur de votre garagiste ou de votre nettoyeur.

Bonne nouvelle pour les citoyens du Québec. Mais pour les entreprises, ces nouvelles dispositions impliquent d’identifier et classer soigneusement chaque renseignement personnel récolté en fonction de ces questions : telle information est-elle toujours utile ? Pour quoi faire ? Ne devrait-on pas la détruire ? Est-ce qu’une loi m’oblige à la conserver ?

Pour la gestionnaire de petite entreprise qu’a contactée La Presse, c’est une tâche colossale, à laquelle elle vient seulement de s’atteler, quelques jours avant l’échéance du 22 septembre.

« Nous, on a un garage, on a le bureau, on a des gars sur le terrain partout au Québec… On a mis en place nos équipes pour être capables de faire le cycle de vie des informations qu’on reçoit, mais ça va être compliqué, parce qu’on a différentes bases de données », dit-elle.

« On ne sait pas nécessairement comment [les bases de données] sont sécurisées, parce qu’on n’a pas de technicien informatique. »

— La directrice des ressources humaines d’une petite entreprise, sous le couvert de l’anonymat

D’autant plus que les entreprises doivent conserver certaines données plus longtemps en vertu d’obligations légales. Par exemple, les entreprises doivent conserver sept ans les relevés fiscaux pour pouvoir répondre à d’éventuelles questions de l’impôt.

Gros chantier pour les grandes entreprises

« Plus les entreprises sont grosses, plus les mesures à prendre sont complexes », dit Soleïca Monnier.

À quelques semaines de l’échéance, par exemple, la Société de transport de Montréal dit devoir continuer de « déployer des efforts considérables » pour répondre aux nouvelles obligations et l’aide à l’externe se fait rare. « Force est de constater que ces délais semblent avoir créé une rareté de main-d’œuvre et d’experts en la matière sur le marché », écrit la porte-parole Justine Lord-Dufour dans un courriel à La Presse.

Même l’épicier Metro, fort d’une capitalisation boursière de plus de 16 milliards et de ses quelque 95 000 employés, doit mettre les bouchées doubles pour finir le travail à temps. « C’est quand même exigeant comme travail », convient la vice-présidente aux communications Marie-Claude Bacon, en entrevue avec La Presse.

Parmi toutes les grandes entreprises jointes, seul le numéro un québécois des supermarchés et des pharmacies a accepté la demande d’entrevue de La Presse.

Même si les grandes sociétés comme Metro ont plus de ressources, le défi est tout de même considérable. L’épicier a l’équivalent de trois personnes à temps plein qui terminent le travail, accompagnées de consultants externes. « C’est sûr qu’on aurait pu choisir d’avoir un peu plus de monde pour aller plus rapidement, mais on ne voit pas de sérieux problèmes », dit Marie-Claude Bacon.

À tâtons

Comme toutes les organisations, la société doit toutefois avancer à tâtons, puisque personne ne sait exactement comment la CAI interprètera les nouvelles règles qu’a établies Québec. « On a dû prendre des décisions basées sur des hypothèses, puisque certaines informations font défaut », concède la vice-présidente.

Par exemple, tous les sites internet québécois devront demander une permission à l’internaute avant de collecter des renseignements personnels. La mesure vise notamment les données que récoltent les témoins de navigation, les fameux « cookies ».

La CAI doit produire des « lignes directrices » sur la bonne façon de demander le consentement du public. Mais la version finale de ces règles « est prévue pour octobre 2023 », selon le site de la Commission, soit après l’entrée en vigueur de la nouvelle loi.

Bref, les entreprises devront faire des ajustements dans les semaines suivant l’entrée en vigueur des nouvelles dispositions de la loi 25, confirme Metro, tout comme Desjardins.

« Nous suivons les alignements de la CAI à ce sujet au fur et à mesure qu’elle les publie », écrit Chantal Corbeil, porte-parole de la coopérative financière.

Ex-avocate à la Commission aujourd’hui à son compte, Cynthia Chassignieux note que les entreprises les plus avancées sont celles qui ont affaire à l’Union européenne. Celles-là ont déjà dû s’adapter au règlement sévère sur la protection des renseignements personnels dont elle s’est dotée dès 2016. « D’autres sont complètement fébriles et attendent de voir ce que fera le gouvernement. »

Au cabinet Borden Ladner Gervais, l’un des plus importants en matière de renseignements personnels, l’avocat Simon Du Perron constate lui aussi les lacunes de l’aide prévue pour les entreprises. « Malheureusement, la Commission n’a pas vraiment de branche de conseil stratégique, déplore-t-il. Je pense qu’elle est encore en train de digérer la loi 25. »

Résultat : certaines entreprises qui ont mis plus de temps à réagir commencent à ressentir une certaine panique et les avocats spécialisés dans le domaine sont débordés.

« On est la plus grande équipe en droit de la confidentialité et on a de la difficulté à prendre de nouveaux clients. »

— Simon Du Perron, avocat chez Borden Ladner Gervais

« On ne peut pas se dédoubler… Tout arrive dans le collimateur à la fin », dit Simon Du Perron.

À la CAI, personne ne fait de cachettes à ce sujet : manifestement, le chien de garde de la confidentialité n’est pas assez puissant. En décembre, sa présidente réclamait plus de moyens dans le cadre d’une entrevue avec La Presse. « C’est plate à dire, mais il y a un enjeu de ressources », disait Diane Poitras.

Dans le milieu des avocats en renseignements personnels, le site de la Commission est unanimement critiqué. Ils y constatent d’importantes lacunes dans les informations disponibles.

La CAI publie par exemple un « Guide d’accompagnement » pour la réalisation d’« évaluations des facteurs relatifs à la vie privée, une obligation en vigueur depuis la première vague de mesures liées à la loi 25, le 22 septembre 2022. Or la version actuellement en ligne date de mars 2021 !

« Les informations incluses dans ce guide reflètent les lois avant leur modification par la [loi] 25, prévient le texte. Il sera révisé ultérieurement. » Deux ans et demi plus tard et à quelques jours de la deuxième vague de mesures de la loi, le document n’est toujours pas à jour.

« Dans la mesure de ses capacités »

« La Commission travaille fort, dans la mesure de ses capacités, à informer les entreprises », écrit Jorge Passalacqua, directeur des communications de la CAI, dans un courriel à La Presse. L’organisme promet de mettre en ligne d’un jour à l’autre un site web amélioré qui sera plus à même de mieux renseigner les entreprises.

Les dirigeants de la CAI déplorent toujours le « sous-financement chronique » de leur organisme, qui l’empêcherait de mener sa mission à bien.

Pour l’année 2022-2023, alors qu’entrait en vigueur la première série de mesures liées à la loi 25, la Commission a reçu 1,5 million de plus qu’avant, mais l’organisme en demandait quatre fois plus.

Pour 2023-2024, Québec a accordé un budget supplémentaire de 4,2 millions.

Le ministre responsable de la Protection des renseignements personnels, Jean-François Roberge, a refusé notre demande d’entrevue.

Dans un courriel à La Presse, il dit être « conscient » que la loi 25 « implique des changements importants pour les entreprises ». « La CAI est présente pour les accompagner dans ces changements et c’est pourquoi nous avons plus que doublé le budget de la CAI dans les dernières années. »

Dans un message non signé, le ministère du Conseil exécutif assure que « le gouvernement a bien entendu les demandes de la Commission d’accès et est très conscient des nouvelles responsabilités qui lui ont été attribuées par la réforme sur la protection des renseignements personnels ».

Le Ministère souligne que le budget de la Commission a tout de même doublé depuis sept ans, pour atteindre 12,6 millions en 2023-2024.

Les nouvelles obligations en bref

À compter du 22 septembre, les entreprises qui recueillent des renseignements personnels devront :

• Demander le consentement de la personne concernée avant d’amasser tout renseignement personnel, y compris les données de navigation sur l’internet qu’amassent les témoins de navigation (cookies).

• Avoir des politiques de gouvernance sur la récolte et la conservation de renseignements personnels, leur protection et leur destruction.

• Publier une politique de confidentialité des renseignements personnels « en termes simples et clairs ».

• Informer les personnes visées par la récolte de renseignements personnels du recours à toute technologie permettant d’identifier ou de localiser une personne, ou encore d’en faire le profil.

• Évaluer toute acquisition, tout développement ou toute refonte d’un système informatique dans l’optique de la protection des renseignements personnels.

• Régler par défaut les systèmes technologiques aux paramètres de confidentialité les plus élevés.

• La Commission d’accès à l’information pourra imposer aux contrevenants des sanctions pouvant atteindre 2 % du chiffre d’affaires mondial d’une entreprise ou 10 millions de dollars.

52 millions

Coût récurrent par année que représente la loi 25 pour le secteur privé, selon l’estimation de la Fédération canadienne de l’entreprise indépendante. « Et c’est assez conservateur », dit Francis Bérubé, directeur des affaires provinciales.

Source : Fédération canadienne de l’entreprise indépendante