Les entreprises face à la Loi 25
Sonia Semere
2023-03-23 10:15:00
« On constate en ce moment une forte demande pour notre service de renfort en entreprise », confie l’avocate.
Cette demande peut intervenir soit pour exécuter un projet spécial au sein d’une entreprise, dans le cadre d’un surplus de travail d’une équipe juridique ou alors pour apporter de l’aide à une entreprise qui est en croissance.
Mais que se passe-t-il présentement pour que les entreprises aient autant de besoins ?
« Les entreprises veulent des solutions agiles à des coûts raisonnables et les services de renfort permettent d’alléger le volume de travail dans leurs équipes tout en leur permettant de gérer les coûts. Dans le contexte économique actuel, c’est quelque chose qui n’est pas à négliger », souligne Me Julie Normand.
Ces sollicitations peuvent venir de PME en croissance tout comme de grandes entreprises qui ont des services juridiques plus élaborés.
La Loi 25, au cœur des préoccupations
Assurément, la Loi modernisant les dispositions législatives en matière de protection des renseignements personnels, plus communément appelée Loi 25, préoccupe beaucoup les entreprises.
Ces nouvelles dispositions législatives ont comme objectif d’offrir un meilleur contrôle et une meilleure protection aux personnes sur leurs renseignements personnels.
Toutes ces modifications entraînent de lourdes tâches administratives pour les entreprises. La mise en œuvre peut ainsi s’avérer longue et ardue, reconnaît Me Julie Normand.
Cette loi prévoit des pénalités importantes, pouvant atteindre jusqu’à 25 millions de dollars. Il y a également des risques de litiges potentiels dont les recours collectifs et puis, évidemment, une atteinte à la réputation, souligne l’avocate.
Les entreprises ont ainsi tout intérêt à régulariser leur situation. Pour cela, trois étapes d’adaptation sont nécessaires.
Une adaptation en plusieurs phases
La première phase s’est déroulée le 22 septembre 2022. Désormais, dans chaque entreprise, une personne doit être nommée responsable de la protection des renseignements personnels et de toute la gestion des incidents de confidentialité.
Puis, le 22 septembre prochain, les entreprises devront mettre en place un cadre de gouvernance pour encadrer les renseignements personnels à toutes les étapes du cycle de vie.
La dernière étape aura lieu le 22 septembre 2024. Celle-ci concernera la collecte, la communication et la destruction des données. « On parle également d’une transparence accrue de la part des entreprises au moment où elles communiquent des informations à un tiers », confie Me Julie Normand.
Quid des sollicitations des entreprises à ce sujet ? « C'est vraiment depuis janvier dernier qu’elles veulent se conformer aux obligations », reconnaît l’avocate.
« Dès qu’on collecte des renseignements personnels, l’entreprise doit mettre en place des politiques de confidentialité sur son site web. Souvent, elles viennent me voir pour çà et là, je leur demande où elles en sont par rapport à leur conformité à la Loi 25 », explique Me Julie Normand.
« On en parle beaucoup dans les médias, mais dans les faits, toutes les entreprises ne sont pas nécessairement au courant », précise l’avocate.
Et pourtant, la mise en conformité s’avère essentielle pour les entreprises. Les dirigeants vont devoir voter des budgets pour mettre en place ces obligations. Par conséquent, ils doivent nécessairement être tenus au courant de ces nouvelles dispositions.
Alors concrètement, comment les avocats interviennent pour régulariser la situation des entreprises ? Pour sa part, Me Julie Normand a développé un plan de mise en œuvre qui recense toutes les activités qui doivent être accomplies par l’entreprise.
Essentiellement, il faut regarder ce que l’entreprise a déjà mis en œuvre, ce que la loi requiert et s’assurer de combler l’écart, explique l’avocate.
Il faut commencer par un inventaire, puis développer le cadre de gouvernance et les politiques qui vont devoir s’appliquer. Enfin, celle-ci s’assure de leur fournir des gabarits pour établir leurs évaluations de risques lorsqu'ils ont à traiter des renseignements personnels dans leur système.
Dans le cas où il y a un incident, il faut aviser la commission d’accès à l’information et les personnes concernées, fait savoir Me Julie Normand.
Dans la pratique, ces dispositions sont-elles réellement complexes à mettre en place ?
L’avocate reconnaît que si les entreprises tentent de le faire par elles-mêmes, à savoir, analyser la loi et le règlement, rédiger toutes les procédures et les politiques et développer les gabarits, cela peut s’avérer fastidieux.
« Avec Delegatus, on arrive avec des outils déjà prêts et on fait que les adapter à la réalité de l’entreprise », conclut Me Julie Normand.
Anonyme
il y a un ança me rapelle la frénésie ISO-9000, à la fin des années '90.
Tout le monde et sa soeur voulait être "ISO", et les consultants en ISO-fication poussaient comme des champignons.