Au Québec, l’année 2023 a été placée sous le signe de la modernisation du cadre juridique applicable à la protection des renseignements personnels. La majeure partie des dispositions issues de la Loi 25 sont entrées en vigueur tant à l’égard des ministères et organismes publics, des entreprises, des ordres professionnels que des partis politiques. Cette modernisation commencée en 2022 se termine en 2024.
En 2023, ces entités devaient notamment se doter d’un cadre de gouvernance, d’une politique de confidentialité, de mécanismes pour réaliser des évaluations de facteurs relatifs à la vie privée et réviser le consentement à la lumière des nouveaux critères de validité.
Pour les accompagner, la Commission d’accès à l’information du Québec et le Secrétariat à la réforme des institutions démocratiques, à l’accès à l’information et à la laïcité proposent différents outils, par exemple :
- Gouvernance
Le SRIDAIL propose un guide d’application, un résumé de la démarche et un outil d’analyse pour la planification de l’élaboration de ces règles
- Politique de confidentialité
La CAI propose un guide explicatif pour les entreprises.
Le SRIDAIL propose un document relatif à l’application du Règlement sur les politiques de confidentialité des organismes publics recueillant des renseignements personnels par un moyen technologique ainsi qu’un outil d’aide à la rédaction et une liste de vérification.
- Consentement
La CAI a publié des lignes directrices présentant les critères de validité en la matière et le SRIDAIL propose une infographie sur les nouveautés liées au consentement.
- Évaluation des facteurs relatifs à la vie privée
La CAI a mis à jour son guide d’accompagnement et propose un modèle générique de rapport permettant de rendre compte des résultats d’une EFVP.
Rappelons que le responsable de la protection des renseignements personnels ou le comité sur l’accès à l’information et la protection des renseignements personnels, a un rôle à jouer dans le développement et la mise en application de ces exigences, tout comme en matière d’incidents de confidentialité depuis septembre 2022.
En plus de ces outils, le Gouvernement du Québec vient de publier un projet de règlement relatif à l’anonymisation des renseignements personnels. Ce projet s’il est adopté entrera en vigueur en 2024, tout comme le droit à la portabilité.
2023 a aussi été marqué par l’adoption du projet de loi 3 – Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives ou encore le projet de loi 38 – Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives pour ne citer que ceux-ci.
À l’extérieur du Québec, l’année 2023 a aussi été riche en matière de protection des renseignements personnels. Il suffit de penser, entre autres, aux débats entourant :
- Canada – Fédéral : le projet de loi C-27 qui vise à édicter la Loi sur la protection de la vie privée des consommateurs (abrogeant la Loi sur la protection des renseignements personnels et les documents électroniques), mais aussi la Loi sur l’intelligence artificielle et les données.
- Europe :
- la Règlement sur la gouvernance des données (ou Data Governance Act - DGA) qui « vise à accroître la confiance dans le partage des données, à renforcer les mécanismes permettant d’accroître la disponibilité des données et à surmonter les obstacles techniques à la réutilisation des données ». Entrée en vigueur en mai 2022, la réglementation est applicable depuis le 24 septembre 2023;
- le Règlement concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données (ou Data Act),
- la Loi sur l’intelligence artificielle (AI Act) pour laquelle un accord est intervenu le 9 décembre 2023 et dont une FAQ a été publiée quelques jours après;
- le Cyber Resilience Act sur lequel un accord est intervenu le 30 novembre 2023 et qui introduit des exigences en matière de cybersécurité pour la conception, le développement, la production et la mise à disposition sur le marché européen de produits comportant des éléments numériques;
- le Cyber Solidarity Act qui « vise à renforcer les capacités de cyberrésilience de l’UE afin de détecter et de répondre aux menaces et incidents cybernétiques à grande échelle en établissant une « cyberréserve » de fournisseurs de confiance certifiés pour mener des activités de prévention et de réponse » (Voir notamment: https://www.euractiv.fr/section/cybersecurite/news/cyber-solidarity-act-le-dossier-progresse-au-parlement-europeen/),
- la (nouvelle) décision d’adéquation concernant le cadre de protection des données Europe - États-Unis;
- ou encore la directive NIS2 (Network and Information Security) visant « à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union » et dont les exigences doivent être transposées en droit national au plus tard à la mi-octobre 2024.
- Europe – Suisse : adoption de la nouvelle Loi sur la protection des données (LPD - Voir notamment: https://www.edoeb.admin.ch/edoeb/fr/home/datenschutz/grundlagen/ndsg.html)
Et ce ne sont que quelques exemples ...
