COMMISSION D’ACCÈS À L’INFORMATION– 8 FÉVRIER 2023
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels introduit des changements majeurs à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé, 1985). L’implémentation de ces changements est requise dès septembre 2022!
Cet article a pour but d’informer les membres de leurs nouvelles responsabilités et obligations, qui seront progressivement effectives en septembre 2023 et 2024. Les lois et règlements ont priorité à tout moment.
NOUVELLES RESPONSABILITÉS ET OBLIGATIONS DES ENTREPRISES
Entrée en vigueur le 22 septembre 2022
- Nommer une personne en charge de la protection des renseignements personnels et divulguer son titre et ses coordonnées sur le site internet de l’entreprise ou par d’autres moyens appropriés si aucun site n’existe.
Entrée en vigueur le 22 septembre 2023
- Mettre en place et publier des politiques et des pratiques sur la gouvernance des renseignements personnels. Cette publication doit être claire et simple, accessible sur le site internet de l’entreprise ou autre moyen adéquat en absence de site.
- Procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) selon les exigences de la Loi, notamment avant de partager des renseignements personnels hors Québec. Les membres de l’AQTN n’ont pas, dans leur quotidien, à partager aucune information hors Québec (à la rare exception d’un assureur avec un bureau chef dans une autre province, mais celle-ci aurait le fardeau de la responsabilité en matières de gouvernance des renseignements personnels).
Entrée en vigueur le 22 septembre 2024
- Gérer les demandes de portabilité des renseignements personnels.
PISTES D’ACTION ET MEILLEURS PRATIQUES
Dès le 22 septembre 2024:
Informez votre équipe IT sur les exigences liées à la portabilité des renseignements personnels.
Vos systèmes doivent :
- Permettre la communication, sur requête, d’un renseignement personnel informatisé en format technologique courant et structuré.
- Autoriser la transmission de ces informations à des entités légalement autorisées à la demande de l’intéressé.
POINT D’ATTENTION POUR LES MASSOTHÉRAPEUTES ET LES MEMBRES DE L’AQTN
ÉTHIQUE & CONFIDENTIALITÉ :
- Confidentialité:
Respectez la confidentialité des informations des clients. Aucune divulgation sans autorisation écrite. - Gestion des Dossiers:
Conservez les dossiers de manière sécuritaire. Les clients peuvent demander une copie à tout moment. - Protection des Informations:
Mettez en place des mesures de sécurité robustes pour la saisie, le stockage, et le partage des données.
Ces lignes directrices font partie du code de déontologie.
RELATION CLIENT-THÉRAPEUTE :
- La relation doit être basée sur la confiance.
Assurez-vous d’établir une relation transparente, tout en respectant les valeurs et convictions du client.
Cette ligne directrice fait partie du code de déontologie.
QUELLES ENTREPRISES SONT RÉELLEMENT VISÉES
Réflexions sur l’impact sur les petites entreprises
Le débat entourant les lois modernes de protection des données est significatif. Bien que l’intention principale de ces lois puisse viser les grandes corporations détenant d’énormes quantités de données personnelles, le libellé législatif peut être si englobant que même les petites entreprises ou travailleurs autonomes, comme les massothérapeutes, ressentent le poids de la conformité.
Voici une synthèse des préoccupations courantes
- Cible de la Loi : De nombreuses lois sur la confidentialité, comme le RGPD en Europe ou le CCPA en Californie, semblent principalement destinées à réglementer les grandes entreprises. Cependant, le libellé de ces lois est souvent si vaste qu’il englobe les petites entreprises.
- Responsabilité Transférée : L’objectif derrière la responsabilisation des entreprises est de les inciter à investir dans la cybersécurité en craignant des répercussions légales. Néanmoins, ce modèle présuppose que toutes les entités, qu’elles soient grandes ou petites, disposent de ressources similaires pour investir dans ces protections.
- Attentes Réalistes pour les Petites Entreprises : De nombreux massothérapeutes utilisent des programmes en ligne pour gérer leur pratique. Ils ne sont pas des experts en technologie. Mettre la pression sur ces professionnels, surtout lorsqu’ils protègent peut-être les données en utilisant un logiciel commercial, peut sembler disproportionné.
- Adhérer au Code de Déontologie : Suivre des normes professionnelles est crucial. Cependant, il existe une différence entre respecter des normes éthiques et se conformer aux détails d’une loi sur la vie privée. Même en protégeant les informations de manière éthique, il est essentiel de s’assurer de leur conformité légale.
- Risques et Réalités : Si des géants de la technologie et des institutions financières majeures (VISA, Facebook, des banques Canadiennes ou NASA) peuvent être victimes de cyberattaques, s’attendre à ce qu’un simple site web sur des plateformes comme GoDaddy ou Weebly soit impénétrable semble irréaliste.
En conclusion, bien que les lois sur la protection des données aient des intentions louables, leur portée peut imposer des charges indues aux petites entreprises ou aux professionnels indépendants. Trouver un équilibre entre la protection des données des consommateurs et éviter de surcharger les petites entreprises avec des exigences de conformité est essentiel. Pour les massothérapeutes et les professionnels similaires, des directives adaptées à leur réalité seraient bénéfiques. Abordons immédiatement ce sujet : tout mettre en pratique.
TOUT METTRE EN PRATIQUE – SE CONFORMER
Il est sous-entendu que le thérapeute ne partagera aucuns renseignements personnels hors Québec.
- Désignation d’une personne responsable : Pour un massothérapeute indépendant, l’équipe serait en effet composée d’une seule personne. Dans ce cas, mentionner le nom du massothérapeute comme la personne responsable de la protection des renseignements personnels serait tout à fait approprié et suffisant.
- Politiques et pratiques : Si un massothérapeute peut baser ses politiques et pratiques sur le code de déontologie et standards de l’AQTN (qui prend déjà en compte la confidentialité et le respect des données personnelles), cela pourrait effectivement simplifier le processus de conformité. Le code de déontologie sert de fondation solide sur laquelle s’appuyer pour élaborer ces politiques, en veillant simplement à ce qu’elles répondent spécifiquement aux exigences de la nouvelle loi.
Compte tenu de ces éléments, il est raisonnable qu’un massothérapeute indépendant ou un travailleur autonome pourrait satisfaire à ces exigences de manière relativement simple, sans avoir à mettre en œuvre des mesures aussi complexes que celles nécessaires pour de grandes entreprises.
Liens utiles
Questions? Écrivez à contact@aqtn.ca.