La récente réforme de la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi 25 »)1 amène son lot de questionnements pour les organisations. Notamment, certaines se demandent par où commencer, comment s'assurer de se conformer à leurs nouvelles obligations tout en mitigeant les risques afférents au traitement des renseignements personnels. La mise en place d'un programme de conformité en matière de renseignements personnels (« Programme PRP ») constitue donc une étape importante afin de satisfaire efficacement à l'ensemble des exigences législatives applicables, dont, notamment, celles portant sur la mise en place de mesures de protection préventives.

Cette série de bulletins présentée en chapitres démystifiera ce concept, tout en suggérant des mesures concrètes pour entamer votre mise en conformité.

Chapitre 2 : qui fait quoi?

Lors du premier chapitre de cette série, nous avons défini le concept de Programme PRP et présenté les bénéfices pour les organisations.

Dans ce second chapitre, nous aborderons l'importante question des rôles et responsabilités des parties prenantes au Programme PRP et présenterons les modèles de structure de l'équipe qui en est responsable.

Généralement, la mise en place d'un Programme PRP commence par l'identification des parties prenantes. Ensuite, la vision, la mission et la structure des équipes chargées de celui-ci sont déterminées avant d'en délimiter la portée et de mettre en place son cadre de conformité. Le présent chapitre porte sur l'identification des parties prenantes, leur rôle, leurs responsabilités ainsi que la structure de l'équipe chargée de concevoir et de déployer le programme de conformité. La vision et la portée du Programme PRP seront abordées dans le prochain chapitre.

Notons qu'un Programme PRP se bâtit dans le cadre d'une démarche par étapes et en continu avec la participation active de la haute direction de l'organisation. Chaque organisation aura un programme différent selon sa taille, son contexte opérationnel et la nature de ses activités.

1. Identification des parties prenantes : Qui devons-nous impliquer dans la mise en place du Programme PRP?

L'identification des parties prenantes peut s'effectuer par le biais d'ateliers entre les responsables des différentes fonctions ou départements de l'organisation. Cette activité doit s'effectuer avec la collaboration active de la personne responsable d'assurer la protection des renseignements personnels au sein de l'organisation (« RPRP »)2. Cela lui permettra d'évaluer les besoins et de positionner son rôle auprès des intervenants. Naturellement et le cas échéant, les affaires juridiques de l'organisation devraient être impliquées dans la définition des rôles et responsabilités. Elles peuvent jouer un rôle actif dans la mise en place du programme, et aideront à déterminer les requis imposés par les lois et règlements applicables.

L'identification des parties prenantes peut aussi s'effectuer en utilisant une matrice des rôles et responsabilités (RACI) définissant les différentes activités à accomplir dans le cadre du Programme PRP et en assignant respectivement les rôles suivants aux différentes parties prenantes : réalisateur, responsable, consulté, informé. Les rôles et les responsabilités devront être distingués dans les activités d'implantation du Programme PRP versus celles liées à son exécution. Le type de fonction ou département pouvant être partie prenante à l'exercice peut notamment être : les ressources humaines, le marketing, le développement des affaires, les finances, la sécurité de l'information, la gestion des risques, les départements de conformité, d'éthique, d'audit et des affaires juridiques de l'entreprise3.

a. Documentation et socialisation des différents rôles et responsabilités des parties prenantes

Les parties prenantes au programme, leurs rôles et responsabilités doivent être documentés, les autorisations écrites nécessaires4 proprement consignées et, le cas échéant, socialisées aux personnes concernées. En fonction du rôle et des responsabilités déterminées, ces personnes peuvent être l'ensemble ou certains des employés de l'organisation, les dirigeants ou le public5. Ces rôles et responsabilités devront se refléter dans les différentes politiques internes ou documents de formation et de sensibilisation de l'organisation, notamment, sa politique interne portant sur la protection des renseignements personnels6. Notons également à ce sujet que la socialisation du titre ou des coordonnées de certaines parties prenantes à l'extérieur de l'organisation pourraient être issues d'une obligation législative7.

2. Une fois le programme implanté, quelle devrait-être la structure de l'équipe chargée de la protection des renseignements personnels?

La structure et le nombre de personnes composant l'équipe chargée de la protection des renseignements personnels une fois le programme mis en place varieront en fonction des activités, de la taille et du contexte dans lequel l'organisation évolue. Notons que la structure de l'équipe sera également assujettie à des impératifs législatifs. Par exemple, selon la Loi 25, à moins que l'entreprise ait procédé à une délégation par écrit du rôle de responsable de la protection des renseignements personnels, ce dernier sera dévolu à la personne ayant la plus haute autorité au sein de l'organisation. Il convient donc de faire une évaluation des besoins en amont à la création de l'équipe et avant de désigner une personne responsable. Cette évaluation peut être effectuée à plusieurs reprises en fonction de l'état d'avancement de vos travaux ou en fonction du développement des activités de l'organisation. Finalement, il y a lieu de préciser que bien que les présentes lignes traitent de « l'équipe » en charge de la protection des renseignements personnels au sein de votre organisation, il est possible qu'en fonction des besoins évalués, une seule personne soit suffisante pour accomplir les objectifs de conformité de l'organisation en la matière. Nous reproduisons ci-après quelques modèles courants.

a. Modèle de gouvernance de l'équipe

Typiquement, trois approches sont privilégiées par les organisations dans le déploiement d'un modèle de gouvernance de l'équipe chargée de la protection des renseignements personnels : centralisée, décentralisée ou hybride8.

Le modèle de gouvernance centralisé consiste à désigner une personne ou une équipe centrale qui sera responsable de la protection des renseignements personnels au sein de votre organisation9. Le choix d'un modèle de gouvernance centralisé peut être privilégié pour une organisation de petite taille ou une organisation voulant avoir un point de chute unique en matière de protection des renseignements personnels, comme une personne occupant la fonction de RPRP ou un bureau central de protection de la vie privée (le « Bureau »)10. Ce modèle peut également être privilégié pour une organisation ayant un plus faible niveau de maturité en matière de conformité à la protection des renseignements personnels, mais qui souhaite opter pour modèle hybride. Dans ce dernier cas, le Bureau pourrait assurer le déploiement progressif du programme de conformité au sein des différentes lignes d'affaires ou départements de l'organisation, en assurerait la gestion, s'assurerait de la formation des parties prenantes et ferait le suivi des risques afférents.

Le modèle décentralisé (local), quant à lui, délègue la gestion des renseignements personnels aux différentes lignes d'affaires et départements de l'organisation. Ainsi, le rapport de force et la mise en place des politiques s'effectuent du bas vers le haut11. Ce type d'approche fait généralement en sorte que les contrôles et politiques développés par l'organisation en la matière sont plus axés sur la réalité d'affaire de l'organisation. Il est toutefois plus difficile d'avoir un portrait global du risque inhérent et d'avoir une uniformité dans les contrôles mis en place avec ce type de modèle. Cette approche convient notamment aux organisations ayant une structure hiérarchique horizontale, des activités hétérogènes et réparties dans de multiples juridictions.

L'approche hybride, quant à elle, combine l'approche centralisée et décentralisée. Concrètement, cela pourrait se matérialiser sous la forme suivante : une organisation assigne une personne responsable de la protection des renseignements personnels. Cette personne serait responsable d'une équipe qui ferait vivre le programme en développant les contrôles afférents (par exemple, un bureau de la protection de la vie privée ou les affaires juridiques de l'organisation). Des représentants du Bureau au sein des lignes d'affaires et départements internes de l'organisation supporteraient la mise en application et le déploiement du programme de conformité. Ce modèle est particulièrement utile dans les grandes organisations à structure hiérarchique verticale, notamment, et celles Suvrant dans différentes juridictions. En effet, ce dernier modèle favorise l'uniformité dans la mise en application du programme tout en assurant une gestion des exceptions au cadre de conformité par les représentants du Bureau quant aux spécificités des juridictions applicables dans lesquelles leurs départements ou fonctions évoluent. Il peut également favoriser l'adhésion à la culture de la protection des renseignements personnels par les employés12.

Les rôles et responsabilités des membres de l'équipe chargée du déploiement et de l'implantation du programme dépendront du modèle de gouvernance choisi et du partage des tâches liées à la gestion de la protection des renseignements personnels au sein de l'organisation. Ils peuvent également dépendre des cadres législatifs et réglementaires applicables13. Au-delà du rôle de Responsable de la protection des renseignements personnels, l'équipe peut être complétée par des personnes ayant d'autres fonctions : gestionnaires, analystes, avocats, coordonnateurs, conseillers en gestion d'incidents, etc. L'équipe peut aussi s'adjoindre des représentants au sein de ses différentes lignes d'affaires, qui possèdent des connaissances poussées sur les opérations.14.

De plus, certaines activités liées à la protection des renseignements personnels peuvent être travaillées en commun avec d'autres unités de l'organisation, par exemple, la sécurité de l'information, le département des services juridiques ou les technologies de l'information15. À ce sujet, la structure doit éviter les dédoublements de tâches et faciliter l'harmonisation des activités entre les différentes unités. Un comité regroupant des représentants des différentes unités impliquées peut également soutenir ces efforts de coordination et d'harmonisation. Notamment, il peut être convenu que la mise en place des mesures de sécurité techniques pour protéger la confidentialité (par exemple, le chiffrement, la tokénisation, etc.) des renseignements personnels et l'évaluation de leur suffisance est sous la responsabilité de la sécurité de l'information ou du département des technologies de l'information de l'organisation.

Nous sommes d'avis que le niveau hiérarchique auquel le ou la Responsable doit se rapporter devrait être suffisamment élevé pour que les fonctions exécutives de l'organisation aient un portrait juste au niveau de la conformité de celle-ci à ses obligations16. L'organisation devrait s'assurer que la personne responsable ait une vue indépendante et impartiale sur les risques en matière de protection des renseignements personnels et notamment, que cette personne ne cumule pas d'autres fonctions qui pourraient la placer en conflits d'intérêts dans l'exercice de ses responsabilités.

b. Formation et compétences recherchées

Les membres de l'équipe chargée de la protection des renseignements personnels de votre organisation peuvent avoir des profils variés, bien que certaines compétences ou expériences telles que des compétences au niveau légal, de la gestion de projet, de l'implémentation et d'exécution de contrôles, des audits et de la sécurité de l'information sont celles qui reviennent le plus souvent17.

Conclusion

Le présent chapitre avait pour objectif de vous exposer les différentes parties prenantes au Programme PRP et de vous présenter certaines approches pour structurer l'équipe chargée du programme au sein de votre organisation. Vous l'aurez constaté, un tel programme ne s'implante pas et ne s'exécute pas en silo et demande la contribution de plusieurs intervenants. Il est donc essentiel que les efforts de ces derniers s'articulent autour d'une vision et d'objectifs communs. Ces points seront notamment abordés lors du prochain chapitre.

Footnotes

1. Cette refonte est incarnée par l'adoption du projet de loi 64 le 22 septembre 2021; c'est donc la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021 c 25 qui modifie la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1

2. Au Québec, à défaut de nommer par écrit une personne responsable de la protection des renseignements personnels, cette fonction est dévolue à la personne ayant le plus haut niveau d'autorité de l'entreprise. Voir à ce sujet l'article 3.1 de la Loi 25. Cette personne est naturellement responsable de l'implantation, du suivi et de la performance des contrôles mis en place dans le cadre du Programme PRP.

3. Justine GOTTSHALL et Adam C. NELSON, « Developping a Privacy Compliance Program », Practical Law, 2016, Thomson Reuters, p.3-4.

4. Par exemple, voir à ce sujet l'article 3.1 al.2 de la loi 25 dans le cas où le rôle du responsable de la protection des renseignements personnels est délégué.

5. Par exemple, le titre et les coordonnées du responsable de la protection des renseignements personnels de l'organisation doivent être publiés sur le site web de l'entreprise (article 3.1 al.3 de la Loi 25).

6. Voir notamment, l'article 3.2 al.1 de la Loi 25 à ce sujet.

7. Par exemple, l'article 3.1 al.3 de la Loi 25, voir également l'article 4.1.2 de l'Annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000 c. 5 (« LRPDE ») ou l'article 37 (7) du Règlement général sur la protection des données, 2016/679. (« RGPD »).

8. Ron DE JESUS, "Introduction to Privacy Program Management", dans Privacy Program Management. Tools for managing privacy within your organization. 2nd ed., Portsmouth, International Association of Privacy Professionals, 2019, p.254, à la page 28.

9. Id., p.29.

10. Id.

11. Id.

12. Id., p.30.

13. Par exemple, au Québec, le rôle de "Responsable de la protection des renseignements personnels" est consacré à l'article 3.1 de la Loi 25, tandis que le RGPD fait référence à différents rôles, dont, notamment : le Responsable du traitement (article 24 et s.), le représentant du responsable du traitement qui n'est pas établi dans l'Union européenne (article 27) et le délégué à la protection des données (article 37).

14. Préc., note 8, p.30 - 31, voir également Justine GOTTSHALL et Adam C. NELSON, « Developping a Privacy Compliance Program », Practical Law, 2016, Thomson Reuters, p.3-4.

15. Notamment, en fonction du RACI, supra, section 1 du présent texte.

16. Notons à ce sujet que la fonction de responsable de la protection des renseignements personnels est dévolue par défaut à la personne ayant la plus haute autorité au sein de l'entreprise (article 3.1 al.2 de la Loi 25). Ajoutons à ce titre que la responsabilité des administrateurs, dirigeants ou représentants de l'organisation peut être retenue lorsqu'une infraction à la LPRPSP est commise, voir à ce sujet l'article 93 de ladite loi et de la Loi 25. Il est donc souhaitable que ces derniers soient en mesure de s'entretenir ponctuellement avec le responsable de la protection des renseignements personnels sur les risques de conformité inhérents.

17. Voir préc., note 8 à la page 32 à ce sujet.

