La conformité à la Loi 25 n'est pas réservée aux grandes organisations avec des équipes juridiques dédiées. Mais que l'on soit une PME de 10 personnes ou une entreprise de 500 employés, certaines erreurs reviennent systématiquement. Non par mauvaise volonté, mais parce que la démarche n'est pas instinctive pour la plupart des gestionnaires.
Voici les cinq erreurs les plus fréquentes, et ce que vous pouvez faire pour les éviter.
1. Traiter la conformité comme un projet informatique
Pourquoi c'est un problème : La technologie est une partie de la réponse, mais la protection des renseignements personnels est fondamentalement un enjeu organisationnel. Les politiques, les processus, les formations, la gouvernance : tout cela dépasse largement le mandat du département TI.
Quand la conformité est déléguée entièrement à l'équipe informatique, plusieurs dimensions sont systématiquement négligées : les dossiers papier, les pratiques de communication interne, la gestion des ressources humaines, le traitement des données par les équipes de vente ou de service à la clientèle. Ces zones ne sont souvent visibles que lorsqu'un incident survient.
Ce qu'il faut faire à la place : Traiter la conformité comme un projet de gestion du changement. Le responsable de la protection des renseignements personnels doit avoir un accès transversal à l'organisation, pas être confiné à un seul département. Les TI sont un partenaire, pas le propriétaire.
2. Ignorer les dossiers physiques
Pourquoi c'est un problème : La Loi 25 s'applique aux renseignements personnels, peu importe leur support. Un classeur contenant des dossiers d'employés, des formulaires clients signés ou des relevés de santé est aussi couvert qu'une base de données SQL.
Beaucoup d'organisations font un inventaire numérique rigoureux et oublient complètement ce qui est imprimé, archivé ou encore circulé sur papier. Pourtant, un dossier papier mal classé, envoyé au mauvais destinataire ou accessible à des personnes non autorisées constitue un incident de confidentialité au même titre qu'une fuite de données électronique.
Ce qu'il faut faire à la place : Inclure les documents physiques dans votre inventaire des renseignements personnels. Définir des règles de conservation et de destruction pour les documents papier (déchiquetage sécuritaire). S'assurer que les espaces où ces documents sont accessibles sont contrôlés.
3. Pas de plan de réponse aux incidents
Pourquoi c'est un problème : La Loi 25 impose une obligation de notification à la Commission d'accès à l'information (CAI) et à la personne concernée dans un délai de 72 heures lorsqu'un incident présente un risque sérieux de préjudice. Ce délai commence à courir dès que vous prenez connaissance de l'incident.
Découvrir les exigences de la règle des 72 heures au moment même où vous gérez un incident, c'est la pire façon de la connaître. Sans plan préparé à l'avance, vous perdrez du temps à chercher quoi faire, qui contacter et comment rédiger la notification, pendant que le délai s'écoule.
Ce qu'il faut faire à la place : Préparer un plan de réponse aux incidents avant qu'un incident survienne. Ce plan doit inclure : qui est responsable de la coordination, comment évaluer le risque de préjudice, les modèles de notification à la CAI et aux personnes concernées, et le registre où documenter l'incident.
4. Une politique de confidentialité rédigée une fois, jamais mise à jour
Pourquoi c'est un problème : Une politique de confidentialité est un document vivant. Chaque fois que vous adoptez un nouvel outil numérique, changez vos pratiques de collecte, ajoutez un fournisseur qui traite des données pour vous, ou modifiez vos durées de conservation, votre politique devrait être révisée.
Une politique qui décrit des pratiques que vous n'avez plus, ou qui omet des pratiques actuelles, crée une fausse représentation auprès de vos clients et employés. Elle peut aussi vous exposer si une plainte démontre que ce que vous faites ne correspond pas à ce que vous avez déclaré.
Ce qu'il faut faire à la place : Définir un calendrier de révision annuel pour votre politique. Ajouter une vérification de la politique dans le processus d'adoption de tout nouveau fournisseur ou outil qui traite des renseignements personnels. Documenter la date des révisions et les changements apportés.
5. Aucune formation des employés
Pourquoi c'est un problème : Une politique excellente ne sert à rien si les personnes qui traitent les renseignements personnels au quotidien ne la connaissent pas, ou ne savent pas comment l'appliquer. La grande majorité des incidents de confidentialité ont une cause humaine : une erreur d'envoi, un mot de passe partagé, une demande d'accès ignorée parce que l'employé ne savait pas quoi en faire.
La Loi 25 exige explicitement des mesures de formation et de sensibilisation (art. 3.2). Ce n'est pas une recommandation, c'est une obligation.
Ce qu'il faut faire à la place : Former tous les employés qui touchent à des renseignements personnels, dès leur intégration et annuellement par la suite. La formation doit couvrir les bases de la loi, la politique interne et les procédures propres à leur rôle. Documenter les formations pour être en mesure de le démontrer.
Ces cinq erreurs ont en commun d'être toutes évitables avec une organisation claire et un peu d'avance. La conformité à la Loi 25 n'est pas un projet à faire une fois et à oublier; c'est une pratique continue qui s'intègre aux opérations.
Observantia est conçu pour aider les organisations à structurer cette pratique : inventaire des renseignements, gestion des incidents, formation des équipes et documentation de conformité, dans un seul espace.
Ce contenu est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour des questions spécifiques à votre situation, consultez un conseiller juridique qualifié.