Lors de l’entrée en vigueur du règlement général sur la protection des données (RGPD, également connu sous le nom de GDPR), la protection des renseignements personnels (PRP) est devenue un sujet de préoccupation pour les dirigeants des organisations, inquiets des lourdes amendes prévues en cas de manquement en la matière. De nombreuses entreprises au Québec se sont demandé si oui ou non elles étaient assujetties à ce règlement et à ses nombreuses exigences.
En effet, si le Québec a été un précurseur en la matière, son arsenal légal n’était plus adapté depuis un certain temps à la situation actuelle et ni aux enjeux des technologies de plus en plus présentes et de plus en plus intrusives pour les individus.
Malgré les appels répétés de la Commission d’accès à l’information (CAI) et des professionnels du secteur, le législateur rechignait à se pencher sur ce domaine parfois complexe et aux répercussions potentiellement importantes sur les acteurs de l’industrie.
Il aura certainement fallu quelques scandales et les nombreuses fuites de renseignements personnels qui ont défrayé la chronique depuis l’été dernier pour finir de convaincre le gouvernement qu’il était temps d’agir.
C’est dans ce contexte que le 12 juin dernier, Mme LeBel, alors ministre de la Justice, a déposé le projet de loi 64 renforçant la protection des renseignements personnels.
Ce projet de loi propose des modifications substantielles à plusieurs lois et impacteront à terme tant le secteur public que le secteur privé.
Nous nous limiterons ici à vous présenter ce qu’il faut retenir de celles qui concernent la loi sur la PRP dans le secteur privé.
LA RESPONSABILISATION DES ENTREPRISES ET LES SANCTIONS
Mesure phare, s’il en est, le projet de loi 64 instaure de lourdes sanctions financières en cas de manquement aux obligations relatives à la protection des renseignements personnels. La Commission d’accès à l’information se verrait octroyer la possibilité d’infliger des sanctions administratives pécuniaires pouvant s’élever à 10 millions de dollars ou à 2% du chiffre d’affaires mondial (s’il est supérieur). La CAI pourrait engager des poursuites pénales. Dans ce cadre, des amendes maximales de 25 millions de dollars ou 4% du chiffre d’affaires.
Les individus pourraient quant à eux engager un recours en dommages et intérêts et obtenir un minimum de 1000$ en cas d’atteinte intentionnelle ou de faute lourde.
Avant d’en arriver aux sanctions, le projet de loi 64 s’inspire à nouveau du RGPD en instaurant le rôle de responsable de la PRP, l’équivalent du délégué à la protection des données.
Les entreprises devront se doter de « politiques et de pratiques en PRP » et les publier sur leur site web.
La PRP fera désormais partie de « tout projet de système d’information ou de prestation électronique » en imposant notamment des évaluations des facteurs relatifs à la vie privée, autrement dit, des analyses de risques spécifiques dès lors qu’il y aura collecte, utilisation, communication, conservation ou destruction de renseignements personnels.
Le responsable de la PRP jouera un rôle actif de conseil dans ces projets.
Le projet de loi introduit formellement dans le droit québécois la notion créée dans les années 90 en Ontario de protection de la vie privée dès la conception (ou « Privacy by Design ») ainsi que celle de protection de la vie privée par défaut (ou « Privacy by Default »).
Nous reviendrons sur ces deux notions dans un prochain article afin de vous les présenter plus en détail.
Enfin, ces mesures de saine gestion de la protection des renseignements personnels s’accompagneront de l’obligation pour les entreprises d’aviser la CAI et les personnes concernées des incidents de confidentialité dès lors qu’ils présentent un risque sérieux. À noter que cette obligation existe déjà au niveau fédéral et dans les autres provinces à l’exception de la Colombie-Britannique.
Le projet de loi irait même au-delà de ce qui se fait ailleurs en imposant ce signalement aux incidents constitués par une utilisation non autorisée de renseignements personnels.
CONSENTEMENT ET TRANSPARENCE
Le projet de loi 64 vient préciser les informations qui doivent être portées à la connaissance des personnes lors de la collecte de leurs renseignements personnels. Il s’agit des fins auxquelles ces renseignements sont recueillis, les moyens de collecte, les droits d’accès et de rectification et le droit de la personne de retirer son consentement.
Elle devra, le cas échéant, également être informée du nom du tiers pour qui la collecte est faite et de la possibilité que les renseignements soient communiqués à l’extérieur du Québec.
La personne pourra obtenir sur demande des « renseignements personnels recueillis auprès d’elle, des catégories de personnes qui ont accès à ces renseignements au sein de l’entreprise, de la durée de conservation de ces données, ainsi que des coordonnées du responsable de la protection des renseignements personnels ».
Le projet de loi vient ajouter que cette information doit être transmise à la personne concernée en termes simples et clairs, quel que soit le moyen utilisé pour recueillir les renseignements.
Le projet de loi vise également le recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage. Encore là, il y aura l’obligation d’information préalable du recours à une telle technologie ainsi que des moyens offerts, le cas échéant, pour les désactiver.
Dans le même esprit, le projet de loi introduit la notion de consentement exprès pour la collecte, l’utilisation et la communication de renseignements personnels sensibles. Seront considérés comme sensibles les renseignements personnels en raison de leur nature ou du contexte de leur utilisation ou de leur communication, impliquant ainsi un niveau élevé d’attente raisonnable en matière de vie privée.
En revanche, le projet de loi permettrait une utilisation secondaire de ces données personnelles, c’est-à-dire à des fins compatibles avec celles pour lesquelles elles ont été recueillies ou lorsqu’elles sont manifestement utilisées au bénéfice de la personne concernée.
De même, l’utilisation des renseignements personnels dans un contexte serait possible sans le consentement de la personne mais avec des exigences de transparence. Une exception est également prévue pour les transactions commerciales. De plus, les coordonnées d’affaires feraient l’objet d’une exclusion complète.
DE NOUVEAUX DROITS
Trois nouveaux droits inspirés du RGPD sont introduits par le projet de loi 64 :
- Le droit pour les individus à la portabilité des données – c’est-à-dire le droit d’obtenir une transcription écrite et intelligible incluant dans un format électronique structuré et couramment utilisé des renseignements personnels les concernant.
- Le droit à l’oubli – il s’agit ici pour l’individu de demander aux entreprises de cesser de diffuser leurs renseignements personnels et de supprimer tout hyperlien attaché à leur nom si la diffusion enfreint la loi ou une ordonnance judiciaire. Il en serait de même pour les cas où la diffusion porterait gravement atteinte à leur réputation ou à leur vie privée.
- Le droit de s’objecter à un traitement automatisé – c’est-à-dire d’être informé de son existence, des renseignements utilisés et des principaux facteurs et paramètres ayant conduit à la décision. L’individu pourrait faire corriger les renseignements le concernant et aurait la possibilité de présenter des observations.
LA COMMUNICATION À DES TIERS ET À L’EXTÉRIEUR DU QUÉBEC
Avec le projet de loi 64, il ne sera officiellement plus nécessaire pour les entreprises d’obtenir le consentement des personnes pour communiquer ses renseignements personnels à un fournisseur de services ou à un mandataire. Cette communication devra se faire dans le cadre d’un contrat écrit. Ce contrat devra préciser les mesures de protection à prendre pour assurer la confidentialité des renseignements en termes d’utilisation et de conservation. Le mandataire devra aviser sans délai le responsable de la PRP de toute violation ou tentative de violation. Ce dernier devra pouvoir effectuer toute vérification relative à cette confidentialité.
Concernant les communications à l’extérieur du Québec, le projet de loi 64 prévoit que l’entreprise devra effectuer préalablement une évaluation des facteurs relatifs à la vie privée afin de déterminer si les renseignements personnels bénéficieront « d’une protection équivalant à celle prévue à la présente loi ». Les entreprises devront tenir compte de la sensibilité des renseignements, de la finalité de leur utilisation, des mesures de protection et du régime juridique applicable.
À noter qu’il est prévu que le gouvernement publiera une liste d’États dont le régime juridique de protection des renseignements personnels équivaut à celui du Québec.
EN CONCLUSION
Ce projet de loi constitue assurément un grand pas dans le renforcement de la protection des renseignements personnels au Québec. Même si le chemin est encore long avant que ces exigences n’entrent en vigueur, même s’il est certain que des précisions et des ajustements interviendront, le mouvement est en marche et il faut se préparer.
Comme beaucoup des dispositions prévues sont inspirées des meilleures pratiques en vigueur et de dispositions du RGPD, In Fidem est dès à présent en mesure de vous accompagner pour vous permettre d’intégrer la gestion de la protection de la vie privée dans votre stratégie, vos projets et vos opérations.
N’hésitez donc pas à nous contacter pour en savoir plus et ainsi conserver toute la confiance de vos clients et de vos partenaires actuels et à venir.
