Le chien de garde qui surveille la collecte et l’utilisation des données personnelles des Québécois aura plus de mordant, promet la ministre de la Justice, Sonia LeBel.

Martin Croteau Martin Croteau
La Presse

En entrevue à La Presse, la ministre a confirmé son intention d’imposer des obligations beaucoup plus strictes aux entreprises qui compilent des renseignements. Pour s’assurer qu’elles s’y plient, elle donnera des pouvoirs accrus à la Commission d’accès à l’information (CAI).

« Si on donne plus d’obligations aux entreprises et qu’on n’a pas de conséquences au bout du compte, c’est un coup d’épée dans l’eau, c’est une profession de foi », a résumé Mme LeBel.

La CAI presse Québec depuis des années de moderniser la loi pour encadrer la manière dont les renseignements des Québécois sont compilés, analysés et, parfois, revendus.

À l’heure actuelle, l’organisme peut enquêter sur une entreprise qu’elle soupçonne d’avoir été négligente avec les renseignements des personnes. Mais c’est le Directeur des poursuites criminelles et pénales (DPCP) qui décide s’il intente des procédures pénales contre des contrevenants. Les sanctions sont « dérisoires », selon la ministre.

Même dans un cas comme celui de Desjardins, où 4,2 millions de personnes ont été touchées par un vol de données, une entreprise trouvée coupable ne s’expose qu’à une amende de 10 000 $, 50 000 $ en cas de récidive.

Ces amendes seront haussées de manière marquée, a indiqué Mme LeBel. La CAI aura également la possibilité d’imposer des sanctions pécuniaires administratives sans soumettre le dossier au DPCP, un peu comme un policier qui remet un constat d’infraction.

« On regarde si on peut augmenter ces pouvoirs et être capables aussi qu’il y ait des conséquences sur les entreprises qui sont de nature dissuasive », résume la ministre.

Contrôle, transparence, consentement

Sonia LeBel le reconnaît sans détour : la loi actuelle présente de graves « lacunes ». Elle souhaite la modifier pour que les Québécois reprennent le « contrôle » de leurs renseignements.

« Les gens ne sont pas au courant, illustre-t-elle. Je regarde mes enfants, Facebook, le nombre de nos données personnelles qui sont [échangées] à un rythme effarant au quotidien. Je pense que la première clé de tout ça, c’est la prise de connaissance des gens et le consentement éclairé. »

La ministre souhaite également imposer davantage de « transparence » aux entreprises. Pour l’heure, rien ne les oblige à divulguer une fuite de renseignements personnels sur sa clientèle. Et les utilisateurs du web ne sont pas clairement informés que des sites peuvent épier un éventail de renseignements sur eux, comme leurs intérêts personnels ou leurs habitudes de navigation.

Les citoyens ne savent pas, ils ne sont pas informés, ou quand c’est fait, c’est fait dans des notes de bas de page de consentement de confidentialité. On va se le dire franchement, personne ne les lit.

Sonia LeBel, ministre de la Justice

Elle cherchera à corriger cette lacune afin que la collecte des données se fasse avec le « consentement éclairé » des Québécois. Au passage, elle assure qu’elle n’hésitera pas à mettre au pas les géants du web tels Google ou Facebook, dont les pratiques ont maintes fois été décriées dans d’autres pays.

« L’Europe le fait, les autres pays le font, a dit Mme LeBel. À un moment donné, ils vont se trouver dans un univers où tout le monde est en train de se diriger vers ces solutions. Il ne faut pas s’empêcher de le faire parce qu’on est supposément petits. »

Vingt-cinq ans de laxisme

La loi qui encadre l’utilisation des renseignements personnels par les entreprises date de 1994, alors que la plupart des foyers branchés à internet utilisaient un modem, et bien avant que l’utilisation des données massives ne se répande.

Malgré les mises en garde répétées de la CAI au cours des dernières années, le gouvernement québécois n’a jamais légiféré pour moderniser la loi.

Le dossier a pris une tournure différente au cours des derniers mois. Début novembre, Desjardins a confirmé que la fuite de renseignements de membres orchestrée par un « employé malveillant » avait touché tous les particuliers. Quelques mois plus tôt, Capital One, qui compte 6 millions de clients au Canada, a révélé avoir été touchée par une brèche. À ces cas s’ajoutent ceux de Facebook-Cambridge Analytica, Revenu Québec, Yahoo, Equifax, British Airways et Marriott.

Le gouvernement Legault compte s’attaquer au problème sur trois fronts. Sonia LeBel modernisera les lois sur la protection des renseignements personnels dans les domaines privé et public, en plus d’encadrer les partis politiques. Le ministre des Finances, Eric Girard, présentera un projet de loi qui cible les agences de crédit. Quant au ministre délégué à la Transformation numérique, Éric Caire, il planche sur une politique sur la cybersécurité qui touchera les activités du gouvernement.

Extrait du rapport annuel de la Commission d’accès à l’information déposé à l’Assemblée nationale le 23 octobre

« La Commission est extrêmement préoccupée par la multiplication des fuites de données, d’autant plus que le risque qu’elles se produisent ne cesse d’augmenter : les entreprises, quel que soit leur secteur d’activité, accumulent des données toujours plus importantes de renseignements personnels et les stockent sans parvenir à leur offrir un niveau de protection suffisant. »