(Québec) Fini les petits caractères en bas de page ou les textes interminables et incompréhensibles par lesquels les entreprises réussissent à mettre la main sur nos données personnelles. Elles devront bientôt demander un consentement clair et explicite au consommateur qui pourra le retirer quand il le voudra, en vertu de la nouvelle mouture de la Loi sur la protection des renseignements personnels.

« La loi va redonner [au citoyen] le contrôle de sa donnée », tranche la ministre de la Justice, Sonia LeBel. Pour élaborer son projet de loi — qui sera déposé d’ici quelques semaines à l’Assemblée nationale —, la ministre du gouvernement Legault affirme s’être inspirée des « meilleurs standards » au monde en matière de protection des données.

« Le Québec va être, à tout le moins, dans le peloton de tête, naturellement dans notre juridiction », a assuré la ministre LeBel, en entrevue avec La Presse. « On s’en va vers les modèles européens, et c’est ce qui est reconnu comme le plus avancé. »

PHOTO PASCAL RATTHÉ, COLLABORATION SPÉCIALE

Pour Sonia LeBel, ministre de la Justice, il est clair que le citoyen doit savoir dans quoi il s’embarque avant de consentir à donner accès à ses renseignements personnels.

À l’ère où les fuites de données personnelles se multiplient et que leur utilisation inquiète de plus en plus les consommateurs, Québec a choisi de moderniser sa Loi sur la protection des renseignements personnels dans le secteur privé, qui date de 1994. La révision s’appliquera aussi aux organismes publics et aux partis politiques.

La loi actuelle « manque de mordant » et « de balises précises », reconnaît Mme LeBel. « Je pense que le plus gros irritant du citoyen, ce n’est pas l’utilisation de la donnée, parce que, dans la majorité des cas, ça ne lui dérange pas, même que ça peut faire son affaire, mais c’est plutôt le fait qu’il n’est pas au courant de l’ampleur de cet usage, de ce qu’on fait avec. […] C’est là où le bât blesse », résume la ministre.

La révision de la notion de consentement sera donc la pierre d’assise de la future loi, avec le rehaussement « suffisamment significatif » des sanctions pécuniaires pour dissuader les entreprises de ne pas s’y conformer. La Commission de l’accès à l’information — l’organisme de surveillance qui veille à l’application de la loi — disposera aussi de « plus de moyens d’action » pour mettre les entreprises au pas.

Savoir à quoi s’en tenir

Pour Sonia LeBel, il est clair que le citoyen doit savoir dans quoi il s’embarque avant de consentir à donner accès à ses renseignements personnels. Pour garantir un « consentement éclairé », l’entreprise devra expliquer « dans un langage clair » ce qu’elle demande au consommateur. « Et pas dans un langage d’avocat », prévient la ministre.

« Il va falloir que ce soit mieux fait, ça va faire partie de la loi », affirme-t-elle. La procureure générale souhaite aussi introduire une notion de « consentement spécifique », ce qui veut dire que le consommateur pourrait donner ou non son autorisation à différents usages de ses données personnelles.

À titre d’exemple, un usager pourrait consentir à ce que ses renseignements soient utilisés par l’application ou le système auquel il souhaite adhérer, mais refuser que ses données personnelles soient communiquées ou vendues à un tiers. Il pourrait aussi renoncer à du référencement ou à de la publicité ciblée.

Le problème, dans certains cas, c’est que le consentement de base l’emporte pour tout. Et souvent, tu n’as pas le choix de consentir. C’est “tu consens à tout ou à rien pantoute”.

Sonia LeBel, ministre de la Justice

« Ce n’était peut-être pas problématique il y a 10 ans, mais ça le devient avec [l’étendue actuelle] de la collecte de données », précise-t-elle.

Difficile de reculer

Elle tient aussi à ce que le consommateur puisse retirer quand bon lui semblera son consentement. Pour l’heure, il n’existe aucune obligation pour une entreprise de respecter la volonté de quelqu’un qui voudrait le faire. La ministre LeBel songe également à définir une notion qui permettrait de réclamer la destruction des données.

À ce chapitre, la ligne est plus difficile à tracer, admet-elle. « On ne parle plus de documents dans un classeur, illustre-t-elle. On est en train de trouver le meilleur moyen pour le faire. Par exemple, une entreprise pourrait bien détruire ce qu’elle détient, mais qu’est-ce qu’elle peut faire pour ce qui a circulé sur le Net ? »

Les données pourraient être « à tout le moins mises sous loquet », propose-t-elle. Reste que la complexité à circonscrire les données dispersées sur la Toile renforce la nécessité de bien encadrer et baliser le consentement, qui devient en quelque sorte la porte d’entrée. « Il y a une grande portion d’éducation », ajoute la ministre LeBel.

Sonia LeBel refuse de rejeter la faute sur le citoyen qui donne accès à ses données de façon un peu insouciante ou à l’entreprise qui n’en fait pas un usage tout à fait exemplaire.

Ç’a été vite, cette évolution-là, et je pense qu’il y a une petite portion d’inconscience collective de tous les côtés.

Sonia LeBel, ministre de la Justice

« Là, on vient replacer la barre, la remettre à un niveau acceptable pour tout le monde », ajoute la ministre.

Caractère dissuasif

La procureure générale du Québec raffermira le caractère dissuasif de la loi en vigueur en rehaussant les sanctions pour les entreprises fautives. Actuellement, une entreprise qui aurait été négligente avec les renseignements personnels pourrait se voir imposer une amende de 10 000 $, 50 000 $ en cas de récidive, ce qui est dérisoire, a-t-elle déjà reconnu.

« Il faut compter sur la bonne foi [des entreprises], mais tu ne peux pas compter là-dessus à 100 % », a-t-elle expliqué à La Presse. « On veut rehausser des standards, mais même dans les meilleures pratiques, il peut y avoir du vol de données par le facteur humain », prévient Mme LeBel.

« On ne peut pas être à l’abri de tous les incidents possibles, mais l’idée, c’est de réduire le risque au minimum. » Par ailleurs, l’obligation pour les entreprises et les organismes publics de déclarer les incidents de sécurité, comme les fuites, « pourrait faire partie » de la nouvelle loi.

Cela peut paraître surprenant, mais rien n’oblige à l’heure actuelle une société à divulguer une fuite de renseignements personnels. « D’où la modification de la loi. Il faut se remettre dans le contexte où à l’époque, il n’y avait pas de téléphone cellulaire », lance-t-elle.

Il faut rappeler qu’en plus des travaux de Sonia LeBel, une politique sur la cybersécurité touchant les activités du gouvernement est attendue par le ministre délégué à la Transformation numérique, Éric Caire. Le ministre des Finances, Eric Girard, a aussi déposé en décembre un projet de loi sur les agences d’évaluation du crédit, comme Equifax, pour les obliger à offrir des services comme le gel ou le verrou de crédit en cas de vol de données.

Trois autres chantiers

Réforme sur le droit de la famille

La ministre de la Justice devra piloter ce printemps l’imposante et complexe réforme du droit de la famille visant à moderniser des lois datant des années 80 pour s’assurer d’établir « une protection » lors d’une séparation pour les couples non mariés qui ont des enfants. « La notion qui va guider toutes nos décisions, c’est l’intérêt de l’enfant », assure Sonia LeBel. Les changements législatifs créeront « des mécanismes » pour rétablir le « déséquilibre » qui peut s’être créé « par le projet parental ».

Par exemple, si madame ou monsieur a choisi de mettre sa carrière en veilleuse le temps de fonder une famille, il se peut que les conjoints ne se retrouvent pas dans une situation d’équilibre au moment de la rupture, ce qui peut défavoriser l’enfant. « Il y a des sensibilités là-dedans qui sont énormes […], je veux avancer prudemment. Je ne veux pas rater mon coup », indique Mme LeBel. La réforme sera scindée en deux projets de loi distincts — l’un sur la conjugalité et l’autre sur la filiation (gestation pour autrui) — qui pourraient être déposés d’ici juin 2020.

Exit, le délai de prescription

Sonia LeBel maintient son engagement de présenter d’ici juin 2020 un projet de loi abolissant le délai de prescription pour les victimes d’agressions sexuelles. « J’ai déjà pris cet engagement, il n’a jamais été question de ne pas le respecter, c’est juste qu’il y a beaucoup d’impacts à changer une prescription dans le Code civil, il faut juste évaluer tout ça. On va le faire, mais il faut juste être conscient de l’analyse de tout ça », a assuré la ministre de la Justice. Pour l’heure, le Code civil fixe à 30 ans le délai pour poursuivre son agresseur du moment où la victime a connaissance que son préjudice est attribuable à l’acte commis.

Bémol sur les bracelets électroniques

Bien que les partis de l’opposition s’entendent tous pour que Québec étudie la possibilité d’imposer le port de bracelets électroniques de type « anti-rapprochement » dans des cas de violence conjugale, la ministre de la Justice — sans écarter la possibilité qui fait l’objet « d’études sérieuses », dit-elle — émet certains bémols quant à leur utilisation.

« Ça découle du droit criminel, rappelle-t-elle. Donc, ce serait au fédéral de le mettre en action, si juridiquement c’est possible. On parle aussi qu’on le fait en France, mais en France, ils le font après condamnation et sur consentement. Dans les cas de figure dont on discute au Québec, ça ne s’appliquerait pas. » Elle croit par ailleurs qu’il serait difficilement justifiable d’imposer un tel bracelet avant une condamnation parce qu’il s’agit d’une « privation de liberté ».