Le Québec est devenu le modèle nord-américain en matière de protection des renseignements personnels le 21 septembre dernier, avec l’adoption du projet de loi 64. Cette loi « qui a des dents », selon le ministre Éric Caire, permet au consommateur de mieux contrôler ses données personnelles et impose de nombreuses exigences aux entreprises qui les utilisent, sous peine d’amendes pouvant aller jusqu’à 25 millions de dollars. Que changera-t-elle dans nos vies ? Les entreprises sont-elles prêtes ? Trois experts font le point.
Première loi, première modernisation
« C’est une réforme du cadre réglementaire en matière de protection des données personnelles majeure, une refonte en profondeur, la première depuis 1993 », résume Charles Morgan, associé au cabinet McCarthy Tétrault.
« Au Québec, on a été la première juridiction à avoir une telle loi. Là, on est les premiers à la moderniser », note Éloïse Gratton, avocate spécialisée en protection de la vie privée chez BLG.
L’occasion est belle pour que le Québec devienne « le standard canadien », estime pour sa part Imran Ahmad, chef canadien du secteur Technologies chez Norton Rose Fulbright. « Je m’attends à ce qu’au fédéral, en Ontario, en Colombie-Britannique, on prenne bonne note et décide de faire la même chose […] Ça pourrait être la fondation pour les changements dans les 10 ou 20 prochaines années. »
21 lois modifiées
C’est pourtant dans une certaine indifférence, avec l’appui unanime des 116 députés présents, que l’Assemblée nationale a adopté le 21 septembre dernier la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
C’est que l’ancien projet de loi 64 est touffu, un mastodonte de 60 pages qui vient modifier 21 lois québécoises, de la Loi électorale à celle concernant la santé et la sécurité du travail ou la Régie de l’assurance maladie, et même la protection sanitaire des animaux.
Portabilité et consentement
Largement inspirée du Règlement général sur la protection des données (RGPD), entré en vigueur en 2018, la loi québécoise donne plusieurs droits au simple consommateur. Le premier, qui entrera en vigueur en septembre 2024, assure la « portabilité » de ses données. « On bâtit de plus en plus de profils numériques, rappelle M. Ahmad. Le fait que vous ayez mon profil ne devrait pas m’empêcher de le transférer ailleurs. La portabilité des informations, c’est de pouvoir prendre ses informations et les utiliser chez quelqu’un d’autre. »
Un autre volet important pour le consommateur est l’obligation qu’auront les entreprises d’obtenir son consentement « manifeste, libre et éclairé » pour la récolte et l’utilisation des données.
Finies, donc, les politiques de confidentialité de plusieurs centaines de pages rédigées en termes juridiques obscurs, que pratiquement personne ne lisait, mais qu’on considérait comme implicitement acceptées.
L’entreprise doit en outre préciser à quelle « catégorie de tiers » les informations pourraient être transférées. Enfin, la loi offre un « droit à l’oubli », en vertu duquel les utilisateurs peuvent demander la correction ou l’effacement des informations après un délai raisonnable. Ce droit n’est pas absolu et tient compte de l’intérêt public d’une information, par exemple une condamnation.
Signalements et responsables désignés
Les deux premières dispositions qui entreront en vigueur dès septembre 2022 sont déjà bien connues de nombreuses entreprises : elles doivent désigner un responsable de la protection des renseignements personnels, qui peut provenir de l’extérieur, et signaler à la Commission d’accès à l’information tout enjeu de confidentialité qui présente un risque sérieux de préjudice. « Ces deux éléments étaient déjà présents au niveau fédéral, ça ne devrait pas poser trop de problèmes aux entreprises québécoises, estime Charles Morgan. Si elles faisaient déjà des affaires dans le reste du Canada ou étaient de compétence fédérale, elles étaient déjà au fait de ces obligations. »
Évaluer les risques
Un des éléments de la loi qui pourrait s’avérer plus complexe pour les entreprises, c’est la nécessité de fournir des « évaluations des facteurs à la vie privée » (EFVP) pour tout produit. « Avant de lancer un gros projet, de refonte du système d’information ou des prestations électroniques de services qui implique de collecter des renseignements personnels, il faut faire une analyse de risque d’atteinte à la vie privée, de ce que l’entreprise va faire pour limiter ces risques-là », explique Eloïse Gratton.
Il s’agit de documents qui peuvent s’avérer très complexes à élaborer, souligne-t-elle, et qui seront les premiers demandés par la Commission d’accès à l’information si on soupçonne une infraction. « Il y a plein de zones grises. Je vois mal comment quelqu’un qui n’est pas avocat ou qui ne pratique pas dans ce domaine à temps plein pourrait conseiller une entreprise à ce sujet. Ça m’inquiète un peu. »
Protection à l’étranger
On demandera également des évaluations aux entreprises pour le transfert de données à l’extérieur du Québec. Il s’agit carrément d’« une erreur du législateur », dénonce Me Gratton. C’est en effet à l’entreprise elle-même d’établir si la province ou le pays visé offre un cadre « adéquat » pour la protection des données, une responsabilité des autorités en Europe, par exemple.
« On force l’entreprise à évaluer le régime juridique de l’État qui va recevoir les données, c’est une tâche colossale […] On est la seule juridiction au monde à avoir cette obligation, ça ne devrait pas être laissé aux entreprises, il va y avoir beaucoup d’incohérences. »
Nouvelles pénalités
En cas d’infraction, la loi introduit de nouvelles sanctions pécuniaires qui pourront être imposées directement par la Commission d’accès à l’information. Elles peuvent être d’un montant maximal de 10 millions ou 2 % du chiffre d’affaires mondial de l’entreprise fautive. De nouvelles infractions pénales sont également créées, lesquelles peuvent valoir aux entreprises de lourdes amendes pouvant s’élever à 25 millions ou 4 % du chiffre d’affaires.
Ces sommes, encore une fois calquées sur l’Europe, sont démesurées, estime Charles Morgan. « L’Europe, c’est un marché de 450 millions de personnes, le Québec, de 8 millions. Je m’inquiète que ça fasse fuir certains investisseurs. »
Imran Ahmad, lui, se demande comment ces amendes s’harmoniseront avec les mesures du fédéral, qui devrait adopter une nouvelle version de la loi C-11, tombée au feuilleton, qui prévoyait des pénalités semblables. Il croit peu probable que les amendes imposées soient excessives. « Les approches québécoise et canadienne sont généralement plus amicales, on cherche le consentement des parties pour aller vers la conformité. »