Le pouvoir et l’argent vont souvent ensemble. L’un ne sert souvent pas à grand-chose sans l’autre. Ce constat n’est pas étranger à la Commission d’accès à l’information du Québec, qui déplorait récemment son manque de budget pour ses nouvelles prérogatives en matière de protection des données. Alors que le gouvernement du Québec vient de dévoiler son budget provincial pour l’année 2023-2024, les souhaits de la Commission semblent avoir été (en partie) exaucés.

Il y a un peu plus d’un an, le projet de loi 64 visant à moderniser des dispositions législatives en matière de protection des renseignements personnels était adopté en grande pompe et devenait officiellement la loi 25. Cette réforme était perçue comme indispensable pour moderniser les règles protégeant les renseignements personnels des Québécois afin qu’elles soient mieux adaptées aux nouveaux défis posés par l’environnement numérique et technologique actuel. Ce faisant, le Québec suivait la marche ouverte par le législateur européen tout en montrant la voie à ses homologues du reste du Canada. Cette lame de fond se confirme aujourd’hui sur le plan fédéral avec le projet de loi C-27 qui semble bien engagé dans le processus parlementaire.

Oui, mais voilà. Il fallait aussi donner à la Commission d’accès à l’information du Québec, responsable de l’application de cette nouvelle loi 25, les moyens de ses ambitions. Et le législateur n’y est pas allé de main morte pour éviter toute lettre morte.

Ainsi, en plus d’un droit privé d’action à la disposition des individus, la Commission peut imposer des sanctions administratives pécuniaires ou intenter des poursuites pénales pour non-conformité aux nouvelles exigences.

Et les montants forcent l’attention : des sanctions pouvant aller jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial et des amendes pouvant monter jusqu’à 25 millions ou 4 % du chiffre d’affaires mondial. C’est plus que nos voisins européens. C’est le bâton qui cache la carotte.

Un tel changement méritait un temps d’ajustement. C’est pourquoi la loi 25 a été conçue pour entrer en vigueur en trois phases successives. La première, qui a eu lieu l’année dernière, le 22 septembre 2022, introduisait principalement la nouvelle figure du responsable de la protection des renseignements personnels ainsi que le signalement obligatoire de certains incidents de confidentialité1. La deuxième, la plus importante, qui marquera l’entrée en vigueur de la quasi-totalité des dispositions de la loi 25 et de possibles sanctions ou amendes pour les organisations, est prévue le 22 septembre de cette année. Une date qui ne devrait laisser personne indifférent. La troisième, finalement, concerne un seul droit qui entrera en vigueur le 22 septembre 2024.

Des babines aux bottines

C’était donc un départ en douceur sur le papier. Une poignée de nouvelles exigences pour ouvrir le bal. C’est finalement un démarrage sur les chapeaux de roues qui s’est précisé pour la Commission. Le nombre de signalements d’incidents de confidentialité a bondi : environ quatre fois plus en 2022 qu’en 2021. Tout porte à croire que ce chiffre va continuer d’augmenter. Et ce n’est que le début puisque le gros de la loi 25 n’est même pas entré en vigueur…

La Commission a logiquement demandé plus de moyens pour assumer cette nouvelle charge de travail. Dans les fins détails⁠2, selon la Commission, le budget aurait dû passer de 8,2 millions en 2022 à environ 14 millions en 2023, avec une augmentation annuelle de 9 millions supplémentaires à partir de 2024-2025, soit lors de la pleine entrée en vigueur de la loi 25. Cette somme viserait notamment à doubler son personnel. Le budget provincial est tombé, l’heure est donc au compte. Reste à voir si les comptes sont justes. Le budget de dépenses 2023-2024 du programme Institutions démocratiques, accès à l’information et laïcité est donc augmenté de 3,2 millions par rapport à la dépense probable 2022-2023. Cette augmentation « s’explique principalement par des crédits additionnels octroyés pour renforcer la protection des renseignements personnels et la cybersécurité à l’ère numérique ». Plus avant, la Commission dispose maintenant d’un budget de 12,6 million pour l’année 2023-2024. Il y a donc une évolution significative, même si la somme apparaît un peu en deçà des attentes de la Commission.

Guider avant de sanctionner

Ces ressources additionnelles sont aussi logiques qu’indiscutables. La Commission occupe une place déterminante dans l’effectivité de la nouvelle loi 25. Mais les organisations ont également une place de premier plan à jouer dans la mise en œuvre même de la loi 25. Et, à l’heure actuelle, alors qu’elles s’affairent pour la plupart à mettre en œuvre des plans de conformité, non seulement pour se conformer à la première phase, mais aussi pour se préparer à l’étape charnière de cette année, force est de constater qu’il y a encore beaucoup d’incertitude qui mine cette volonté.

Certaines règles, aussi fondamentales que celles concernant le transfert de données, le consentement ou la transparence sont encore ambiguës pour une grande partie de l’industrie et de la communauté juridique.

Cette augmentation de budget de la Commission est donc pleine d’espoir pour les organisations et le public ultimement. Toute organisation devrait bien comprendre ce qu’on attend d’elle et bénéficier de lignes directrices claires ayant fait l’objet de consultations publiques. Nul doute qu’un tel processus collaboratif et éducatif l’emporterait sur la sanction immédiate. Les travaux de la Commission vont déjà dans ce sens. C’est maintenant tout le bien qu’on souhaite à ce budget.

1. Lisez la lettre d’Antoine Guilmain : « Incidents de confidentialité : une règle de trois avant de signaler » 2. Lisez l’article d’Hugo Joncas : « La présidente veut plus d’argent pour faire appliquer les nouvelles lois » Qu'en pensez-vous? Exprimez votre opinion