Projet de loi 64 : Le gouvernement du Québec entreprend une réforme importante du régime de protection des renseignements personnels

La Loi sur la protection des renseignements personnels dans le secteur privé[1] (la « Loi sur le secteur privé »), adoptée il y a maintenant plus de 25 ans, a été implantée à une époque où le Québec était alors la première province à se doter d’une loi visant à assurer la protection des renseignements personnels. Or, les lois subséquentes adoptées par le gouvernement fédéral et les avancées technologiques des dernières années ont fait en sorte que la Loi sur le secteur privé n’est plus adaptée au contexte actuel et, au surplus, n’est pas cohérente ni avec les lois canadiennes et les lois équivalentes des autres provinces, ni avec le Règlement général sur la protection des données (RGPD) de l’Union européenne, qui semble devenir de plus en plus une norme de référence internationale.

Le 12 juin dernier, le Projet de loi no 64, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « Projet de loi ») fut déposée devant l'Assemblée nationale du Québec.

Selon le gouvernement, une fois adopté, le projet de loi viendra favoriser la transparence, rehausser le niveau de confidentialité des données et renforcer le consentement des utilisateurs, en rehaussant la responsabilité des ministères et organismes, des entreprises privées ainsi que, pour la toute première fois, des partis politiques[2]. Inspirées de ce qui est mis en œuvre dans d’autres juridictions canadiennes et au sein de l’Union européenne, les modifications proposées demeurent une solution élaborée au Québec avec des spécificités bien locales. L’harmonisation complète de toutes les pièces législatives en vigueur au Canada relatives à la protection de la vie privée que certains souhaitent reste encore à faire.

Le présent article porte sur les amendements proposés à la Loi sur le secteur privé, les changements qui seront apportés au régime actuel et leurs conséquences pour les entreprises qui devront les implémenter.

Ce qu’il faut retenir

  • Des sanctions administratives importantes pouvant être imposées par la Commission d’accès à l’information (la « CAI») pouvant aller jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial si ce montant est plus élevé et des sanctions pénales pouvant aller jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial.

  • La possibilité pour une entreprise d’être poursuivie en dommages-intérêts.

  • L’obligation de nommer un responsable de la protection des renseignements personnels et d’établir des règles de gouvernance.

  • De nouvelles obligations lorsque survient un incident de confidentialité.

  • De nouveaux droits pour les individus quant à la portabilité des données, au droit à l’oubli et au droit de s’objecter au traitement automatisé de leurs renseignements personnels.

  • La création d’une exception permettant la communication de renseignements personnels dans le cadre d’une transaction commerciale sans le consentement préalable des personnes concernées.

  • Le retrait pour les entreprises de la possibilité de communiquer, sans le consentement des personnes concernées, des listes nominatives et de nouvelles règles encadrant l’utilisation des renseignements personnels à des fins de prospection commerciale ou philanthropique.

  • L’obligation pour les entreprises de s’assurer que les paramètres des produits et services technologiques qu’elles utilisent assurent les plus hauts niveaux de confidentialité.

Des modifications significatives pour les organismes privés

Des sanctions plus sévères

Au niveau administratif, la nouvelle législation, si elle est adoptée, octroiera plus de pouvoirs à la CAI qui pourra désormais imposer des sanctions administratives pécuniaires aux contrevenants. Quant au secteur privé, la CAI aura le pouvoir d’imposer des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 2 % du chiffre d’affaires mondial d’une entreprise (pour l’exercice financier précédent)[3].

Au niveau pénal, le Projet de loi prévoit une augmentation des sanctions pénales en cas d'infraction à la Loi sur le privée, soit jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial d’une entreprise si ce montant est plus élevé, l’amende minimale étant de 15 000$[4]. À titre comparatif, la Loi sur le privé prévoit actuellement des amendes de 1 000$ à 10 000$ et une amende pouvant aller jusqu’à 20 000$ en cas de récidive[5].

Au surplus, le Projet de loi introduit la possibilité pour une personne d’intenter un recours en dommages-intérêts fondé sur l’atteinte à un droit prévu à la Loi sur le privé ou à un droit relatif à la protection de la vie privée énoncé dans le Code civil du Québec[6]. En cas d’atteinte intentionnelle ou de faute lourde, le Projet de loi prévoit des dommages-intérêts punitifs d’au moins 1 000$[7].

L’obligation de nommer un responsable de la protection des renseignements personnels et d’adopter des bonnes pratiques de gouvernance

Suivant les dispositions du Projet de loi, au sein d’une entreprise, le plus haut dirigeant sera responsable de la protection des renseignements personnels. Toutefois, celui-ci aura la possibilité de déléguer cette fonction à un membre du personnel dont les coordonnés et le titre devront être publiés sur le site Internet de l’entreprise[8]. Cette nouvelle exigence s’apparente à celle prévue à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)[9] et au RGPD de l’Union européenne. Par ailleurs, toute personne qui exploite une entreprise devra procéder à une évaluation des facteurs relatifs à la vie privée lors de la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels de tout projet de système d’information ou de prestation électronique de services[10]. Le Projet de loi prévoit aussi l'obligation pour les organisations d'adopter des règles de gouvernance relatives à la protection des renseignements personnels qui doivent prévoir notamment un encadrement précis pour leur destruction et leur conservation[11]. Ces politiques et pratiques mises en place doivent être approuvées par le responsable de la protection des renseignements personnels et publiées sur le site Internet de l’entreprise.

L’obligation de signaler les « ’incidents de confidentialité » 

Le Projet de loi vise également à introduire une obligation pour les organisations de traiter de façon transparente les « incidents de confidentialité » impliquant des renseignements personnels. De cette obligation découle l’obligation de signalement à la CAI[12] lorsque l’incident en question présente un risque qu’un sérieux préjudice soit causé. Pour évaluer le risque de préjudice, le Projet de loi prévoit que la personne qui exploite une entreprise doit considérer notamment « la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables »[13]. Au surplus, une personne qui exploite une entreprise doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice en découle et éviter que de tels incidents se reproduisent. Ce nouveau cadre législatif est semblable à ce qui est actuellement prévu dans la LPRPDE et la Personal Information Protection Act[14] (PIPA) de l’Alberta. De plus, comme c’est le cas sous la LPRPDE[15], les entreprises devront tenir un registre des incidents de confidentialité qui devra être transmis sur demande à la CAI.

Les paramètres des produits ou services technologiques

Les propositions d’amendements à la Loi sur le secteur privé prévoient que, lorsqu’une entreprise recueille des renseignements personnels en offrant un produit ou un service technologique, l’entreprise devra s’assurer que les paramètres de ce produit ou de ce service assurent le plus haut degré de confidentialité, et ce, sans que la personne concernée n’ait à intervenir[16]. Cette nouvelle obligation semble s’inspirer de la notion de « protection des données par défaut » que l’on retrouve à l’article 25 du RGPD.

La notion de tiers

Le Projet de loi prévoit que la Loi sur le privé s’appliquerait non seulement à l’entreprise qui conserve des renseignements personnels, mais aussi lorsque la conservation de ces renseignements est assurée par des tiers[17]. Ainsi, l’obligation qui incombe à l’entreprise sujette à la Loi sur le privé s’étend également à ses tiers cocontractants. Cela implique nécessairement que si une entreprise héberge des données sur un serveur d’un tiers par exemple, elle devra tout de même en assurer la confidentialité.

Les transactions commerciales

Au Québec, actuellement, la Loi sur le secteur privé ne prévoit pas d’exception au consentement que doit donner une personne concernant la collecte et la divulgation de ses renseignements personnels dans le cadre d’une transaction commerciale, créant certains problèmes pratiques. En vertu du Projet de loi, la communication d’un renseignement personnel sur une personne sans son consentement serait autorisée lorsque nécessaire pour les fins de conclusion d’une transaction commerciale et sous réserve de certaines modalités, soit[18] :

  • la conclusion d’une entente avec l’autre partie qui comporte des clauses spécifiques quant à la communication, la protection et la destruction des renseignements personnels;

  • l’utilisation et la communication du renseignement en conformité avec la Loi sur le privé lorsque la transaction commerciale est conclue et que le renseignement personnel souhaite être utilisé; et

  • l’avis de la détention des renseignements personnels aux personnes concernées après la conclusion de la transaction commerciale.

Cette nouvelle disposition proposée s’aligne avec la loi fédérale, la LPRPDE, qui prévoit une exception à l’obtention du consentement d’une personne concernée dans un contexte de transaction commerciale ainsi que d’autres lois provinciales comme la PIPA et la Personal Information Protection Act[19] de la Colombie-Britannique.

L’obligation de détruire et d’anonymiser

Le Projet de loi prévoit que les entreprises devront détruire ou anonymiser (c.-à-d. mettre en place de mesures techniques qui permettent qu’un renseignement concernant une personne ne puisse plus être utilisé pour l’identifier) un renseignement personnel concernant un individu lorsque les fins pour lequel il a été recueilli ou utilisé sont accomplies, à moins qu’un délai de conservation soit prévu par une loi[20].

L’utilisation de la technologie pour la collecte de renseignements

Le Projet de loi prévoit une obligation d'information à l'égard des outils technologiques qui permettent la localisation, la surveillance ou le profilage qui sont utilisés pour recueillir des renseignements personnels auprès d’une personne. Cette personne devra être informée du recours à un tel outil technologique et des moyens offerts pour désactiver les fonctions permettant l’identification, la localisation ou le profilage[21].

De nouvelles exceptions au consentement

Le Projet de loi prévoit l’ajout de la possibilité d'utiliser des renseignements dépersonnalisés à des fins d'étude, de recherche ou de statistique[22]. Le Projet de loi définit le processus de dépersonnalisation comme le fait qu’un renseignement ne permet plus d’identifier directement une personne concernée. Il faut par ailleurs noter que cette définition diffère de la définition également introduite par le Projet de loi concernant l’anonymisation des renseignements qui dispose quant à elle que des renseignements anonymisés lorsqu’on ne peut plus, de façon réversible, identifier directement ou indirectement une personne[23]. Il prévoit aussi une nouvelle exception au consentement lorsque les renseignements personnels sont utilisés à des fins d’étude, de recherche ou de production de statistiques et si une évaluation des facteurs relatifs à la vie privée conclut que[24] :

  • l’objectif de l’étude, de la recherche ou de la production de statistiques ne peut être atteint autrement;

  • il est déraisonnable d’exiger le consentement des personnes concernées;

  • l’objectif de l’étude, de la recherche ou de la production de statistiques l’emporte sur l’impact de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées;

  • les renseignements personnels sont utilisés de manière à en assurer la confidentialité; et

  • seuls les renseignements nécessaires sont communiqués.

Afin d’utiliser de tels renseignements personnels dans le cadre d’une étude, d’une recherche ou de production de statistiques, une personne ou un organisme doit, entre autres, faire une demande par écrit, exposer au soutien que les conditions mentionnées ici haut sont remplies et joindre le protocole de recherche. Une entente doit par ailleurs être conclue avec la personne ou l’organisme à qui sont transmis les renseignements confidentiels qui prévoit notamment des mesures pour assurer la protection des renseignements confidentiels et qui doit être transmise à la CAI 30 jours avant son entrée en vigueur. Cette obligation d’information dans de pareilles circonstances est d’ailleurs conforme à ce que l’on retrouve sous la LPRPDE[25].

Des nouveaux droits

Le Projet de loi précise qu’un individu peut exiger, lorsque certaines conditions sont réunies, qu’une personne qui exploite une entreprise cesse de diffuser un renseignement personnel qui le concerne « ou que soit désindexé tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique » lorsque telle diffusion contrevient à la loi ou à une ordonnance judiciaire[26]. Cela implique plusieurs conséquences pratiques notamment pour les administrateurs de moteurs de recherche qui devront se conformer à ces nouvelles exigences. En outre, un individu peut faire de même ou encore exiger que l’hyperlien permettant d’accéder au renseignement personnel soit réindexé si les conditions suivantes sont remplies : la diffusion cause un préjudice grave relativement à son droit au respect de sa réputation ou de sa vie privée, le préjudice est manifestement supérieur à l’intérêt du public, la cessation de la diffusion, la réindexation ou la déxindexation demandée n’excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice. Ce nouveau droit semble inspiré de la notion du « droit à l’oubli » qui se trouve, entre autres, à l’article 17 du RGPD.

De surcroît, le Projet de loi propose un nouveau cadre concernant le traitement automatisé[27]. Celui-ci propose qu’un renseignement personnel ne peut être utilisé par une entreprise afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci, sauf si l’entreprise en informe la personne concernée. La personne concernée a également le droit d’être informée des éléments suivants : 

  • des renseignements personnels utilisés pour rendre la décision;

  • des raisons ayant mené à la décision; et

  • de son droit de faire rectifier les renseignements personnels utilisés.

La personne concernée pourra aussi, en vertu du Projet de loi, se prévaloir de la possibilité de présenter ses observations à un membre du personnel de l’entreprise qui serait en mesure de réviser la décision.

Le Projet de loi prévoit au surplus et à la lumière du RGPD qu’une entreprise qui détient un renseignement sur une personne doit, sur demande de cette personne, lui en confirmer l’existence et lui communiquer ce renseignement. Si ce renseignement est informatisé, celui-ci devra être communiqué de manière intelligible, sous la forme d’une transcription écrite et communiqué dans un format technologique structuré et couramment utilisé[28].

La communication de renseignements personnels hors Québec

Le Projet de loi prévoit de nouvelles règles en matière d’impartition et de transferts de renseignements personnels hors Québec incluant un système d’équivalence inspiré du modèle européen[29].

Le Projet de loi augmente considérablement les exigences énoncées à l'article 17 actuel de la Loi sur le privé. Une organisation devra, avant de communiquer des renseignements personnels à l'extérieur du Québec (y compris à des fins d'impartition), effectuer une évaluation des facteurs relatifs à la vie privée pour évaluer si les renseignements recevront un niveau de protection équivalent à celui accordé en vertu du droit québécois. À cette fin, les organisations seront tenues de prendre en compte non seulement la sensibilité des informations, les finalités pour lesquelles elles seront utilisées et les mesures de protection qui s'appliqueraient, mais également « le cadre juridique applicable dans l'État dans lequel les informations seraient communiquées, y compris le degré d'équivalence du cadre juridique avec les principes de protection des renseignements personnels applicables au Québec ». Si, à la suite de cette évaluation, l'organisation conclut que la législation étrangère n'est pas équivalente, elle ne doit pas communiquer les informations personnelles.

Dans l’hypothèse où l’évaluation est satisfaisante, la communication devra faire l’objet d’une entente écrite tenant compte notamment des résultats de l’évaluation et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés.

Il est prévu que le gouvernement du Québec publiera une liste des États dont le cadre juridique régissant les renseignements personnels est équivalent au cadre québécois.

L’utilisation de renseignements personnels à des fins de prospection commerciale ou philanthropique

Suite à l’adoption du projet de loi, une entreprise qui utilise des renseignements personnels à des fins de prospection commerciale ou philanthropique devra s’identifier et informer la personne visée de son droit de retirer son consentement à une telle utilisation des renseignements personnels la concernant. Une fois le consentement retiré, l’utilisation des renseignements personnels devra cesser[30].

Un temps propice aux changements

En 1995, l'Union européenne a adopté la directive 95/46/ E (la « Directive européenne sur la protection des données »). L'article 25 de cette directive interdit aux États membres (et aux entreprises à l'intérieur de leurs frontières) de transférer des données à caractère personnel vers un état tiers dont les lois ne protègent pas adéquatement les données. Les états non membres peuvent être amenés dans la zone de protection si l'Union détermine que leur régime de protection de la vie privée est « adéquat ». Aux fins de l'article 25, la LPRPDE du Canada a reçu une décision d'adéquation favorable en 2001.

Bien que la Loi sur le secteur privé (tout comme les lois de l’Alberta et de la Colombie-Britannique) ait été jugé « substantiellement similaire » à la LPRPDE, elle n’a pas reçu une décision d’adéquation à la Directive européenne sur la protection des données. En fait, en 2014, il fut recommandé à la Commission européenne de ne pas déclarer la loi québécoise adéquate eu égard à la Directive européenne en raison de l’incertitude quant à la portée territoriale de l’application de la Loi sur le secteur privé, de la nécessité de renforcer les exigences relatives à la transparence quant à l’identité de ceux qui détiennent les renseignements personnels d’un individu, de la nécessité de définir la notion de « renseignement sensible » et le besoin d’assujettir le transfert de renseignements à des dispositions contractuelles ou d’autres dispositions législatives contraignantes pour garantir un niveau de protection des données comparable à ce qui prévaut au sein de l’Union européenne[31].

Depuis le 25 mai 2018, le RGPD remplace la Directive européenne sur la protection des données. Dans le cadre du RGPD, l'Union européenne doit à nouveau évaluer l'adéquation des protections de la LPRPDE, un exercice auquel elle sera conviée tous les quatre ans. Dans le cadre de cette évaluation, la LPRPDE sera évaluée à la lumière des nouvelles normes de protection plus strictes énoncées dans le RGPD. Par conséquent, des changements seront apportés à la LPRPDE.

Le caractère adéquat de la Loi sur le secteur privé sera lui aussi éventuellement réévalué. Le Projet de loi est donc déposé dans un contexte d’une refonte fondamentale de la législation canadienne sur la vie privée.

Bien que le Projet de loi sera soumis aux prochaines étapes de son adoption lors de la reprise des travaux parlementaires à l’automne et que ses dispositions transitoires et finales disposent d’un délai d’entrer en vigueur d’un an suite à la sanction du Projet de loi pour la plupart de ses dispositions[32], afin de se préparer, les entreprises devraient entreprendre la révision de leurs politiques de protection de renseignements personnels et de leurs contrats avec des tiers, revoir leurs formulaires de consentement, effectuer un audit des renseignements personnels qu’elles détiennent afin de déterminer leur degré de sensibilité et le niveau de protection requis, mettre en place des protocoles en cas de survenance d’un incident de confidentialité et s’assurer de recourir à des moyens technologiques répondant aux plus hauts standards de sécurité.

Restez à l’affut des publications de McCarthy Tétrault sur le sujet. Une étude plus exhaustive suivra la publication du présent texte et pourra être distribuée sur demande. Dans l’intervalle, nous vous invitons à prendre connaissance de notre série de cinq blogues sur les modifications proposées à la LPRPDE https://www.mccarthy.ca/en/insights/blogs/snipits/parliamentary-committee-recommends-substantial-revisions-pipeda-part-5-adequacy et les changements envisagés à la loi sur la protection des renseignements personnels de la Colombie-Britannique : https://www.mccarthy.ca/en/insights/blogs/techlex/special-committee-begins-consultations-changes-bcs-personal-information-protection-act

[1]Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1.

[2] Gouvernement du Québec, Projet de loi 64 - Le gouvernement du Québec redonne aux citoyens le plein contrôle de leurs renseignements personnels, Communiqué de presse du 12 juin 2020, En ligne, adresse URL : http://www.fil-information.gouv.qc.ca/Pages/Article.aspx?idArticle=2806129729

[3] Article 150 du Projet de Loi.

[4] Article 151 du Projet de Loi.

[5]Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1, art. 91.

[6]Code civil du Québec, c. CCQ-1991, art. 35 et s.

[7] Article 152 du Projet de loi.

[8] Article 95 du Projet de loi.

[9]Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, c. 5.

[10] Article 95 du Projet de loi.

[11] Article 95 du Projet de loi.

[12] Article 95 du Projet de loi.

[13] Article 95 du Projet de loi.

[14]Personal Information Protection Act, SA 2003, c. P-6.5.

[15]Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, c. 5, art. 10.3(1).

[16] Article 100 du Projet de loi.

[17] Article 93 du Projet de loi.

[18] Article 107 du Projet de loi.

[19]Personal Information Protection Act, SBC 2003, c. 63.

[20] Article 111 du Projet de loi.

[21] Article 99 du Projet de loi.

[22] Article 102 du Projet de loi.

[23] Article 111 du Projet de loi.

[24] Article 110 du Projet de loi.

[25]Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, c. 5, art. 7(2)c).

[26] Article 113 du Projet de loi.

[27] Article 102 du Projet de loi.

[28] Article 112 du Projet de loi.

[29] Article 103 du Projet de loi

[30] Article 111 du Projet de loi

[31] Data Protection Working Party, Opinion 7/2014 on the protection of personal data in Quebec, art. 29, 4 juin 2014, Disponible à l’adresse URL suivante: https://www.dataprotection.ro/servlet/ViewDocument?id=1087

[32] Article 165 du Projet de loi

Auteurs

Abonnez-vous

Recevez nos derniers billets en français

Inscrivez-vous pour recevoir les analyses de ce blogue.
Pour s’abonner au contenu en français, procédez à votre inscription à partir de cette page.

Veuillez entrer une adresse valide