Melissa Tehrani
Associée
Chef, Groupe national Publicité et réglementation des produits
Article
Publié19 juin 2020
Données personnelles : Le Québec pourrait adopter les lois les plus punitives au Canada en imposant des amendes jusqu'à 25 M$
Le 12 juin dernier, le gouvernement du Québec a présenté le très attendu projet de loi (PL) 64, soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. En présentant ce projet de loi, la ministre de la Justice de la province, Sonia LeBel, a fait remarquer que les lois actuelles du Québec en matière de protection des renseignements personnels sont devenues désuètes et ne réglementent plus adéquatement les nouvelles technologies numériques en constante évolution. La ministre LeBel a également indiqué que la pandémie actuelle a mis en évidence le rôle central qu'occupent désormais les technologies de l'information dans notre société, et que nos lois doivent être au diapason de cette réalité.
S'il est adopté, PL64 apportera des changements importants aux exigences applicables à l'utilisation et à la protection des renseignements personnels en vertu de nombreuses lois provinciales, notamment la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le secteur privé ») et la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (la « Loi sur le secteur public »). Dans cet article, nous présentons brièvement certains des changements les plus notables apportés à ces deux lois.
Sanctions pécuniaires accrues en cas de non-respect
PL64 augmentera considérablement les amendes pouvant être imposées aux entreprises privées et aux organismes publics qui ne respectent pas la législation provinciale sur la protection des renseignements personnels.
Au pénal, les entreprises du secteur privé pourraient se voir imposer des amendes de 15 000 $ à 25 000 000 $ ou un montant correspondant à 4 % du chiffre d'affaires mondial de l'exercice financier précédent si ce dernier montant est plus élevé. Cela représente une augmentation considérable par rapport à la peine maximale actuelle de 50 000 $, et ferait de la Loi sur le secteur privé la plus punitive au Canada, en imposant une amende potentielle dépassant celles prévues par la Loi sur la concurrence ou la Loi canadienne anti-pourriel (LCAP).
En outre, PL64 propose d'accorder à la Commission d'accès à l'information (CAI) le pouvoir d'émettre des sanctions administratives pécuniaires pour certaines infractions à la suite d'une notification d'un avis de non-conformité allant jusqu'à 10 000 000 $ ou le montant correspondant à 2 % du chiffre d'affaires mondial de l'exercice financier précédent, si ce dernier montant est plus élevé.
Pour certaines infractions à la Loi sur le secteur public, notamment la communication de renseignements personnels en contravention à la loi ou la tentative d'identifier un individu à l'aide d'informations anonymes, les amendes pourraient aller de 15 000 à 150 000 $.
Droit privé d'action et dommages-intérêts punitifs
S'il est adopté, PL64 créera un droit privé d'action en vertu duquel quiconque pourrait poursuivre en dommages-intérêts pour un préjudice résultant d'une atteinte illicite à un droit conféré par la Loi sur le secteur privé ou par les articles 35 à 40 du Code civil du Québec.
PL64 introduira également un montant minimal de 1 000 $ en dommages-intérêts punitifs lorsque l'atteinte est intentionnelle ou résulte d'une faute lourde, cette dernière étant définie comme « [une faute] qui dénote une insouciance, une imprudence ou une négligence grossières » selon l'article 1474 du Code civil du Québec.
Obligation de suivre une approche de « protection de la vie privée dès la conception »
PL64 obligera les entreprises qui offrent des produits ou des services technologiques et qui recueillent des renseignements personnels à suivre une approche de type « protection de la vie privée dès la conception », selon laquelle les paramètres des produits ou services technologiques qu'elles utilisent « assurent, par défaut, le plus haut niveau de confidentialité » sans aucune intervention de la personne concernée.
Signalement obligatoire des atteintes à la protection des données
Jusqu'à présent, le Québec est l'une des rares provinces au Canada où il n'est pas obligatoire de signaler une atteinte à la protection des données. Si faire une telle déclaration fait depuis longtemps partie d'un programme de déclaration volontaire, PL64 exigera maintenant que les organismes publics et les entreprises privées signalent les incidents de confidentialité à la CAI et aux personnes concernées « si l'incident présente un risque qu'un préjudice sérieux soit causé ».
Les entreprises devront également aviser « toute personne ou tout organisme susceptible de diminuer ce risque ». PL64 prévoit que des règlements peuvent être adoptés pour établir le contenu et les modalités de ces avis.
Mise à jour des exigences en matière de consentement
PL64 vient aussi imposer des exigences de consentement renforcées avant la collecte, l'utilisation ou la divulgation de renseignements personnels. Actuellement, la Loi sur le secteur privé exige que le consentement soit « manifeste, libre, éclairé » et donné à des fins spécifiques. Quant à la Loi sur le secteur public, celle-ci demeure muette sur ce qui constitue un consentement adéquat lorsque le consentement est requis en vertu de cette loi. En vertu de PL64, les lois sur les secteurs public et privé seront modifiées pour exiger que le consentement soit « manifeste, libre, éclairé » et donné à des fins spécifiques.
Lorsque le consentement est requis à des fins spécifiques, les organismes publics et les entreprises privées devront demander un consentement à chacune de ces fins, « en termes simples et clairs, distinctement de toute autre information communiquée à la personne concernée ». Les entreprises seront également tenues, à la demande de l'usager concerné, de l'aider à comprendre la portée du consentement demandé.
En outre, en vertu de PL64, le consentement ne restera valable que pendant le temps nécessaire pour atteindre les objectifs pour lesquels il a été demandé, après quoi les informations devront être dépersonnalisées ou détruites.
PL64 établit également les nouvelles conditions dans lesquelles des renseignements personnels pourront être communiqués sans le consentement des usagers concernés. Il s'agit notamment des situations suivantes :
- à des fins d'étude, de recherche ou de production de statistiques, si les renseignements sont dépersonnalisés;
- pour communiquer des renseignements au bénéfice d'un conjoint ou d'un proche parent d'une personne décédée, si les données pourraient aider la personne à qui les données sont fournies à faire son deuil, et si la personne décédée n'a pas refusé par écrit et avant sa mort de permettre une telle divulgation;
- pour exécuter un mandat ou un contrat d'affaires ou de service, à condition que ce mandat ou contrat d'affaires ou de service prévoie la sauvegarde des informations, et soit conclu avec une entreprise privée, plutôt qu'avec un organisme public ;
- pour qu'une entreprise communique à une autre entreprise des données aux fins d'une transaction commerciale, à condition que les parties à la transaction aient préalablement conclu un accord portant sur des points particuliers concernant l'utilisation de ces informations et la protection à leur accorder.
PL64 retirera également le droit, prévu par l'actuelle Loi sur le secteur privé, aux entreprises de communiquer une liste nominative sans le consentement de la personne concernée.
Nouvelles exigences concernant les informations recueillies par des moyens technologiques
Suivant la tendance à inclure des dispositions relatives au « droit à l'oubli » dans la législation sur la protection des renseignements personnels, PL64 donnera aux Québécois le droit d'exiger la suppression de certaines données personnelles.
Plus précisément, elle permettra aux personnes d'exiger aux entreprises privées de cesser de diffuser leurs renseignements personnels et de désindexer tout hyperlien attaché à leur nom qui donne accès auxdits renseignements par un moyen technologique si la diffusion contrevient à la loi ou à une ordonnance judiciaire.
Une personne sera également autorisée à demander une telle ordonnance, ou encore à exiger que l'hyperlien soit réindexé, à condition que :
- la diffusion de ce renseignement lui cause un préjudice grave relatif au droit au respect de sa réputation ou de sa vie privée;
- ce préjudice est manifestement supérieur à l'intérêt du public de connaître ce renseignement ou à l'intérêt de toute personne de s'exprimer librement;
- la cessation de la diffusion, la réindexation ou la désindexation demandée n'excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice.
Dans l'évaluation de la question de savoir si le préjudice est manifestement supérieur à l'intérêt du public ou le droit de s'exprimer librement, les éléments suivants doivent être pris en compte : la sensibilité du renseignement, le délai écoulé entre la diffusion du renseignement et la demande, et le fait que la personne concernée est mineure ou une personnalité publique.
Désignation des personnes et des comités responsables des renseignements personnels
PL64 renforcera également les obligations qui incombent aux entités des secteurs privé et public en matière de protection des renseignements personnels.
En ce qui concerne les entités du secteur privé, la personne ayant la « plus haute autorité » dans cette entreprise sera chargée de veiller au respect de la Loi sur le secteur privé. Cette fonction peut être déléguée par écrit à un membre du personnel de l'entreprise. Le titre et les coordonnées de cette personne doivent être publiés sur le site Internet de l'entreprise.
Les entités du secteur privé devront également établir et mettre en œuvre des politiques et des pratiques encadrant leur gouvernance pour assurer la protection des renseignements personnels, qui, en plus d'être publiées sur le site Internet de l'entreprise, doivent :
- prévoir l'encadrement applicable à la conservation et à la destruction des renseignements;
- prévoir les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie des renseignements;
- prévoir un processus de traitement des plaintes relatives à la protection de ceux-ci.
Quant aux organismes publics, ils seront tenus de désigner une personne chargée de l'accès aux documents et de la protection des renseignements personnels. Contrairement au secteur privé, où la personne désignée peut être un membre du personnel de l'entreprise, la personne désignée par un organisme public doit être un membre de l'organisme public ou de son conseil d'administration, selon le cas, ou un membre du personnel de direction. Le titre et les coordonnées de cette personne doivent être communiqués à la CAI.
Les organismes publics devront également créer un comité sur l'accès à l'information et la protection des renseignements personnels, lequel sera supervisé par la personne susmentionnée. Les entités privées ne seront pas tenues de créer un tel comité.
Exigences accrues pour la communication de renseignements personnels à l'extérieur du Québec
PL64 impose également des exigences plus strictes aux entreprises et aux organismes publics qui souhaitent communiquer des renseignements personnels à l'extérieur du Québec. Avant de le faire, une entité doit procéder à une évaluation des facteurs relatifs à la vie privée, notamment :
- la sensibilité du renseignement;
- la finalité de son utilisation;
- les mesures de protection dont le renseignement bénéficierait;
- le régime juridique applicable dans l'État où ce renseignement serait communiqué, notamment son degré d'équivalence par rapport aux principes de protection des renseignements personnels applicables au Québec. La ministre fournira une liste des États dans lesquels cela est le cas.
Les renseignements ne peuvent être communiqués à l'extérieur de la province que si l'évaluation démontre que le renseignement dans l'État étranger bénéficierait d'une protection équivalant à celle prévue au Québec et que la communication de ce renseignement fait l'objet d'une entente écrite qui tient compte de facteurs tels que les résultats de l'évaluation et, le cas échéant, des modalités convenues dans le but d'atténuer les risques identifiés dans le cadre de cette évaluation.
Il en est ainsi même si les renseignements sont simplement conservés ou utilisés par une entité située à l'extérieur de la province.
Nouvelles exigences en matière de notification et d'évaluation
En vertu de PL64, les entités des secteurs public et privé qui recueillent des renseignements personnels au moyen d'une technologie permettant d'identifier, de localiser ou d'effectuer un profilage d'une personne doivent au préalable informer cette personne du recours à une telle technologie et des moyens offerts, le cas échéant, pour désactiver les fonctions permettant de l'identifier, de la localiser ou d'effectuer son profilage.
Aux fins de ce qui précède, le « profilage » s'entend de la collecte et de l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne. Cela pourrait être le cas, par exemple, des renseignements recueillis par les témoins utilisés en ligne afin de diffuser des publicités ciblées à une personne, ou recueillis par l'application mobile d'un moniteur d'activité physique.
En vertu de PL64, les entreprises privées et les organismes publics devront aussi évaluer « des facteurs relatifs à la vie privée de tout projet de système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels ».
Enfin, lorsque des entreprises privées et des organismes publics utilisent des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci, ils seront tenus d'en informer la personne concernée au moment de la décision ou avant. Ils devront aussi, à la demande de la personne concernée, l'informer :
- des renseignements personnels utilisés pour rendre la décision;
- des raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision;
- de son droit de faire rectifier les renseignements personnels utilisés pour rendre la décision.
Prochaines étapes
À la suite de la présentation de PL64, l'Assemblée nationale du Québec a ajourné ses travaux pour l'été. Elle sera de retour en septembre 2020, et les travaux en commission reprendront à la mi-août. Si PL64 est adopté, ses dispositions finales et transitoires indiquent que la plupart des modifications apportées à la Loi sur le secteur privé entreront en vigueur un an après la date de la sanction.
Le groupe Cybersécurité et protection des données de Gowling WLG suivra de près l'évolution de la situation. N'hésitez pas à le contacter pour de plus amples informations.
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.
