Antoine Guilmain
Associé
Co-chef, Groupe national Cybersécurité et protection des données
Article
6
Cet article a été initialement publié par Les Affaires.
L’entrée en vigueur de la nouvelle législation sur la protection des renseignements personnels a maintenant sonné. Sur le papier, tout y est. Des obligations plus strictes pour mieux protéger les données des Québécois sous peine de sanctions records. En pratique, c’est un peu différent. Environ 70 % des entreprises jugent cette loi trop incertaine.
C’est le 22 septembre que la nouvelle loi sur la protection des renseignements personnels, de son petit nom la « Loi 25 », entre presque entièrement en vigueur. Au menu : plus de responsabilités pour les entreprises, plus de droits pour le public, plus de pouvoirs pour la Commission d’accès à l’information du Québec, le tout pour assurer une meilleure protection des données des Québécois. Difficile de faire plus simple.
Seulement voilà, la loi a parfois ses raisons que la raison ignore. Les doutes qui ont été exprimés lors de l’étude du projet de loi 64 se transforment en problèmes bien réels pour toutes les entreprises, qui peinent aujourd’hui à se conformer à la Loi 25. C’est ce qui ressort nettement d’un récent sondage auprès d’une centaine d’entreprises réalisé conjointement par un bureau d’avocats — dont fait partie le soussigné — et une association professionnelle.
La Loi 25 impose aux entreprises d’implanter ou de revisiter un certain nombre de processus, comme l’obtention du consentement avant de recueillir tout renseignement personnel en ligne, la conservation des données qui ne peut pas être indéfinie ou encore la publication de politiques de confidentialité en termes simples et clairs. Les individus, quant à eux, disposent de davantage de droits sur leurs données, notamment le droit d’y accéder et de les rectifier, mais aussi le droit d’avoir plus d’information sur demande et le droit au déréférencement en ligne (mieux connu comme « droit à l’oubli »). C’est tout un changement pour l’industrie.
Mais ce n’est pas tout, puisque le non-respect de ces nouvelles exigences peut coûter très cher aux entreprises. En effet, les mécanismes de sanction de la Loi 25 sont parmi les plus élevés au monde : des sanctions pouvant aller jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial et des amendes pouvant monter jusqu’à 25 000 000 $ ou 4 % du chiffre d’affaires mondial. Et personne ne s’y trompe. 67 % des entreprises sondées sont ainsi préoccupées par ces sanctions, ce qui ne veut toutefois pas dire qu’elles trouvent ces montants justes ou la mécanique de sanction évidente (administrative et/ou pénale).
Mission accomplie, diront les plus cyniques. Les entreprises n’ont plus le choix de prendre au sérieux la protection des renseignements personnels. Oui, mais voilà, il y a parfois un monde entre le vouloir et le pouvoir. La majorité des entreprises s’intéressent depuis longtemps aux enjeux de protection des données, elles n’ont pas attendu la Loi 25. Encore faut-il maintenant qu’elles comprennent ce qui est exactement attendu d’elles, surtout les PME n’ayant pas les mêmes ressources pour décrypter un texte hautement complexe et souvent ambigu.
Selon les résultats du sondage, la majorité des entreprises sont au courant des nouveaux droits sur la protection des données (81 %) et indiquent avoir mis en place un plan de conformité pour répondre aux nouvelles exigences de la Loi 25 (61 %). Ce qui est en revanche très problématique c’est le manque de sécurité juridique dont témoigne une grande partie des entreprises sondées. En effet, 69 % d’entre elles souhaitent plus de clarté sur la mise en œuvre de la Loi 25. En tête des préoccupations caracolent le transfert de données hors Québec, le consentement, le profilage, les évaluations des facteurs relatifs à la vie privée, ou la confidentialité par défaut.
Une telle confusion ambiante ne peut que miner la volonté et les actions prises par les entreprises pour se conformer à la Loi 25, et ce, au détriment du public. On peut ici regretter que cette loi n’ait pas été conçue de manière plus indépendante. En effet, la tâche sisyphéenne a été donnée au gouvernement et à la Commission d’accès à l’information d’en préciser la portée par des règlements et des lignes directrices subséquentes, avec le budget limité qu’on connaît. Et il y a eu de bonnes choses, notamment une consultation d’envergure sur le consentement par la Commission, ou encore de nombreuses initiatives innovantes du Secrétariat à la réforme des institutions démocratiques, à l’accès à l’information et à la laïcité.
Mais force est de constater que c’est encore trop peu. Est-ce pour autant trop peu trop tard ? Loin de là. La Loi 25 n’a rien d’un sprint, c’est bien un marathon pour l’avenir. En attendant d’avoir plus de clarté, le bâton ne devrait pas être substitué à la carotte.
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.