La nouvelle loi québécoise sur la protection des renseignements personnels manque encore de clarté : elle suscite des inquiétudes et de la confusion

Les principales dispositions de la nouvelle loi québécoise sur la protection des renseignements personnels, la Loi 25, entreront en vigueur en septembre 2023. Malgré la proximité de l'échéance, bon nombre d'organisations au Québec et à l'étranger se disent préoccupées par de nombreux éléments importants de cette nouvelle loi qui restent ambigus.

Pour bien mesurer les réactions de l'industrie au régime de protection des renseignements personnels le plus rigoureux à ce jour au Canada, Gowling WLG et IAB Canada ont récemment mené une enquête auprès de plus de 100 organisations de divers secteurs d'activité. Les résultats ont mis en évidence d'importantes réticences et inquiétudes à l'égard de la Loi 25. Parmi les organisations consultées :

69 %25 67 %25 52 %25

Parmi les autres préoccupations relevées dans l'enquête, citons les exigences de transfert de données et de consentement, ainsi que les effets du vaste champ d'application de la Loi 25 sur les « paramètres de confidentialité par défaut ».

« Malgré le long chemin parcouru par la Loi 25 depuis son introduction dans le cadre du projet de loi 64, les questions d'interprétation et de mise en œuvre non résolues laissent présager des difficultés pour son entrée en vigueur en septembre », a déclaré Antoine Guilmain, co-chef national du groupe Cybersécurité et protection des données de Gowling WLG.

« Compte tenu des résultats de l'enquête et en attendant de nouvelles directives de la Commission d'accès à l'information du Québec, nous voulons avant tout aider nos clients à bien comprendre les modalités d'application de la Loi 25 à leur cas, et de là, à concevoir des stratégies pratiques et rentables pour s'y conformer ».

« Les résultats de cette enquête montrent clairement l'urgence de mettre en place des cadres appropriés et éprouvés qui permettront à l'industrie de trouver un équilibre entre l'innovation dans le secteur important et croissant de la publicité numérique au Canada, et la protection des droits des citoyens à la vie privée », affirme Sonia Carreno, présidente de l'IAB Canada. « Avec nos membres, nous aidons les acteurs de l'écosystème de la publicité numérique à se conformer aux exigences complexes de cette nouvelle loi, et le cadre de TCF Canada constitue un outil efficace pour assurer une meilleure transparence, un consentement valable et une responsabilité démontrable. »

Are organizations ready for Quebec's new privacy legislation?

Télécharger maintenant

Table des matières

Background

La Loi 25 du Québec (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) représente le plus récent et le plus important développement législatif en matière de protection des renseignements personnels au Canada. La plupart des modifications adoptées en vertu de la Loi 25 entreront en vigueur le 22 septembre 2023.

Pour les organisations actives au Québec ou qui recueillent, utilisent ou divulguent des renseignements personnels sur des individus situés dans la province, ces modifications entraîneront des ajustements substantiels des cadres de conformité en matière de protection des renseignements personnels et des méthodes actuelles d'exploitation des entreprises.

C'est pour mieux comprendre les préoccupations les plus pressantes des entreprises à l'égard de la Loi 25 et pour mesurer leur degré de préparation que Gowling WLG et IAB Canada ont réalisé une enquête de 40 questions. Des organisations très diverses ont été invitées à y participer, dont 10 associations professionnelles représentant des organisations de secteurs de tailles, d'industries et de degrés de sophistication variés en matière de protection des renseignements personnels. Nous avons reçu des réponses de plus de 100 organisations dont le siège social se trouve au Canada ou à l'étranger1.

Dans de nombreux cas, l'enquête a été distribuée à des interlocuteurs individuels déjà connus, principalement ceux qui sont responsables de la protection des renseignements personnels au sein de leurs organisations respectives, bien que les réponses à l'enquête elles-mêmes soient restées anonymes. L'enquête a également été distribuée aux membres des associations professionnelles nationales et québécoises des secteurs de la publicité, de la vente au détail, des banques, de l'automobile, de l'assurance et de la finance.

La période de réponse à l'enquête s'étendait du 6 juin 2023 au 30 juin 2023. Cette période coincide avec la période de consultation concernant les lignes directrices sur les critères de validité du consentement en matière de protection des renseignements personnels publié par la Commission d'accès à l'information (CAI) du Québec entre le 16 mai 2023 et le 25 juin 2023.

Retour au début

Principales constatations

A. Données démographiques : Profil des organisations concernées par la Loi 25
B. Responsables de la protection des renseignements personnels
C. Préoccupations et incertitudes
D. Éléments particuliers

A. Données démographiques: Profil des organisations intéressées à la Loi 25

La majorité des organisations qui ont répondu à l'enquête exercent une grande partie de leurs activités au Québec, avec au moins 100 employés au sein de la province. Il y avait toutefois d'autres participants hors Québec, ainsi qu'un petit sous-ensemble de participants sans activité au Canada, ce qui témoigne de la vaste portée de cette loi, de ses répercussions et de l'intérêt qu'elle suscite.

Tous les répondants du secteur privé étaient tenus de se conformer à des lois en vigueur dans d'autres provinces ou territoires que le Québec (comme la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)). Trente-sept pour cent des répondants étaient tenus de se conformer aux lois sur la protection des renseignements personnels dans le secteur privé dans des territoires hors du Canada, principalement le Règlement général sur la protection des données (RGPD) de l'UE et diverses lois d'États américains.

Les organisations qui ont répondu à l'enquête avaient généralement des mécanismes bien établis en matière de protection des renseignements personnels. Tout les répondants ayant plus d'un employé ont tous mis en place une ou plusieurs politiques et pratiques formelles en matière de respect de la législation sur la protection des renseignements personnels.

Retour au début

B. Responsables de la protection des renseignements personnels

L'enquête a été remplie par une personne par organisation, au nom de leur organisation. Ces personnes représentaient divers postes de haut niveau, tels que conseiller juridique, gestionnaire, dirigeant et cadre (p. ex. PDG, vice-président).

Fait notable, 54 % des répondants à l'enquête ont été désignés « responsables de la protection des renseignements personnels » par leur organisation, conformément aux dispositions de la Loi 25, bien que seulement 26 % d'entre eux aient exercé une fonction professionnelle dans ce domaine. Il en ressort que les principaux responsables de la mise en conformité de leur organisation avec la Loi 25 cumulent souvent bien d'autres fonctions importantes.

La conciliation de ces responsabilités peut représenter un défi de taille, surtout si l'on considère les obligations que la Loi 25 impose aux responsables de la protection des renseignements personnels, notamment celle de donner des conseils sur les évaluations des facteurs relatifs à la vie privée et de répondre aux demandes de consultation, de rectification et de suppression. Dans ces conditions, rien d'étonnant à ce que les responsables de la protection des renseignements personnels de nombreuses organisations n'exercent pas ces fonctions eux-mêmes, mais se contentent de les superviser.

Les résultats de l'enquête confirment ce qui suit :

  • Moins d'un 1/4 des répondants ont indiqué que leur responsable de la protection des renseignements personnels remplissait lui-même l'ensemble de ces obligations.
  • 30 % des répondants ont déclaré que leur responsable de la protection des renseignements personnels pourrait effectuer personnellement toutes les tâches requises.
  • 71 % ont indiqué que leur responsable pourrait approuver personnellement toutes les politiques et pratiques, tout en supervisant d'autres activités. 

Ces chiffres démontrent la nécessité de procéder de manière réaliste pour mettre en œuvre et faire respecter la Loi 25, en tenant compte des limites et des réalités quotidiennes des organisations et de leurs responsables de la protection des renseignements personnels.

Retour au début

C. Préoccupations et incertitudes

Les répondants à l'enquête ont reçu un lien vers les dispositions pertinentes de la Loi 25, regroupées dans les catégories suivantes :

  • Prise de décision automatisée (PDA) et profilage
  • Incidents de confidentialité
  • Transfert de données
  • Paramétres de confidentialité par défaut
  • Évaluations des facteurs relatifs à la vie privée
  • Transparence et consentement

Il a été demandé aux répondants d'examiner les dispositions et 1) d'évaluer sur une échelle de 1 à 10 leur confiance quant à leur compréhension des dispositions fournies, 1 signifiant qu'ils ne sont pas du tout confiants et 10 qu'ils sont trés confiants,et 2) d'indiquer les facteurs d'incertitude qui affectent leur confiance dans leur interprétation des dispositions. Il leur a été proposé certaines options présélectionnées pour les facteurs d'incertitude, mais les répondants pouvaient aussi en indiquer d'autres dans un champ libre intitulé « autre ».

Selon l'enquête, ce sont les dispositions de la Loi 25 sur les paramétres de confidentialité par défaut qui suscitent le plus d'incertitude sur le plan de l'interprétation. Quarante-trois pour cent des répondants ont attribué une note de confiance de 5 ou moins à leur compréhension de ces dispositions, le mode étant de 4. Les dispositions relatives au « transfert de données > suivent de prés, avec 40 % des répondants qui lui attribuent une note de confiance de 5 ou moins.

50 % des répondants ont indiqué que les exigences de « transfert de données » constituent l'une des principales préoccupations de leur organisation en ce qui concerne la Loi 25.

Les exigences de la Loi 25 en matiére de « transparence et de consentement » suivent de prés, avec 48 % des répondants qui les considérent comme leur principale source d'inquiétude.

D'autres questions ont ensuite été posées aux répondants pour déterminer les causes profondes de ces inquiétudes et les moyens d'y remédier. Cinquante-quatre pour cent des répondants ont signalé avoir besoin d'autres directives d'interprétation.

69 % ont exprimé le désir d'obtenir des éclaircissements sur les exigences pratiques de la Loi. Ces remarques ont été confirmées par les commentaires des personnes interrogées par les commentaires dans les champs libres des personnes interrogées.

Cependant, plus que les exigences spécifiques de la Loi 25, c'est le coût de la mise en œuvre de ses dispositions que les répondants considérent le plus souvent comme une source majeure de préoccupation, puisqu'ils ont choisi ce facteur dans une proportion de 54 %.

Cela signifie que, si les organisations ne savent trop comment interpréter certaines dispositions de la Loi 25, les problémes de fond et les considérations pratiques constituent une source d'inquiétude encore plus importante. Cinquante-deux pour cent d'entre elles ont affirmé ne pas avoir les ressources nécessaires pour se conformer aux exigences de la Loi 25, et beaucoup d'entre elles ont déclaré qu'elles auraient besoin de plus de temps pour le faire.

Environ 60 % des répondants ont attribué une note de 5 ou moins à leur accord avec les affirmations suivantes :

  • Mon organisation dispose d'un délai suffisant pour se conformer aux nouvelles exigences de la Loi 25 avant leur entrée en vigueur.
  • Mon organisation dispose de ressources suffisantes pour mettre en œuvre les mesures requises et se conformer aux exigences de la Loi 25.
  • Mon organisation dispose d'un personnel suffisant pour mettre en œuvre les mesures requises et se conformer aux exigences de la Loi 25.

52 % d'entre elles ont affirmé ne pas avoir les ressources nécessaires pour se conformer aux exigences de la Loi 25, et beaucoup d'entre elles ont déclaré qu'elles auraient besoin de plus de temps pour le faire.

Dans leurs réponses, les répondants se sont également dits préoccupés par le coût et la faisabilité liés à l'obligation de se conformer aux exigences de fond de la Loi. Les préoccupations d'ordre pratique sont les suivantes :

  • Le risque de divergence avec les autres lois sur la protection des renseignements personnels en vigueur dans d'autres provinces ou juridiction.
  • Le risque qu'il soit impossible de satisfaire aux exigences en raison de leur caractère excessif et du manque de ressources nécessaires.

Certains commentaires indiquent également que le fardeau imposé par la Loi 25, en conjonction avec le projet de loi 96 (imposant des exigences en matière de langue française), a incité des organisations à quitter définitivement le marché québécois, ce qui pourrait nuire considérablement aux résidents du Québec.

Les préoccupations mentionnées ci-dessus semblent être exacerbées par les inquiétudes importantes des organisations à propos des pénalités et des sanctions prévues par la Loi 25. Soixante-sept pour cent des répondants ont exprimé leur crainte de se voir infliger des pénalités et des sanctions par leur organisation en cas de manquement à la Loi 25. Seuls 15 % des répondants ont affirmé que les peines et sanctions susceptibles d'être imposées aux termes de la Loi 25 leur paraissaient équitables.

Retour au début

D. Éléments particuliers

Plus précisément, pour chacune des grandez zones de préoccupation des organisations mises en de préoccupation des organisations mis en évidence par l'enquête, les résultats ont permis de dégager les indications suivantes :

Parmi les dispositions de la Loi 25, le plus grand degré d'incertitude des répondants porte sur l'interprétation des dispositions prévoyant une exigence de paramètres de confidentialité par défaut (article 9.1). Les sources d'incertitude les plus fréquemment mentionnées sont les suivantes :

59 %25 incertitude quant à ce qui constitue « le plus haut niveau de confidentialité >; 52 %25 incertitude quant à ce qui constitue « un paramètre de confidentialité >> 48 %25 Incertitude quant à savoir si la réalisation d’une évaluation des facteurs relatifs à la vie privée en vertu de la Loi est « proportionnelle >> aux facteurs pertinents; 46 %25 incertitude quant aux « produits ou services technologiques > susceptibles d’être visés par cette exigence; 41 %25 Les répondants ont fait part de leur incertitude quant au moment où un produit ou un service technologique est considéré comme « offert au public >.

 

a. Paramètres de confidentialité par défaut

Cependant, malgré le degré de confiance exprimé par les répondants dans l'interprétation des exigences pour le transfert de données, lorsqu'il leur a été demandé de désigner les autres sources d'incertitude affectant leur confiance, les sources les plus fréquemment citées étaient les suivantes :

b. Transfert de données

En général, les répondants étaient plus confiants en ce qui a trait à leur compréhension des exigences de la Loi 25 pour les transferts de données hors du Québec (article 17). Avec une note de 1 pour < pas du tout confiant > et une note de 10 pour < très confiant >, 60 % des répondants ont attribué une note de 6 ou plus à leur compréhension des exigences pour le transfert de données.59 %25 incertitude quant à ce qui constitue une < protection adéquate > des renseignements personnels, à la lumière des principes généralement reconnus en la matière; 53 %25 incertitude quant à ce qui constitue un < cadre juridique > applicable dans un < État > donné, dont il faut tenir compte dans les évaluations de l’impact des transferts de données sur les facteurs relatifs à la vie privée; 49 %25 incertitude quant aux éléments suivants : la question de savoir si la collecte de renseignements personnels hors du Québec constitue une < communication de renseignements personnels > hors du Québec engendrant l’obligation d’effectuer une évaluation des facteurs relatifs à la vie privée; la question de savoir ce qui constituerait un < principe de protection des renseignements personnels généralement reconnu>; 41 %25 incertitude sur ce qui constitue ou non un < État > aux fins des exigences de la Loi

Ce résultat indique que le degré élevé d'inquiétude signalé par les organisations à propos des exigences de la Loi 25 pour le transfert de données est lié à des enjeux qui vont au-delà de la compréhension de base de ces exigences.

En particulier, 35 % des répondants ont affirmé que leur organisation ne serait pas en mesure d'évaluer l'impact du transfert de données sur la vie privée pour chaque transfert et les facteurs relatifs à la vie privée (i.e. évalutations des facteurs relatifs à la vie privée axés sur les transferts de données) pour chaque transfert et toutes les juridictions vers lesquelles des données sont transférées. des données. À l'heure actuelle, bien que 42 % d'entre eux affirment pouvoir le faire, seuls 19 % des répondants effectuent les évaluations qui seront bientôt obligatoires.

c. Consentement

Si les répondants ont exprimé des inquiétudes quant aux exigences de la Loi 25 en matière de consentement, la majorité d'entre eux sont assez confiants dans leur compréhension de ses dispositions sur le consentement et la transparence. Il semble donc que le degré élevé d'inquiétude entourant les exigences de la Loi 25 sur le consentement réside surtout dans l'incertitude quant à la mise en œuvre pratique de ces exigences, plutôt que dans l'ambiguïté de leur interprétation. Il subsiste cependant quelques incertitudes quant à l'interprétation des dispositions sur le consentement et la transparence.

Avec une note de 1 pour « pas du tout confiant » et une note de 10 pour « trés confiant » 75 % es répondants ont attribuéune note de 6 ou plus à leurcom préhension des exigences sur le consentement et la transparence, le mode étant de 8. Parmi les différents éléments de la Loi 25 identifiés par l'enquête, c'est celui qui a obtenu le taux de confiance le plus élevé sur le plan de l'interprétation. Cette confiance est peut-être attribuable, en partie, à la publication par la CAI d'un projet de lignes directrices sur le consentement. Elle peut aussi s'expliquer par la conviction qui prévaut chez 38 % des répondants que les exigences de la Loi 25 correspondent à celles de la LPRPDE.

Quoi qu'il en soit, elle permet de cibler les préoccupations d'ordre pratique des organisations. Dans les commentaires à champs libres, les organisations ont laissé entendre que les exigences de la Loi 25 en matiére de consentement explicite risquaient de créer une grande lassitude chez les individus en ce qui a trait aux exigences en matiére de consentement exprés.consentement. En outre, les exigences de la Loi 25 sur le consentement et la transparence présentent un degré élevé d'interaction avec et son hautement informés par les autres dispositions de cette même Loi. Elles sont également étayées par notamment celles qui concernent les paramétres de confidentialité par défaut et celles qui s'appliquent aux incidents de confidentialité, au profilage et aux témoins de connexion. Malgré une plus grande confiance dans l'interprétation des dispositions sur le consentement, les organisations demeurent trés préoccupées par l'incertitude qui subsiste quant à l'interprétation de ces exigences qui se recoupent. Il a été demandé que davantage de conseils pratiques sur la façon de recueillir les différents types de consentement, en particulier dans le contexte du profilage, du suivi et des témoins de connexion, de connexion, soient fournis.

Néanmoins, quelques incertitudes demeurent quant à l'interprétation des dispositions sur le consentement et la transparence (articles 8, 8.3, 12 et 14). Lorsqu'il leur a été demandé de désigner les autres sources d'incertitude affectant leur confiance, les sources les plus fréquemment citées sont les suivantes :

Description Pourcentage
incertitude quant à ce qui constitue des « mesures raisonnables » pour limiter le risque d'identification d'une personne à l'aide de renseignements dépersonnalisés dépersonnalisées; 62%
incertitude quant aux circonstances dans lesquelles les renseignements personnels sont « clairement utilisés dans l'intérêt » d'une personne, de sorte qu'ils peuvent être utilisés à certaines fins sans le consentement de cette personne; 47%
incertitude quant à ce qui peut constituer un « lien pertinent et direct » entre les fins, de sorte qu'une finalité serait considérée comme compatible avec les fins auxquelles le renseignement a été recueilli, et celui-ci pourrait donc être utilisé sans le consentement de la personne concernée; 43%

incertitude quant à chacun des éléments suivants :

  • ce qui peut constituer une « catégorie » de tiers ou de personnes auxquels il est nécessaire de communiquer des renseignements, ce dont il faudrait informer les personnes concernées au moment de la collecte de ces renseignements;
  • les cas où une finalité peut être considérée comme compatible avec les fins auxquelles le renseignement a été recueilli;
42%

incertitude quant à chacun des éléments suivants :

  • les comportements qui peuvent constituer une « prospection commerciale ou philanthropique » et qui, par conséquent, sont exemptés de constituer une « fin compatible » pour laquelle des renseignements peuvent être utilisés sans consentement;
  • les circonstances dans lesquelles les renseignements peuvent susciter un « haut degré d'attente raisonnable en matière de vie privée », au point qu'ils peuvent être considérés comme « sensibles »;
  • les circonstances dans lesquelles le renseignement est considéré comme « dépersonnalisé »;
40%
incertitude quant aux circonstances où une utilisation peut être « nécessaire » pour une fin particulière (par exemple, prévention et détection de la fraude, fourniture ou livraison d'un produit ou d'un service, recherche, etc.); 36%
incertitude quant à ce qui peut être considéré comme des « termes simples et clairs » pour les demandes de consentement; 34%
des répondants ont exprimé leur incertitude quant aux circonstances dans lesquelles les renseignements personnels peuvent être considérés comme « sensibles ». 32%

Retour au début

Rapport complet

Données démographiques de l'organisation

33 % (un tiers) des répondants fournissent des services et 36 % vendent des produits. Parmi les répondants figurent cinq organisations à but non lucratif et une organisation s'identifiant comme société d'État. Les organisations qui ont répondu ne sont pas toutes directement soumises à la législation sur la protection des renseignements personnels dans le secteur privé.Vend directement aux consommateurs et aux entreprises/organisations – 33%25 Vend directement aux consommateurs et aux entreprises/organisations – 23%25 Vend directement aux entreprises/organisations – 20%25 Vend directement aux consommateurs individuels – 16%25 Est une organisation à but non lucratif – 6%25 Autre– 2%25

La plupart des organisations interrogées exercent actuellement leurs activités au Québec. Il y avait toutefois des organisations hors Québec, ainsi qu'un petit sous-ensemble de participants sans activité au Canada, ce qui témoigne d'une prise de conscience et de préoccupations à l'échelle nationale et internationale :

80 %25 Exercent leurs activités au Québec 70 %25 Exercent leurs activités au Québec et dans au moins une autre juridiction 10 %25 Exercent leurs activités uniquement au Québec
83 %25 Exercent en Ontario 69 %25 Exercent dans au moins 2 juridictions canadiennes 15 %25 Exercent des activités canadiennes uniquement en Ontario 5 %25Exercent leurs activités uniquement à l’extérieur du Canada 1 %25 Exercent leurs activités dans toutes les provinces canadiennes, à l’exception du Québec

La majorité des organisations qui ont répondu à l’enquête exercent des activités importantes au Québec: 54 %25 des répondants ont plus de 100 employés au Québec, 33 %25 des répondants ont un effectif de 1 à 100 employés au Québec, 16 %25 16 %25 des répondants ont indiqué avoir plus de 5000 employés au Québec

La majorité des répondants appartiennent aux secteurs de la publicité ou des technologies publicitaires (30 %), suivis de près par les secteurs de la finance et de l'assurance (26 %).Finance et assurance - 26%25 Publicité et médias - 18%25 Technologies publicitaires - 14%25 Retail Trade - 8%25 Arts, Entertainment and Recreation - 4%25 Health Care and Social Assistance - 4%25 Professional, Scientific and Technical Services - 4%25, Technology, Data and Information Services & Software - 4%25 Agriculture, Forestry, Fishing and Hunting - 3%25 Educational Services - 3%25 Manufacturing - 3%25 Télécommunications - 3%25 Industrie automobile - 3%25, Accommodation and Food Services - 1%25 Construction - 1%25 Autres services (à l’exception de l’administration publique) - 1%25 Transportation and Warehousing- 1%25

Retour au début

Responsable de la protection des renseignements personnels

L'enquête a été remplie par une personne au nom de son organisation. Les personnes qui ont répondu à l'enquête occupaient différentes fonctions au sein de leur organisation :

29%25 des répondants étaient des conseillers juridiques; 26%25 des répondants occupaient des fonctions d’analyste, de responsable ou de coordinateur dans le domaine de la protection des renseignements personnels; 18%25 des répondants occupaient la fonction de vice- président; 12%25 des répondants occupaient la fonction de propriétaire, président ou chef de la direction; 12%25 des répondants occupaient le poste de directeur général ou autre (par exemple, directeur des ressources humaines, des opérations, des produits); 3%25 occupaient d’autres fonctions (responsable de la conformité, responsable de la sécurité de l’information).

  • 54 % des répondants à l'enquête occupaient le poste de « responsable de la protection des renseignements personnels » au sein de leur organisation, au sens de la Loi 25.
  • 26 % des personnes interrogées occupent un poste de responsable de la protection des renseignements personnels (voir ci-dessus): ces données indiquent que les personnes chargées du respect de la Loi 25 assument souvent d'autres responsabilités, parfois très importantes. La Loi 25 impose plusieurs obligations aux responsables de la protection des renseignements personnels, comme celles de réaliser des évaluations sur les facteurs relatifs à sur la vie privée et de répondre aux demandes de consultation, de rectification et de suppression.
  • 13 % des répondants ont indiqué que leur responsable de la protection des renseignements personnels remplissait personnellement l'ensemble de ces obligations.
  • 30 % des répondants ont déclaré que leur responsable de la protection des renseignements personnels pourrait effectuer personnellement toutes les tâches requises.
  • 71 % ont indiqué que leur responsable pourrait approuver personnellement toutes les politiques et pratiques, tout en supervisant d'autres activités.

Retour au début

Obligations de conformité en matière de protection des renseignements personnels avant la Loi 25

Des réponses ont été obtenues de plusieurs organisations du public qui ont répondu qu'elles n'étaient pas tenues de se conformer aux lois sur la protection des renseignements personnels dans le secteur privé. Tous les répondants du secteur privé ont fait mention de leur obligation de se conformer à des lois en vigueur dans d'autres provinces ou territoires que le Québec.

  • 86 % des répondants ont indiqué devoir se conformer à la LPRPDE.
  • 27 % des répondants ont indiqué qu'ils avaient l'obligation de se conformer aux lois sur l'information en matière de santé qui ont été jugées similaires à la LPRPDE.
  • 37 % des répondants ont indiqué qu'ils étaient tenus de se conformer aux lois sur la protection des renseignements personnels dans le secteur privé dans des territoires hors du Canada, principalement le RGPD de l'UE et diverses lois d'États américains.

92%25 External privacy policy setting out general principles relating to the collection, use and disclosure of personal information by the organization, 76%25 Policy regarding cybersecurity incident response, including relevant contact information for communicating to external parties and stakeholders, 74%25 Internal privacy policy for employees/staff members of the organization, 70%25 Policy and procedures for receiving and processing complaints and requests from individuals wishing to exercise their rights, 68%25 Data retention policy and retention schedule, 66%25 Policy for data back-up describing the adequate system back-ups in place in order to protect essential information, and ensure that recovery mechanisms effectively and efficiently restore these systems from back-ups, 65%25 Policy and procedures for the destruction of personal information and/or anonymization, 40%25 Policy regarding the conduct of Privacy Impact Assessments, 3%25 None of the above

Avant l'entrée en vigueur de la loi 25, lesquelles des politiques suivantes votre organisation avait-elle mises en place, soit indépendamment, soit dans le cadre d'une ou de plusieurs politiques plus larges?

Les organisations interrogées étaient généralement assez sophistiquées en ce qui concerne les mesures de conformité existantes en matière de protection de la vie privée. bous les répondants ayant plus d'un employé ont tous mis en place une ou plusieurs politiques et pratiques formelles en matière de respect de la législation sur la protection des renseignements personnels. 92 % des répondants avaient instauré une politique externe de protection des renseignements personnels. Cette même proportion de répondants a mis en place des politiques concernant au moins deux éléments distincts de protection des données (à savoir la collecte, l'utilisation et la divulgation, la réponse aux incidents de cybersécurité et/ ou la correction individuelle ou la réponse aux plaintes).

Retour au début

Connaissance

Les organisations interrogées avaient une très bonne connaissance des dispositions de la Loi 25 et de ses exigences. La note 1 correspond à un désaccord total et la note 10 à un accord total quant à leur niveau de connaissance :

  • 81 % des répondants ont attribué une note de 6 à 10 à leur connaissance des nouveaux droits en matière de protection des renseignements personnels prévus par la Loi 25.

  • 75 % des répondants ont attribué une note de 6 à 10 à leur connaissance de la date d'entrée en vigueur de chacune des exigences de la Loi 25, ainsi qu'à leur connaissance des pénalités et sanctionsqui peuvent être imposées en vertu de la Loi 25.

Retour au début

Niveau de préparation et ressources pour la Loi 25

Les organisations estiment pouvoir se conformer aux exigences de la Loi 25, mais elles ne sont pas convaincues de disposer des ressources et du personnel suffisants pour le faire dans les délais impartis.

Avec une note de 10 pour un accord total et une note de 1 pour un désaccord total, 70 % des répondants ont attribué une note de 6 ou plus à l'affirmation « J'ai confiance en la capacité de mon organisation à se conformer aux exigences de la Loi 25 », le mode étant de 8.

Environ 60 % des répondants ont attribué une note de 5 ou moins à leur accord avec les affirmations suivantes :

  • Mon organisation dispose d'un délai suffisant pour se conformer aux nouvelles exigences de la Loi 25 avant leur entrée en vigueur.
  • Mon organisation dispose de ressources adéquates pour mettre en œuvre les mesures requises et se conformer aux exigences de la Loi 25.
  • Mon organisation dispose d'un effectif suffisant pour mettre en œuvre les mesures requises et se conformer aux exigences de la Loi 25.

Si de nombreuses organisations ont adopté un plan de mise en conformité avant le 22 septembre 2023, ce n'est pas le cas partout :70%25 Lack of clarity in the statute on the practical requirements to be implemented in order to comply with the provisions of Law 25, 54%25 Lack of official guidance from the CAI to assist with interpreting the provisions of Law 25, 52%25 Insufficient resources within my organization to implement requirements for compliance, 22%25 Lack of internal awareness of Law 25, 13%25 Other: Please Specify, 4%25 Lack of access to legal counsel

  • 61 % des organisations interrogées ont adopté un plan de mise en conformité avec toutes les exigences de la Loi 25 avant son entrée en vigueur.

La majorité des organisations interrogées (70 %) ont déclaré ne pas encore se conformer à toutes les exigences de la Loi 25 en raison d'un manque de clarté de la Loi sur les exigences pratiques à respecter pour satisfaire à ses dispositions. Plus de 50 % des répondants attribuent également cette situation à l'absence de directives officielles pour pour faciliter l'interprétation, ainsi qu'à l'insuffisance des ressources.

Les principales préoccupations des organisations quant aux exigences de la Loi 25 étaient les suivantes :

  • Coûts de mise en œuvre (54 % des répondants)
  • Transferts transfrontaliers de données (50 % des répondants)
  • Consentement (48 % des répondants)

Il convient de noter que cette enquête s'est déroulée au même moment que la période de consultation sur les lignes directrices sur le consentement menée par la CAI.

Les coûts de mise en œuvre et les exigences de la Loi 25 concernant les transferts transfrontaliers de données sont les domaines les plus préoccupants pour les organisations, ayant été choisis respectivement par 54 % et 50 % des répondants. Le consentement suit de près, ayant été choisi par 48 % des répondants comme le sujet de préoccupation le plus important.

Lorsqu'on leur a demandé quelles seraient les mesures ou ressources supplémentaires les plus utiles pour rassurer les organisations sur le respect de la Loi 25, la possibilité de reporter l'entrée en vigueur des nouvelles dispositions était clairement en tête de liste. Elle a été choisie par 52 % des répondants. Le report de l'entrée en vigueur a été préféré à une période de grâce après le 22 septembre 2023 durant laquelle les pénalités et les sanctions ne seraient pas imposée. Seuls 9 % des répondants ont estimé que cette mesure était la plus utile pour leur organisation.

20 % des répondants ont indiqué que les mesures les plus utiles pour leur organisation seraient des directives supplémentaires de la CAI sur les démarches pratiques à entreprendre pour se conformer aux nouvelles exigences de la Loi 25.

Enfin, 17 % des répondants ont indiqué que l'obtention de directives directives supplémentaires de la part de la CAI sur la bonne interprétation du libellé de la Loi 25.

Les répondants ont également eu la possibilité d'indiquer d'autres ressources qui leur seraient utiles. Plusieurs répondants ont indiqué qu'en plus de leur choix principal, il serait utile de retarder la mise en applicationde la Loi. D'autres répondants ont mentionné expressément :

  • des conseils sur le respect de la Loi 25 et d'autres lois sur la protection des renseignements personnels dans d'autres juridiction à travers le monde;
  • des directives sur l'application de la Loi 25 aux organisations hors du Québec qui peuvent offrir leurs services au Québec, bien qu'elles ne soient pas directement visées;
  • un modèle à jour d'évaluation des facteurs relatifs à sur la vie privée.

Retour au début

Consentement et transparence

Malgré leurs préoccupations au sujet du consentement, les répondants sont généralement assez confiants quant à leur compréhension des dispositions de la Loi 25 en matière de consentement et de transparence.

Avec une note de 1 pour « pas du tout confiant » et une note de 10 pour « très confiant », 75 % des répondants ont attribué une note de 6 ou plus à leur compréhension des exigences sur le consentement et la transparence, le mode étant de 8.

Les sources d'incertitude les plus fréquemment mentionnées sont les suivantes :

62 %25 des répondants ont exprimé leur incertitude quant à ce qui constitue des << mesures raisonnables > pour limiter le risque d’identification d’une personne à l’aide de renseignements dépersonnalisés. 47 %25 des répondants ont exprimé leur incertitude quant aux circonstances dans lesquelles les renseignements personnels peuvent être considérés comme << clairement utilisés dans l’intérêt > d’une personne 43 %25 des répondants ont exprimé leur incertitude quant à ce qui peut constituer un << lien pertinent et direct > entre les fins. 42 %25 des répondants ont exprimé leur incertitude quant à chacun des éléments suiva ce qui peut constituer une << catégorie > de tiers ou de personnes; les cas où une finalité peut être considérée comme compatible avec les fins auxquelles le renseignement a été recueilli nts : 40 %25 des répondants ont exprimé leur incertitude quant à chacun des éléments suivants : les comportements qui peuvent constituer une << prospection commerciale ou philanthropique >; les circonstances dans lesquelles les renseignements peuvent susciter un << haut niveau d’attente raisonnable en matière de vie privée >; les circonstances dans lesquelles le renseignement est considéré comme << dépersonnalisé >. 36 %25 des répondants ont exprimé leur incertitude quant aux circonstances où une utilisation peut être << nécessaire > pour une fin particulière. 34 %25 des répondants ont exprimé leur incertitude quant à ce qui peut être considéré comme des << termes simples et clairs >. 32 %25 des répondants ont exprimé leur incertitude quant aux circonstances dans lesquelles les renseignements personnels peuvent être considérés comme << sensibles >.

D'autres sources d'incertitude ont été signalées, notamment : la façon d'obtenir les différents types de consentement en ligne (par exemple, sur un site Web); ce qui serait considéré comme « présenté distinctement de toute autre information communiquée à la personne concernée »; les exigences du consentement pour le profilage; l'application d'exigences spécifiques aux témoins de connexion; la distinction entre « consentement implicite > et « consentement exprès ».

Les organisations ont manifesté une grande incertitude quant à la distinction entre les exigences relatives au consentement valable en vertu de la Loi 25 et de la LPRPDE.

25 % des répondants ont affirmé ne pas savoir si les exigences en matière de consentement valable étaient les mêmes pour la Loi 25 et la LPRPDE. Les autres répondants étaient presque à égalité entre leur interprétation respective des exigences comme étant soit identiques (38 %), soit différentes (37 %).

Retour au début

Prise de décision automatisée et profilage

En général, les répondants étaient davantage confiants que le contraire dans leur compréhension des exigences de la Loi 25 entourant la prise de décision automatisée et le profilage.

Avec une note de 1 pour « pas du tout confiant » et une note de 10 pour « très confiant », 62 % des répondants ont attribué une note de 6 ou plus à leur compréhension des exigences entourant la prise de décision automatisée et le profilage.

Parmi les répondants ayant déclaré utiliser des processus automatisés de prise de décision, seuls 17 % ont indiqué que leur organisation serait en mesure de signaler aux particuliers toutes les décisions prises exclusivement à l'aide du traitement automatisé. En revanche, 69 % des répondants ont indiqué qu'il leur serait possible de signaler aux particuliers les décisions fondées exclusivement sur un traitement automatisé qui auraient des effets concrets, directs ou sensibles sur une personne ou sur ses droits. 9 % des répondants ont indiqué que ces deux options n'étaient pas réalisables, et 6 % d'entre eux ont exprimé leur incertitude en raison de la confusion dans les exigences de la loi.

Les sources d'incertitude les plus fréquemment mentionnées sont les suivantes :

67 %25 des répondants ont exprimé leur incertitude quant aux éléments suivants : ·	ce qui peut constituer du << profilage »; ·	les << fonctions » qui peuvent permettre d’identifier, de localiser ou de profiler une personne 65 %25 des répondants ont exprimé leur incertitude quant aux << facteurs » ou << paramètres » pertinents qu’il faudrait divulguer à une personne concernée 42 %25 des répondants ont exprimé leur incertitude quant à ce qui peut être considéré comme le << traitement automatisé » de renseignements personnels. 37 %25 des répondants ont exprimé leur incertitude quant aux circonstances dans lesquelles une décision peut être << exclusivement » fondée sur un traitement automatisé. L’application des exigences de profilage à l’utilisation de témoins de connexion, compte tenu de leur exclusion des exigences de la Loi 25 sur la protection des renseignements personnels dès la conception constitue une autre préoccupation qui a été soulevée.

Retour au début

Transfert de données

En général, les répondants étaient davantage confiants que le contraire dans leur compréhension des exigences de la Loi 25 pour les transferts de données hors du Québec.

Avec une note de 1 pour « pas du tout confiant » et une note de 10 pour « très confiant », 60 % des répondants ont attribué une note de 6 ou plus à leur compréhension des exigences pour le transfert de données.

35 % des répondants ont affirmé que leur organisation ne serait pas en mesure d'évaluer les incidences du transfert de données sur la vie privée (par exemple, une évaluation des conséquences sur la vie privée portant surtout sur le transfert de données) pour chaque transfert et pour chaque administration destinataire des données. 42 % des répondants affirment pouvoir faire ces évaluations, mais seuls 19 % d'entre eux les font déjà.

Les sources d’incertitude les plus fréquemment mentionnées sont les suivantes : 59 %25 des répondants ont exprimé leur incertitude quant à ce qui constitue une < protection adéquate » des renseignements personnels, à la lumière des principes généralement reconnus en la matière. 53 %25 des répondants ont exprimé leur incertitude quant à ce qui constitue un < cadre juridique » applicable dans un État donné. 49 %25 des répondants ont exprimé leur incertitude quant aux éléments suivants : la question de savoir si la collecte de renseignements personnels hors du Québec constitue une communication de renseignements personnels hors du Québec; et la question de savoir ce qui constitue un < principe généralement reconnu de protection des renseignements personnels ». 41 %25 des répondants ont exprimé une incertitude quant à ce qui représente ou non un < État » aux fins des exigences de la Loi.

Retour au début

Évaluations des facteurs relatifs à la vie privée

En général, les répondants sont assez confiants quant à leur compréhension des dispositions de la Loi 25 sur les évaluations des facteurs relatifs à la vie privée.

Avec une note de 1 pour « pas du tout confiant » et une note de 10 pour « très confiant », 68 % des répondants ont attribué une note de 6 ou plus à leur compréhension des exigences sur les évaluations des facteurs relatifs à la vie privée.

Les sources d'incertitude les plus fréquemment mentionnées sont les suivantes :

  • 67 % des répondants ont exprimé leur incertitude quant à ce qui peut être qualifié de < format technologique structuré et couramment utilisé >.
  • 57 % des répondants ont exprimé leur incertitude quant aux circonstances dans lesquelles une évaluation des facteurs relatifs à la vie privée serait < proportionnée > aux facteurs pertinents.
  • 43 % des répondants ont exprimé leur incertitude quant à ce qui peut constituer un < système d'information >.
  • 39 % des répondants ont exprimé leur incertitude quant à ce qui peut constituer un < système de prestation électronique de services >.
  • 37 % des répondants ont exprimé leur incertitude quant à ce qui peut constituer un renseignement personnel informatisé et la nature des < projets > qui doivent faire l'objet d'une évaluation des facteurs relatifs à la vie privée.

Retour au début

Paramètres de confidentialité par défaut

Les répondants se sont montrés plus partagés quant à leur compréhension des exigences de la Loi 25 en matière de confidentialité par défaut.

Avec une note de 1 pour « pas du tout confiant » et une note de 10 pour « très confiant », 57 % des répondants ont attribué une note de 6 ou plus à leur compréhension des exigences sur les paramètres de confidentialité par défaut.

Les sources d’incertitude les plus fréquemment mentionnées sont les suivantes :

59 %25 des répondants ont exprimé leur incertitude quant à ce qui constitue « le plus haut niveau de confidentialité >. 52 %25 des répondants ont exprimé leur incertitude quant à ce qui constitue « un paramètre de confidentialité > 48 %25 des répondants ont exprimé leur incertitude quant aux circonstances dans lesquelles la réalisation d’une évaluation des facteurs relatifs à la vie privée en vertu de la Loi est « proportionnée > aux facteurs pertinents. 46 %25 des répondants ont exprimé leur incertitude quant aux « produits ou services technologiques > susceptibles d’être visés par cette exigence. 41 %25 des répondants ont exprimé leur incertitude quant aux circonstances dans lesquelles un produit ou un service technologique est considéré comme « offert au public >. 22 %25 des répondants ont indiqué qu’ils n’étaient pas incertains quant à la manière d’interpréter les éléments mentionnés à l’article 9.1 de la Loi 25

Plus de 50 % des répondants ne sont pas convaincus qu'il serait possible pour leur organisation de mettre en œuvre les exigences de confidentialité par défaut.

30 % des répondants ont exprimé leur incertitude quant à la capacité de leur organisation de choisir le plus haut niveau de confidentialité comme valeur par défaut pour tous les paramètres de confidentialité. 22 % des répondants ont indiqué que ce ne serait pas possible.

Retour au début

Incidents de confidentialité

En général, les répondants sont assez confiants quant à leur compréhension des dispositions de la Loi 25 sur le signalement des incidents de confidentialité. Ces exigences sont entrées en vigueur en septembre 2022, ce qui a sans doute permis de mieux les faire connaître.

Avec une note de 1 pour « pas du tout confiant » et une note de 10 pour « très confiant », 72 % des répondants ont attribué une note de 6 ou plus à leur compréhension des exigences sur le signalement des incidents de confidentialité.

  • 37 % des répondants ont indiqué qu'ils n'étaient pas incertains quant à la manière d'interpréter les éléments mentionnés aux articles 3.5 et 3.8 de la Loi 25. Une même proportion de répondants a choisi les éléments suivants comme facteurs d'incertitude :
    • les circonstances dans lesquelles un incident présente un « risque de préjudice sérieux »;
    • les types de personnes ou d'organismes susceptibles de réduire le risque de préjudice sérieux
  • 35 % des répondants ont exprimé leur incertitude quant à ce qui constitue des mesures raisonnables pour réduire le risque de préjudice.
  • 30 % des répondants ont exprimé leur incertitude quant à ce qui constitue des mesures raisonnables pour prévenir de nouveaux incidents de confidentialité « de même nature ».

Plusieurs répondants ont également exprimé leur incertitude quant aux circonstances dans lesquelles l'utilisation sans autorisation de renseignements personnels constituerait un incident de confidentialité, et ont évoqué l'exemple 16.2 du projet de lignes directrices sur le consentement de la CAI, qui ajoute encore à l'ambiguïté.

Les répondants se sont dits assez incertains quant à la distinction entre les normes de notification en vertu en vertu de la Loi 25 lorsqu'un incident présente un risque de préjudice sérieux, et en vertu de la LPRPDE, lorsqu'un incident présente un risque réel de préjudice grave. 52 % des répondants ont attribué une note de 5 ou moins à leur confiance en leur compréhension, avec un mode de 5.

70 % des répondants affirment craindre que le nom des organisations qui signalent des incidents de confidentialité à la CAI puisse être publié.

Retour au début

Sanctions et pénalités

15 % des répondants ont jugé équitables les sanctions et les pénalités susceptibles d'être imposées en vertu de la Loi 25.

67 % des répondants se sont dits préoccupés par le risq ue de sanctions et de pénalités à leur encontre ou à l'encontre de leur organisation en cas de manquement à la Loi 25.

61 % des répondants ont déclaré ne pas comprendre les circonstances dans lesquelles la Loi 25 permet d'imposer des sanctions administratives pécuniaires, par opposition aux circonstances qui permettent d'engager des poursuites pénales. Avec une note de 1 pour < pas du tout confiant > et une note de 10 pour < très confiant >, seulement 39 % des répondants ont attribué une note de 6 ou plus à leur degré de confiance.

Retour au début

Autres commentaires

Enfin, il a été possible pour les répondants de formuler d'autres commentaires sur la Loi 25 et sur les préoccupations de leur organisation. Outre les demandes répétées de directives pour chacun des aspects mentionnés ci-dessus, les organisations ont fait part des préoccupations suivantes :

  • L'absence de directives sur la Loi 25 avant son entrée en vigueur constitue un problème sérieux et déraisonnable.
  • Les exigences de la Loi 25 sur le consentement explicite risquent d'entraîner une grande lassitude chez les personnes concernées quant à l'obligation d'obtenir le consentement.
  • Les exigences de la Loi 25 représentent un fardeau très lourd de mise en conformité.

Les organisations ont également exprimé le souhait que le Québec harmonise son cadre législatif avec celui qui sera adopté par le gouvernement fédéral (c.-à-d. le projet de loi C-27).

À propos

Grâce à son savoir-faire juridique de calibre international, Gowling WLG offre à ses clients un soutien multiterritorial dans des secteurs clés à l'échelle mondiale : technologie, fabrication, services bancaires et financiers, marchés des capitaux, infrastructures et sciences de la vie. Forts d'une pratique de propriété intellectuelle figurant parmi les plus importantes au monde, nous fournissons une gamme complète de services juridiques en droit des affaires et en résolution de litiges.

Comptant plus de 1 500 professionnels juridiques dans le monde entier, nous offrons une expertise approfondie couvrant des secteurs clés internationaux ainsi qu'une gamme complète de services juridiques, localement comme à l'étranger. Nous voyons le monde du point de vue de nos clients et nous collaborons entre nous dans différents pays, dans nos divers bureaux, domaines de compétences et secteurs d'activité pour les aider à réussir, peu importe la complexité de leurs affaires. Que ce soit au Canada, au Royaume-Uni, en Europe continentale, au Moyen-Orient et en Asie, vous pouvez compter sur nous pour vous prodiguer des services juridiques essentiels à votre succès, où que vous soyez. En savoir plus »

Groupe national Cybersécurité et protection des donnée

Regroupant la crème des professionnels du domaine de la protection de la vie privée et des données, notre équipe chevronnée sait tirer parti de sa vaste expérience pour créer des solutions efficaces et avantageuses pour ses clients. Grâce à nos conseils et ressources pratiques, vous pourrez évaluer les enjeux juridiques et stratégiques pour votre entreprise quant à un éventail de questions sur le sujet, dont la Loi 25. L'équipe de Gowling WLG est composée de professionnels ayant fait partie du personnel politique de haut niveau ayant occupé des postes gouvernementaux importants ou contribué à l'élaboration de politiques et de régimes législatifs et réglementaires. Notre objectif? Faire en sorte que vous puissiez participer pleinement au débat politique tout en conservant une longueur d'avance dans le paysage législatif dynamique de la protection de la vie privée. N'hésitez donc pas à explorer nos ressources ou à communiquer avec un membre de notre équipe pour entamer un dialogue.

À propos d'IAB Canada

iab canada logo

Le Bureau de la publicité interactive du Canada (IAB Canada) est le porte-parole national et le leader d'opinion de l'industrie canadienne de la publicité et du marketing interactifs. Il s'agit de la seule association professionnelle qui se consacre exclusivement au développement et à la promotion du secteur de la publicité et du marketing numériques au Canada. En tant qu'organisme sans but lucratif, IAB Canada représente plus de 250 annonceurs, agences de publicité, entreprises médiatiques, prestataires de services, établissements d'enseignement et organismes gouvernementaux figurant parmi les plus respectés au pays. Parmi ses membres, on compte diverses parties prenantes du secteur de la publicité et du marketing numériques en pleine croissance au Canada, notamment un grand nombre de petites et de moyennes entreprises.

Mission de l'IAB

En tant qu'unique organisme consacré entièrement au développement et à la promotion de la publicité numérique et interactive au pays, IAB Canada collabore avec ses membres afin :

  • de réaliser des études originales sur la publicité numérique et interactive au Canada;
  • de déterminer les meilleures pratiques et de faire la promotion des normes en publicité numérique et interactive;
  • de renforcer le capital humain grâce à ses cours et à ses certifications, à son centre d'emploi et à d'autres initiatives aidant l'industrie à attirer, à former et à motiver les ressources humaines;
  • de faire la promotion du secteur de la publicité numérique et interactive auprès du gouvernement du Canada;
  • d'organiser des événements de réseautage qui informent le secteur et améliorent la communication entre les membres.

IAB au Canada et sur la scène mondiale

IAB Canada est une organisation constituée et exploitée de façon indépendante : elle n'est ni détenue, ni contrôlée, ni exploitée par un autre Bureau de la publicité interactive. Toutes les marques de commerce et tous les noms sont utilisés sous licence. Si IAB Canada et les autres Bureaux internationaux de la publicité interactive collaborent étroitement dans le cadre de projets et d'initiatives d'envergure, chaque pays possède son propre programme d'adhésion. Pour en savoir plus, rendez- vous au www.iabcanada.com

Retour au début


Toutes les questions étaient optionnelles. Certaines organisations n'ont pas répondu à toutes les questions. Sauf indication contraire, les pourcentages indiqués ci-dessous ont été calculés à partir du nombre total de réponses reçues pour chaque question, au lieu du nombre total de répondants à l'enquête. La taille des échantillons pour chaque question variait de 87 à 46.