Sommaires exécutifs 18 juin 2020
Le projet de loi 64 du Québec modifiant la loi sur la protection des données : un projet de loi qui a du mordant?
Le 12 juin 2020, la ministre responsable des Institutions démocratiques, de la Réforme électorale et de l’Accès à l’information, Mme Sonia LeBel, a déposé le très attendu projet de loi 64 : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. S’il est adopté, le projet de loi 64 modifiera diverses lois traitant de la protection des données par les institutions du secteur privé et du secteur public, notamment la Loi sur la protection des renseignements personnels dans le secteur privé.
Danielle Miller Olofsson est coauteure du présent article.
La loi 64 du Québec
En ce qui concerne la Loi sur la protection des renseignements personnels dans le secteur privé (« PRPSP »), le projet de loi 64 est attendu depuis longtemps. Première juridiction canadienne à adopter un régime statutaire portant sur la protection des renseignements personnels dans le secteur privé en 1993, le Québec n'a pas tenu la loi à jour, ce qui a été jugé inadéquat en 2014 par le conseil consultatif de l'Union européenne, le Groupe de travail 29, pour manquement à son devoir de protéger correctement le droit à la vie privée des individus. En règle générale, l'évaluation d'une autre juridiction n’est pas remarquable en soi. Toutefois, si l'Union européenne avait donné suite aux conclusions du groupe de travail, les entreprises québécoises auraient pu être soumises à des mesures onéreuses de protection des données et s'exposer à de lourdes amendes si elles entendaient continuer à partager leurs données avec des pays européens.
Modifications proposées à la loi existante en matière de protection de la vie privée
Si les modifications proposées au projet de loi 64 sont adoptées, celles-ci clarifieront plusieurs éléments de la loi actuelle, permettant ainsi d'aligner la PRPSP avec ses homologues fédéral et provinciaux. Elles introduiront au sein de la législation québécoise des droits reconnus en Europe et aux États-Unis, mais qui n'ont pas été appliqués au Canada jusqu'à présent. Le projet de loi propose également des amendes sévères en cas de violation de la loi existante.
Sont énumérées ci-dessous les modifications proposées qui présentent un intérêt particulier :
- Le consentement à la collecte, à l'utilisation et à la communication des données devra être clair, libre et éclairé, en plus d’être donné dans un but précis;
- Comme pour la loi fédérale, le projet de loi 64 exempterait les coordonnées des employés du champ d'application de la législation;
- Les informations sensibles, auparavant non définies, seraient désormais définies comme incluant les informations qui, en raison de leur nature, de leur contexte, de leur utilisation ou de leur communication, impliquent un niveau élevé d'attente raisonnable en matière de respect de la vie privée;
- Toute entreprise qui collecte des informations devra mettre en place des politiques et des procédures de gouvernance des données, y compris des dispositions relatives à la conservation et à la destruction, et les publier sur son site web;
- Les entreprises, quelle que soit leur taille, devront désigner une personne responsable de la mise en œuvre des mesures de protection des informations personnelles et mettre les coordonnées de cette personne à disposition sur son site web;
- Une analyse des incidences sur la vie privée devra être effectuée lorsqu'une entreprise envisage de mettre en œuvre un projet de système d'information ou de prestation de services électroniques impliquant la collecte, l'utilisation, la communication, le stockage ou la destruction d'informations personnelles;
- Les entreprises devront mettre en place des ententes de traitement comprenant des éléments spécifiques si elles souhaitent faire appel à un tiers pour le traitement des informations personnelles;
- Les entreprises québécoises seront tenues de divulguer une atteinte à la protection des données si elle présente un risque de préjudice grave à : i) la Commission d'accès à l'information du Québec (la « Commission »); ii) la ou les personnes touchées; et iii) tout organisme qui pourrait contribuer à atténuer le préjudice. Le non-respect de cette obligation peut entraîner des sanctions de 5 000 $ à 50 000 $ pour une personne physique, de 15 000 $ à 25 000 000 $ pour une personne morale ou même, dans certains cas, un montant correspondant à 4 % du chiffre d'affaires mondial de cette dernière pour l'exercice fiscal précédent
- Comme pour la loi fédérale, la PRPSP exigera des organisations qu'elles tiennent un journal des atteintes.
Droits supplémentaires pour les personnes dont les données sont collectées
Le projet de loi 64 offre plus de clarté en garantissant le droit d'une personne d’accéder à un dossier contenant ses informations personnelles et à le rectifier. Elle reconnaît également le droit de faire supprimer tout hyperlien qui fournit des informations par des moyens technologiques si la diffusion de l'information contrevient à la loi ou à une décision judiciaire. L'individu a également le droit de faire réindexer l'hyperlien sous certaines conditions. Dans le cas où la personne fait l'objet d'une décision automatisée, elle a le droit d'être informée des informations personnelles qui sont utilisées, de la raison du traitement de ses informations personnelles, et des principaux facteurs et paramètres sur lesquels s'appuient ces décisions automatisées. Elle a également le droit d'accéder aux informations personnelles qui sont utilisées et traitées.
Sanctions
En plus des sanctions mentionnées ci-dessus pour le non-respect de la déclaration des infractions, le projet de loi 64 propose de donner à la Commission le droit de mettre au point et d'imposer de lourdes sanctions administratives pécuniaires pour les infractions à la loi. Celles-ci peuvent aller jusqu'à 50 000 $ pour une personne physique et jusqu'à 10 000 000 $ pour une entreprise ou 2 % de son chiffre d'affaires mondial, selon le montant le plus élevé. La loi 64 prévoit également des dommages-intérêts punitifs dans le cas d'une entreprise qui, illégalement, intentionnellement ou par suite d'une faute lourde, enfreint les articles 35 à 40 du Code civil du Québec (qui codifient les droits au respect de la réputation et de la vie privée).
Litiges
La reconnaissance de nouveaux droits et l'imposition de nouvelles sanctions, y compris des dommages-intérêts punitifs, pourraient servir de base à des poursuites contre presque toute entreprise, institution ou organisation active au Québec. Plus précisément, en renforçant le régime de protection de la vie privée et des données, le projet de loi 64 pourrait encourager les actions collectives, notamment celles intentées à la suite de manquements présumés à des exigences de gouvernance et de divulgation plus onéreuses.
Points à retenir
Le projet de loi 64 fait entrer la PRPSP au 21e siècle et exige officiellement ce que de nombreuses entreprises font déjà en matière de gouvernance des données. Il assure également une certaine cohérence avec les entreprises internationales qui cherchent à faire affaires au Québec en alignant la province sur les pratiques de protection des données, telles que la notification des atteintes, qui existent presque partout ailleurs en Amérique du Nord. Il reste à voir quels éléments du projet de loi 64 seront adoptés. D'ici là, BCF vous invite à adresser toute question concernant la vie privée et la protection des données à son groupe Protection des données et cybersécurité.
Inscrivez-vous à nos communications et bénéficiez de notre connaissance du marché pour déceler de nouvelles occasions d’affaires, vous renseigner sur les meilleures pratiques innovantes et recevoir les plus récents développements. Découvrez en primeur notre intelligence d’affaires et nos événements.