Le projet de loi 64 continu de faire son chemin dans le processus législatif québécois, alors qu’on publiait plus tôt ce mois-ci le rapport d’étude de la commission parlementaire et sur lequel elle planchait depuis des mois. Cette étape complétée, le projet de loi se rapproche encore davantage d’une modification de la loi québécoise en matière de protection des renseignements personnels (la Loi sur la protection des renseignements personnels dans le secteur privé).
La commission propose une série d’aménagements au projet de loi 64, visant entre autres à répondre à certains commentaires découlant des consultations publiques. Ces modifications comprennent notamment les suivantes :
- Créer certains nouveaux droits pour les individus;
- Obliger les entreprises à vérifier et confirmer que les renseignements personnels qu’elles entendent exporter vers l’extérieur du Québec bénéficieraient d’une «protection adéquate» dans cette autre juridiction (une obligation pas mal plus permissive que la version originale du projet de loi qui aurait exigé qu’on vérifie le «niveau de protection équivalent» à la loi québécoise);
- Ajouter une obligation d’informer les individus dont on recueille les renseignements personnels, non-seulement de la catégorie générale de tiers, mais aussi du nom spécifique des tiers auxquels ces renseignements pourront être communiqués;
- Permettre de déléguer à des tiers le rôle de ce qu’on désigne le «responsable de la protection des renseignements personnels» (par exemple, un fournisseur ou un spécialiste auquel on impartirait cette fonction), plutôt que d’insister que ce soit un dirigeant ou un employé de l’organisation même;
- Obliger les entreprises utilisant de l’information qui a été «dépersonnalisée» à déployer des moyens raisonnables afin de limiter les risques de réidentification des individus visés en réalité;
- Permettre l’utilisation de renseignements personnels même en l’absence de consentement, notamment quand cela s’avère nécessaire dans le contexte d’une prestation de services ou aux fins de fournir un bien;
- Permettre aussi d’utiliser des renseignements dans le cadre d’«opérations commerciales» de toutes sortes, pouvant dépasser les simples transaction commerciale de type M&A, incluant les financements (en pratique, cela se fait déjà souvent);
- Ajouter la possibilité pour les organisations délinquantes de régler le dossier, en s’engageant à remédier ou atténuer les conséquences de ses violations, etc.;
- Modification du montant des amendes (les «sanctions administratives pécuniaires») qui pourraient résulter de l’application de la nouvelle loi pour les individus ou les organisation délinquant(e)s. Par contre, le maximum de 25M$ (ou 4% du chiffre d’affaires), lui, demeure inchangé;
- Limiter ce que les entreprises doivent remettre aux individus qui en font la demande de voir «leurs» renseignements, en en excluant les renseignements indirectement créés ou déduits des renseignements qu’avait fourni à l’origine l’individu visé.
Le projet de loi est désormais libre de continuer sa progression (examen du rapport, adoption, etc.) devant éventuellement culminer dans l’adoption formelle par l’Assemblée nationale et son entrée en vigueur. Selon toute vraisemblance, cela devrait survenir d’ici la fin de l’année 2021.