Archives de catégorie : Renseignements personnels

Modification du projet de loi 64 qui continu sa progression vers son adoption éventuelle

Publié le par

Le projet de loi 64 continu de faire son chemin dans le processus législatif québécois, alors qu’on publiait plus tôt ce mois-ci le rapport d’étude de la  commission parlementaire et sur lequel elle planchait depuis des mois. Cette étape complétée, le projet de loi se rapproche encore davantage d’une modification de la loi québécoise en matière de protection des renseignements personnels (la Loi sur la protection des renseignements personnels dans le secteur privé).

La commission propose une série d’aménagements au projet de loi 64, visant entre autres à répondre à certains commentaires découlant des consultations publiques. Ces modifications comprennent notamment les suivantes :

  1. Créer certains nouveaux droits pour les individus;
  2. Obliger les entreprises à vérifier et confirmer que les renseignements personnels qu’elles entendent exporter vers l’extérieur du Québec bénéficieraient d’une «protection adéquate» dans cette autre juridiction (une obligation pas mal plus permissive que la version originale du projet de loi qui aurait exigé qu’on vérifie le «niveau de protection équivalent» à la loi québécoise);
  3. Ajouter une obligation d’informer les individus dont on recueille les renseignements personnels, non-seulement de la catégorie générale de tiers, mais aussi du nom spécifique des tiers auxquels ces renseignements pourront être communiqués;
  4. Permettre de déléguer à des tiers le rôle de ce qu’on désigne le «responsable de la protection des renseignements personnels» (par exemple, un fournisseur ou un spécialiste auquel on impartirait cette fonction), plutôt que d’insister que ce soit un dirigeant ou un employé de l’organisation même;
  5. Obliger les entreprises utilisant de l’information qui a été «dépersonnalisée» à déployer des moyens raisonnables afin de limiter les risques de réidentification des individus visés en réalité;
  6. Permettre l’utilisation de renseignements personnels même en l’absence de consentement, notamment quand cela s’avère nécessaire dans le contexte d’une prestation de services ou aux fins de fournir un bien;
  7. Permettre aussi d’utiliser des renseignements dans le cadre d’«opérations commerciales» de toutes sortes, pouvant dépasser les simples transaction commerciale de type M&A, incluant les financements (en pratique, cela se fait déjà souvent);
  8. Ajouter la possibilité pour les organisations délinquantes de régler le dossier, en s’engageant à remédier ou atténuer les conséquences de ses violations, etc.;
  9. Modification du montant des amendes (les «sanctions administratives pécuniaires») qui pourraient résulter de l’application de la nouvelle loi pour les individus ou les organisation délinquant(e)s. Par contre, le maximum de 25M$ (ou 4% du chiffre d’affaires), lui, demeure inchangé;
  10. Limiter ce que les entreprises doivent remettre aux individus qui en font la demande de voir «leurs» renseignements, en en excluant les renseignements indirectement créés ou déduits des renseignements qu’avait fourni à l’origine l’individu visé.

Le projet de loi est désormais libre de continuer sa progression (examen du rapport, adoption, etc.) devant éventuellement culminer dans l’adoption formelle par l’Assemblée nationale et son entrée en vigueur. Selon toute vraisemblance, cela devrait survenir d’ici la fin de l’année 2021.

Le Canada se rapproche d’une reconnaissance éventuelle du droit à la désindexation pour les individus

Publié le par

Comme le rapportait récemment les médias, la Cour fédérale s’est maintenant prononcée à l’effet que le moteur de recherche Google exerce bien une activité commerciale (dhu) et que, eh oui, la Loi sur la protection des renseignements personnels et les documents électroniques (la «LPRPDE») s’applique bien.

La décision en question, issue d’un renvoi déclenché par le Commissaire à la protection de la vie privée du Canada (suite à une plainte de citoyen contre Google), est Reference re Subsection 18.3(1) of the Federal Courts Act (2021 FC 723).

À ce dernier sujet, Google avait tenté d’arguer que son activité tombait sous le couvert des activités journalistiques, généralement soustraites à l’application de la législation en matière de protection des renseignements personnels. Selon le juge cependant, Google fait autre chose que du journalisme et s’avère donc tout à fait sujette aux règles normales, comme n’importe quelle entreprise.

Suite à cette décision, on a désormais une confirmation judiciaire du fait que le concept développé en Europe de « droit à l’oubli » pourrait fonctionner ici, en principe, puisqu’un moteur de recherche peut être considéré comme une entreprise comme toute autre. Le Commissariat canadien pourra donc désormais continuer à examiner les plaintes faites, dont contre Google, et visant à obtenir qu’on reconnaisse le droit à la désindexation, au Canada.

Cette décision survient dans un contexte où de plus en plus de juridictions (dont le Canada) étudient la possibilité de prévoir spécifiquement dans leurs lois en matière de renseignements personnels des règles qui permettraient aux individus d’obtenir la désindexation de renseignements erronés ou désuets à leur sujet. Bien que ce concept existe déjà en Europe depuis un moment, il n’a pas encore été reconnu légalement au Canada, si bien que les Google de ce monde refusent généralement pour l’instant les demandes de ce type, se limitant habituellement à suggérer aux individus de s’adresser directement à ceux ayant placé le contenu en question sur la toile.