Le Québec adopte sa nouvelle loi quant à la protection des données personnelles

Eh bien, notre législateur provincial n’a effectivement pas tardé à adopté sa version révisée du Projet de loi 64, alors que la nouvelle loi en résultant était finalement adoptée la semaine dernière. La loi refondue visant à protéger les renseignements personnels au Québec est ainsi publiée en version finale. C’est donc maintenant fait, le Québec s’est mis à la page pour ce qui est de ses propres règles (dont sa Loi sur la protection des renseignements personnels dans le secteur privé) visant à renforcer la protection des données que manipulent les entreprises à l’intérieur de la province.

Comme le mentionnaient récemment les médias, le Législateur espère ainsi débarrasser le Québec de sa «culture de négligence» désinvolte par rapport aux pratiques d’entreprise en matière de renseignements personnels. Avec une loi datant de la préhistoire des données, le Québec faisait jusqu’ici figure de parent pauvre de la protection des données, la plupart des entreprises préférant ne pas entendre parler de ce sujet, fort de l’impression (réelle!) que la loi québécoise n’avait que très peu de chances de mener à de véritables sanctions, même si on finissait par se faire prendre les doigts dans le piège à souris.

La nouvelle loi comporte des dispositions modernisées inspirées du règlement européen (le fameux  Règlement général sur la protection des données, ou «RGPD»), assorties de réelles sanctions pour les entreprises jugées délinquantes. Avec des amendes éventuelles pouvait s’élevées à des millions de dollars, on croit que la loi québécoise a ce dont elle a besoin pour FINALEMENT attirer l’attention des dirigeants d’entreprises, incluant ceux de simples PME, jugeant souvent jusqu’ici ne pas réellement avoir à se préoccuper de ce genre de choses.

Eh oui, bien qu’on le sache depuis longtemps (en principe), toute organisation qui collecte, utilise, partage ou communique des données à caractère personnel de tiers DOIT se conformer aux règles en matière de protection des renseignements visés. La négligence (ou l’aveuglement volontaire) quant à ces règles pourra désormais coûter cher aux organisations délinquantes, bien que la Commission d’accès à l’information (la «CAI»), affirme qu’elle « prendra en compte la capacité de payer des entreprises » en faisant appliquer cette loi.

La loi vient notamment aussi réaffirmer clairement qu’un consentement explicite, libre et éclairé s’avère nécessaire AVANT toute utilisation de données personnelles, à l’instar de ce qui se fait par exemple en Europe.

Malgré son adoption formelle par le Québec, la majorité des dispositions de la nouvelle loi n’entreront réellement en vigueur (dont ses amendes éventuelles) que dans deux (2) ans, le 22 septembre 2023.

Par contre, un petit nombre de dispositions entreront, elles, en vigueur dès septembre 2022, dont les celles qui prévoient l’obligation pour les entreprises d’aviser les victimes (et la CAI) des incidents tels de piratage informatique et qui auraient exposés leurs données à des fuites. En vertu de la nouvelle loi, en effet, toutes les organisations ont l’obligation de déployer des mesures de sécurité appropriés afin de protéger le genre de renseignements personnels qu’elles détiennent quant à autrui.

D’ici là, la CAI et nos entreprises ont pas mal de devoirs à faire pour se préparer à cette nouvelle réalité.

Modification du projet de loi 64 qui continu sa progression vers son adoption éventuelle

Le projet de loi 64 continu de faire son chemin dans le processus législatif québécois, alors qu’on publiait plus tôt ce mois-ci le rapport d’étude de la  commission parlementaire et sur lequel elle planchait depuis des mois. Cette étape complétée, le projet de loi se rapproche encore davantage d’une modification de la loi québécoise en matière de protection des renseignements personnels (la Loi sur la protection des renseignements personnels dans le secteur privé).

La commission propose une série d’aménagements au projet de loi 64, visant entre autres à répondre à certains commentaires découlant des consultations publiques. Ces modifications comprennent notamment les suivantes :

  1. Créer certains nouveaux droits pour les individus;
  2. Obliger les entreprises à vérifier et confirmer que les renseignements personnels qu’elles entendent exporter vers l’extérieur du Québec bénéficieraient d’une «protection adéquate» dans cette autre juridiction (une obligation pas mal plus permissive que la version originale du projet de loi qui aurait exigé qu’on vérifie le «niveau de protection équivalent» à la loi québécoise);
  3. Ajouter une obligation d’informer les individus dont on recueille les renseignements personnels, non-seulement de la catégorie générale de tiers, mais aussi du nom spécifique des tiers auxquels ces renseignements pourront être communiqués;
  4. Permettre de déléguer à des tiers le rôle de ce qu’on désigne le «responsable de la protection des renseignements personnels» (par exemple, un fournisseur ou un spécialiste auquel on impartirait cette fonction), plutôt que d’insister que ce soit un dirigeant ou un employé de l’organisation même;
  5. Obliger les entreprises utilisant de l’information qui a été «dépersonnalisée» à déployer des moyens raisonnables afin de limiter les risques de réidentification des individus visés en réalité;
  6. Permettre l’utilisation de renseignements personnels même en l’absence de consentement, notamment quand cela s’avère nécessaire dans le contexte d’une prestation de services ou aux fins de fournir un bien;
  7. Permettre aussi d’utiliser des renseignements dans le cadre d’«opérations commerciales» de toutes sortes, pouvant dépasser les simples transaction commerciale de type M&A, incluant les financements (en pratique, cela se fait déjà souvent);
  8. Ajouter la possibilité pour les organisations délinquantes de régler le dossier, en s’engageant à remédier ou atténuer les conséquences de ses violations, etc.;
  9. Modification du montant des amendes (les «sanctions administratives pécuniaires») qui pourraient résulter de l’application de la nouvelle loi pour les individus ou les organisation délinquant(e)s. Par contre, le maximum de 25M$ (ou 4% du chiffre d’affaires), lui, demeure inchangé;
  10. Limiter ce que les entreprises doivent remettre aux individus qui en font la demande de voir «leurs» renseignements, en en excluant les renseignements indirectement créés ou déduits des renseignements qu’avait fourni à l’origine l’individu visé.

Le projet de loi est désormais libre de continuer sa progression (examen du rapport, adoption, etc.) devant éventuellement culminer dans l’adoption formelle par l’Assemblée nationale et son entrée en vigueur. Selon toute vraisemblance, cela devrait survenir d’ici la fin de l’année 2021.

Le Canada décriminalise les paris sportifs sur un seul événement ou match

Le gouvernement canadien annonçait récemment que le projet de loi C-218 (modifiant des dispositions du Code criminel) entrera en vigueur le 27 août prochain. Cet amendement de l’art. 207(4)(b) permettra dorénavant (potentiellement) les paris sur des événements sportifs individuels (une course, un combat, une compétition sportive, etc.) de façon qui n’enfreigne pas automatiquement le Code criminel, au Canada.

Common chacun le sait, le Code criminel canadien interdit jusqu’à maintenant les paris sur des événements sportifs spécifiques, contrairement à ce qui se fait aux États-Unis, par exemple. Bien que les provinces pouvaient déjà permettre la prise de paris sur plusieurs événements en même temps, personne ne pouvait jusqu’à maintenant parier sur UN seul événement ou match, même en se conformant à la législation de sa province. C’est ce qui changera, dont pour tenter d’endiguer un peu le déséquilibre existant entre les paris placés légalement au Canada chaque année (4 milliards de dollars), à comparé du montant des paris illégaux (10 milliards de dollars).

Cela dit, il est important de noter que tout ce qu’on fait ici c’est de décriminaliser, selon certaines conditions. On ouvre pas la porte toute grande. Au contraire, on permettra ce genre de paris, sujet au respect d’un cadre réglementaire, dont les détails seront laissés à la discrétion des provinces, compétences constitutionnelles oblige. Ce faisant, les Canadiens pourront parier ainsi si et quand leur province autorise et choisit d’encadrer ce genre de pratique.

Pour une raison ou une autre les paris sur les courses de chevaux, eux, sont exclus de ce qui serait dorénavant permis. Il faut croire que de bénéficier des efforts d’un athlète humain c’est ok mais pas si on fait travailler un cheval. Eh ben. J’ignore pour l’instant ce qu’entend faire le Québec à ce sujet. À suivre donc.