Nouvel espace évolutif visant à permettre à tous de mieux comprendre la nouvelle loi québécoise en matière de renseignements personnels

Le chien de garde du Québec en matière de protection des renseignements personnels, la Commission d’accès à l’information du Québec (la «CAI») lançait il y a quelques jours un portail visant à disséminer plus d’information quant aux suites du Projet de loi 64.

Comme on s’en souviendra, le Québec adoptait sa Loi modernisant des dispositions législatives en matière de protection des renseignements personnels plus tôt cet automne, laquelle représente une brisure substantielle avec la loi désuète de 1994, avec laquelle nous nous débrouillons de façon de moins en moins élégante depuis lors.

L’outil nommé «Espace évolutif – Projet de loi 64» vise en effet à démystifier la nouvelle mouture de la loi québécoise en matière de renseignements personnels. Pour ce faire, l’espace se décline en deux sections, à savoir une première section d’aperçu général de la nouvelle loi et une seconde visant à expliquer individuellement ses dispositions spécifiques, telles que regroupées par une trentaine de thèmes tels la biométrie, l’anonymisation des données, le droit à la désindexation, etc. La CAI affirme d’ailleurs qu’elle supplémentera graduellement le contenu de son espace en y ajoutant divers outils d’accompagnement et de sensibilisation.

Rappelons que la nouvelle mouture de la loi entrera progressivement en vigueur au cours des prochaines années, débutant le 22 septembre 2022 et s’échelonnant ensuite sur 2023 et 2024, avant d’être pleinement en vigueur. En attendant, il s’agit ici d’une bonne initiative afin de faciliter la compréhension du nouvel encadrement de la question au Québec, particulièrement pour les entreprises elles-mêmes, dont plusieurs peine à réaliser l’ampleur de ce qui est à se passer, au Québec, côté renseignements personnels. Cela ne peut pas faire de tord!

Le Québec adopte sa nouvelle loi quant à la protection des données personnelles

Eh bien, notre législateur provincial n’a effectivement pas tardé à adopté sa version révisée du Projet de loi 64, alors que la nouvelle loi en résultant était finalement adoptée la semaine dernière. La loi refondue visant à protéger les renseignements personnels au Québec est ainsi publiée en version finale. C’est donc maintenant fait, le Québec s’est mis à la page pour ce qui est de ses propres règles (dont sa Loi sur la protection des renseignements personnels dans le secteur privé) visant à renforcer la protection des données que manipulent les entreprises à l’intérieur de la province.

Comme le mentionnaient récemment les médias, le Législateur espère ainsi débarrasser le Québec de sa «culture de négligence» désinvolte par rapport aux pratiques d’entreprise en matière de renseignements personnels. Avec une loi datant de la préhistoire des données, le Québec faisait jusqu’ici figure de parent pauvre de la protection des données, la plupart des entreprises préférant ne pas entendre parler de ce sujet, fort de l’impression (réelle!) que la loi québécoise n’avait que très peu de chances de mener à de véritables sanctions, même si on finissait par se faire prendre les doigts dans le piège à souris.

La nouvelle loi comporte des dispositions modernisées inspirées du règlement européen (le fameux  Règlement général sur la protection des données, ou «RGPD»), assorties de réelles sanctions pour les entreprises jugées délinquantes. Avec des amendes éventuelles pouvait s’élevées à des millions de dollars, on croit que la loi québécoise a ce dont elle a besoin pour FINALEMENT attirer l’attention des dirigeants d’entreprises, incluant ceux de simples PME, jugeant souvent jusqu’ici ne pas réellement avoir à se préoccuper de ce genre de choses.

Eh oui, bien qu’on le sache depuis longtemps (en principe), toute organisation qui collecte, utilise, partage ou communique des données à caractère personnel de tiers DOIT se conformer aux règles en matière de protection des renseignements visés. La négligence (ou l’aveuglement volontaire) quant à ces règles pourra désormais coûter cher aux organisations délinquantes, bien que la Commission d’accès à l’information (la «CAI»), affirme qu’elle « prendra en compte la capacité de payer des entreprises » en faisant appliquer cette loi.

La loi vient notamment aussi réaffirmer clairement qu’un consentement explicite, libre et éclairé s’avère nécessaire AVANT toute utilisation de données personnelles, à l’instar de ce qui se fait par exemple en Europe.

Malgré son adoption formelle par le Québec, la majorité des dispositions de la nouvelle loi n’entreront réellement en vigueur (dont ses amendes éventuelles) que dans deux (2) ans, le 22 septembre 2023.

Par contre, un petit nombre de dispositions entreront, elles, en vigueur dès septembre 2022, dont les celles qui prévoient l’obligation pour les entreprises d’aviser les victimes (et la CAI) des incidents tels de piratage informatique et qui auraient exposés leurs données à des fuites. En vertu de la nouvelle loi, en effet, toutes les organisations ont l’obligation de déployer des mesures de sécurité appropriés afin de protéger le genre de renseignements personnels qu’elles détiennent quant à autrui.

D’ici là, la CAI et nos entreprises ont pas mal de devoirs à faire pour se préparer à cette nouvelle réalité.

Modification du projet de loi 64 qui continu sa progression vers son adoption éventuelle

Le projet de loi 64 continu de faire son chemin dans le processus législatif québécois, alors qu’on publiait plus tôt ce mois-ci le rapport d’étude de la  commission parlementaire et sur lequel elle planchait depuis des mois. Cette étape complétée, le projet de loi se rapproche encore davantage d’une modification de la loi québécoise en matière de protection des renseignements personnels (la Loi sur la protection des renseignements personnels dans le secteur privé).

La commission propose une série d’aménagements au projet de loi 64, visant entre autres à répondre à certains commentaires découlant des consultations publiques. Ces modifications comprennent notamment les suivantes :

  1. Créer certains nouveaux droits pour les individus;
  2. Obliger les entreprises à vérifier et confirmer que les renseignements personnels qu’elles entendent exporter vers l’extérieur du Québec bénéficieraient d’une «protection adéquate» dans cette autre juridiction (une obligation pas mal plus permissive que la version originale du projet de loi qui aurait exigé qu’on vérifie le «niveau de protection équivalent» à la loi québécoise);
  3. Ajouter une obligation d’informer les individus dont on recueille les renseignements personnels, non-seulement de la catégorie générale de tiers, mais aussi du nom spécifique des tiers auxquels ces renseignements pourront être communiqués;
  4. Permettre de déléguer à des tiers le rôle de ce qu’on désigne le «responsable de la protection des renseignements personnels» (par exemple, un fournisseur ou un spécialiste auquel on impartirait cette fonction), plutôt que d’insister que ce soit un dirigeant ou un employé de l’organisation même;
  5. Obliger les entreprises utilisant de l’information qui a été «dépersonnalisée» à déployer des moyens raisonnables afin de limiter les risques de réidentification des individus visés en réalité;
  6. Permettre l’utilisation de renseignements personnels même en l’absence de consentement, notamment quand cela s’avère nécessaire dans le contexte d’une prestation de services ou aux fins de fournir un bien;
  7. Permettre aussi d’utiliser des renseignements dans le cadre d’«opérations commerciales» de toutes sortes, pouvant dépasser les simples transaction commerciale de type M&A, incluant les financements (en pratique, cela se fait déjà souvent);
  8. Ajouter la possibilité pour les organisations délinquantes de régler le dossier, en s’engageant à remédier ou atténuer les conséquences de ses violations, etc.;
  9. Modification du montant des amendes (les «sanctions administratives pécuniaires») qui pourraient résulter de l’application de la nouvelle loi pour les individus ou les organisation délinquant(e)s. Par contre, le maximum de 25M$ (ou 4% du chiffre d’affaires), lui, demeure inchangé;
  10. Limiter ce que les entreprises doivent remettre aux individus qui en font la demande de voir «leurs» renseignements, en en excluant les renseignements indirectement créés ou déduits des renseignements qu’avait fourni à l’origine l’individu visé.

Le projet de loi est désormais libre de continuer sa progression (examen du rapport, adoption, etc.) devant éventuellement culminer dans l’adoption formelle par l’Assemblée nationale et son entrée en vigueur. Selon toute vraisemblance, cela devrait survenir d’ici la fin de l’année 2021.