Projet de loi 64 : conséquences sur vos droits et obligations en matière de protection des données personnelles

Les évènements récents en matière de fuite de données personnelles et de cybercriminalité nous le rappellent, la technologie digitale permettant de collecter et de traiter des quantités quasi-illimitées de données donnent à celles-ci une valeur économique intrinsèque et permet leur utilisation à des fins qui se sont avérées questionnables. L’Europe a été la première à réagir par l’adoption en 2018 du Règlement Général sur la Protection des Données (ci-après « RGPD »).  Le projet de loi 64 (ci-après « Projet de loi ») s’inscrit dans la même foulée. En modifiant plusieurs lois québécoises dont Loi sur la protection des renseignements personnels dans le secteur privé, il a pour effet une mise à niveau des droits et obligations en matière de données personnelles. On ne peut en faire ici qu’un portrait partiel. De manière générale toutefois, les entreprises seront maintenant responsables de la protection des renseignements personnels qu’elles détiennent alors que les utilisateurs bénéficieront de recours additionnels.

Collecte et utilisation des données personnelles par les entreprises

Une donnée personnelle inclut tout renseignement qui concerne une personne et permet de l’identifier. Pour en recueillir, rappelons que vous devez avoir un intérêt sérieux et légitime de le faire tel que le traitement d’une commande ou la création d’un compte d’usager. Le projet de loi ajoute que vous devrez désormais déterminer l’objectif visé par la collecte avant de recueillir ces informations. Lors de la collecte, certaines informations doivent être communiquées à la personne concernée. La teneur de ces informations est modifiée par le Projet de loi pour y inclure notamment :  les fins pour lesquelles vous recueillez ces renseignements personnels, les moyens utilisés pour ce faire, les droits et recours de la personne. Si des outils de géolocalisation et de profilage (eg. Cookies) sont utilisés, des mentions additionnelles doivent être ajoutées. Le Projet de loi introduit d’ailleurs l’obligation spécifique de disposer et de publier sur votre site internet une politique de confidentialité des renseignements personnels où ces informations seront contenues. Vous devrez également disposer à l’interne d’un responsable de la protection des données personnelles. À défaut de désignation expresse, le plus haut dirigeant qui sera présumé en charge.  

Le Projet de loi exige de plus des entreprises exploitant un système d’information ou offrant une prestation électronique de services impliquant des renseignements personnels qu’elles effectuent une évaluation des facteurs relatifs à la vie privée. Cela nécessite entre autres de procéder à une analyse de risques et de déterminer les mesures appropriées pour les encadrer. Les systèmes informatiques devront également assurer le plus possible la confidentialité des données dès leur conception (privacy by design).

Une fois que les fins pour lesquels vous avez recueilli des renseignements personnels sont accomplies et à moins d’être tenu par une loi de les conserver, vous devrez vous assurer de les détruire ou de les rendre anonyme. Il s’agit-là d’une nouvelle exigence que sera introduite par le Projet de loi. Ainsi, si vous désirez utiliser ces renseignements pour d’autres fins, vous devrez obtenir dans la plupart des cas le consentement de l’individu vous partageant ses données personnelles.

Droits et recours des personnes concernées

Les individus dont vous recueillez les renseignements personnels se voient conférés par le Projet de loi un contrôle additionnel sur ces derniers. En plus de pouvoir retirer leur consentement à leur détention et utilisation, il leur sera notamment possible d’obtenir sur demande : la liste des informations détenues sur eux, les catégories de personnes au sein de votre entreprise y ayant accès, la durée de leur conservation, les coordonnées du responsable de la protection des renseignements personnels. Vous devrez toutefois leur permettre de faire supprimer les données que vous détenez sur elles et de s’objecter à leur traitement automatisé.  

En cas d’incident de confidentialité

En cas de fuite, perte ou utilisation non-autorisée de données personnelles pouvant créer un préjudice, vous devrez aviser les personnes concernées ainsi que la Commission d’accès à l’information (ci-après « CAI »). Certaines exceptions sont prévues, notamment si la divulgation est susceptible d’entraver une enquête.

De manière générale, les entreprises seront tenues d’adopter les mesures nécessaires afin de diminuer les préjudices possibles pour toute personne dont un renseignement personnel sera concerné par un incident et éviter une récidive de même nature. Un registre de tous les incidents de confidentialité devra également être conservé.

Amendes

Bien qu’un système d’avis et d’octroi de délai pour corriger un manquement soit mis en place par le Projet de loi, il prévoit d’accorder à la CAI le pouvoir d’imposer elle-même des sanctions administratives pécuniaires si l’entreprise omet de remédier à la situation problématique. Celles-ci peuvent aller, pour les entreprises, jusqu’à un montant maximal de 10 000 000 $ ou 2 % de son chiffre d’affaires, selon le montant le plus élevé et pour les dirigeants présumés en charge faute d’avoir n’ayant pas nommé de responsable de la protection des données personnelles, à un montant allant jusqu’à 50 000 $.

La CAI peut d’autant plus intenter des poursuites pénales contre l’entreprise refusant de se conformer aux nouvelles exigences. Des sanctions pénales substantiellement plus élevées que celles actuellement en vigueur pourront être imposées par le tribunal. Lorsqu’une entreprise est concernée, elles pourront aller pour les cas les plus graves jusqu’à 25 millions de dollars ou 4 % de son chiffre d'affaires, selon le montant le plus élevé. Le plafond actuel est de 50 000 dollars pour une première infraction.  

Les moyens mis en place par l’entreprise pour se conformer à ses obligations ainsi que sa diligence à corriger les manquements lui ayant été signifiés seront notamment pris en compte pour déterminer le montant des amendes.  À noter que le Projet de loi prévoit aussi expressément la possibilité de recours en dommages-intérêts des personnes concernées contre les entreprises.

Quoi faire à titre d’entreprise?

Les démarches à entreprendre dépendent d’une multitude de facteurs tels que l’industrie dans laquelle vous œuvrez, le type et la quantité de données recueillies, ainsi que le traitement qui en est fait au sein de votre entreprise. La première étape est donc de procéder à un recensement de ces éléments. Cela vous permettra d’évaluer vos pratiques ainsi que les risques y étant associées, déterminer les mesures à mettre en œuvre ainsi que de rédiger une politique de confidentialité des renseignements personnels qui soient appropriées à votre modèle d’affaires.   Notre équipe en Technologie, propriété intellectuelle et communications est disponible pour vous fournir des indications pratiques à cet égard. En effet, autant en vertu du Projet de loi qui sera bientôt applicable, de la législation fédérale en train d’être révisée dans le même sens, que du RGPD qui s’applique déjà à certaines entreprises canadiennes, la protection des renseignements personnels est dorénavant un volet incontournable des activités commerciales.

** Cet article a été rédigé en collaboration avec Émilie Barreca, stagiaire en communications et marketing.**

Sources :

Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, projet de loi n^o 64 (Présentation - 12 juin 2020), 1^re session, 42^e légis. (Qc)

Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1

CABINET DE LA MINISTRE DE LA JUSTICE ET PROCUREURE GÉNÉRALE DU QUÉBEC, « Projet de loi 64 - Le gouvernement du Québec redonne aux citoyens le plein contrôle de leurs renseignements personnels », Service Québec : Fil d’actualité, 2020, en ligne : <http://www.fil-information.gouv.qc.ca/Pages/Article.aspx?idArticle=2806129729>