une main qui tient une guitare

Perspectives

15 juin 2020

Amendements proposés à la loi québécoise sur la protection des renseignements personnels : Conséquences sur les entreprises

Le 12 juin 2020, la veille de l'ajournement des travaux de l’Assemblée nationale du Québec jusqu’au mois de septembre, le Gouvernement du Québec a présenté le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Ce projet de loi introduirait des changements importants au droit de la protection des renseignements personnels dans le secteur privé et public au Québec. Cet article se concentre sur les amendements proposés à la Loi sur la protection des renseignements personnels dans le secteur privé.

Cet article résume les principales conséquences du projet de loi 64 pour les entreprises.

Ce que vous devez savoir

Les changements importants au régime actuel incluent ce qui suit:

  • Nouveaux mécanismes de mise en œuvre :
    • La Commission d’accès à l’information (CAI) aurait le pouvoir d’imposer des sanctions pécuniaires administratives allant jusqu’à 10 000 000 $ ou le montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé.
    • Des amendes plus importantes en cas de procédures pénales, soit un maximum de 25 000 000 $ ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé.
    • La possibilité pour les individus de poursuivre une entreprise en dommages.
  • Une nouvelle obligation d’informer la CAI et les personnes concernées lors d’un incident de confidentialité.
  • De nouvelles exigences en matière d’impartition et de transferts hors Québec, incluant un système d’équivalence qui semble influencé par le droit européen.
  • De nouveaux droits pour les individus inspirés du droit européen : droit à la portabilité des données, droit à l’oubli et droit de s’objecter au traitement automatisé des renseignements personnels.
  • Des nouvelles mesures visant la responsabilité des entreprises dans la protection des renseignements personnels, notamment :
    • La création d’un nouveau rôle de « responsable de la protection des renseignements personnels » qui incomberait par défaut au président de l’entreprise.
    • L’obligation d’établir, de mettre en œuvre et de publier des politiques et pratiques.
    • L’obligation d’effectuer des évaluations des facteurs relatifs à la vie privée.
    • L’obligation de suivre une approche de « protection de la vie privée dès la conception ».
  • Des exigences de consentement renforcées (notamment, une obligation explicite d’obtenir un consentement exprès dans certaines situations).
  • De nouvelles exigences de transparence, notamment lors de l’utilisation d’une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer un profilage d’une personne.
  • Certains allégements des règles actuelles :           
    • De nouvelles exceptions à l’exigence du consentement pour la recherche et pour les transactions commerciales.
    • L’exclusion des contacts d’affaires de la définition de « renseignements personnels ».

Introduction

La Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le secteur privé) du Québec, adoptée en 1993, a été la première loi pour le secteur privé au Canada. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) fédérale, ainsi que la Personal Information Protection Act d’Alberta (PIPA de l'Alberta) et la Personal Information Protection Act de la Colombie-Britannique (PIPA de la C.-B.) ont suivi environ 10 ans plus tard. Avec le projet de loi 64, le Québec pourrait devenir la première juridiction canadienne à suivre la tendance initiée par le Règlement général sur la protection des données (RGPD) de l’Union européenne et, plus récemment, par la California Consumer Privacy Act of 2018 (CCPA).

Nouveaux mécanismes de mise en œuvre

Le projet de loi 64 ferait de la CAI le premier organisme canadien de réglementation de la protection de la vie privée ayant le pouvoir d’imposer directement des sanctions administratives pécuniaires (SAP) aux organisations pour violation de la vie privée. Il renforcerait également le régime pénal actuel et accorderait aux personnes concernées la possibilité de poursuivre en dommages-intérêts les entreprises qui contreviennent à la loi.

Sanctions administratives pécuniaires

Les SAP s’appliqueraient à plusieurs catégories d’infractions (article 90.1), soit : non-respect des exigences de transparence; collecte, communication, utilisation ou destruction de renseignements personnels en contravention de la loi; défaut de respecter les nouvelles exigences de signaler les incidents de confidentialité; et non-respect de la disposition relative aux décisions automatisées. La CAI serait habilitée à imposer des pénalités d’un montant maximum de 10 000 000 $ ou, si ce montant est supérieur, le montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent (art. 90.12). Le projet de loi exigerait que la CAI élabore et rende public un cadre général pour l’application des SAP, en précisant les différents éléments énumérés dans le projet de loi (art. 90.2). Le projet de loi prévoit une procédure d’avis avant l’imposition d’une SAP (art. 90.3 et 90.4), un processus de réexamen interne (art. 90.6, 90.7 et 90.8) et un droit de contester la décision de réexamen devant la Cour du Québec (art. 90.9).

Régime pénal

La Loi sur le secteur privé comprend actuellement un régime permettant au procureur général de la province d’intenter des procédures pénales devant les tribunaux pour violation de la loi. Les tribunaux peuvent imposer des amendes prévues à la loi. Toutefois, ces dispositions n’ont jamais été utilisées. Le projet de loi 64 habiliterait la CAI à engager des poursuites pénales. Ce projet augmenterait également de manière substantielle les amendes potentielles, qui sont présentement d’un maximum de 10 000 $ pour une première infraction et de 20 000 $ pour une seconde. Le projet de loi 64 augmenterait l’amende maximale à 25 000 000 $ ou, si ce montant est plus élevé, le montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent (art. 91). En cas de récidive, les amendes seraient doublées (art. 92.1). Le régime pénal s’applique à plus d’infractions que les SAP, notamment : entraver l’enquête de la CAI ou procéder ou tender de procéder à l’identification d’une personne physique à partir de renseignements dépersonnalisés sans l’autorisation de la personne les détenant ou à partir de renseignements anonymisés (art. 91).

Poursuites en dommages

Il est présentement possible d’intenter des actions en justice devant les tribunaux du Québec en se fondant sur les dispositions du Code civil du Québec relatives à la protection de la vie privée. Le projet de loi 64 permettrait d’obtenir d’une entreprise la réparation d’un préjudice résultant d’une atteinte illicite à un droit conféré par la Loi sur le secteur privé ou les dispositions relatives à la vie privée du Code civil du Québec, à moins que le préjudice résulte de la force majeure (art. 93.1). Cette disposition pourrait faire du Québec une juridiction encore plus favorable aux actions collectives en matière de protection de la vie privée. La loi prévoit également l’octroi de dommages-intérêts punitifs d’au moins 1 000 $ lorsque l’atteinte est intentionnelle ou résulte d’une faute lourde.

Responsabilité

Contrairement à la LPRPDE, la Loi sur le secteur privé n’inclut pas un principe explicite de responsabilité (accountability) en matière de protection des renseignements personnels. Cela changerait puisque le projet de loi 64 introduit un nouveau rôle de « responsable de la protection des renseignements personnels » (responsable PRP), une obligation de mettre en œuvre et de publier des politiques et des pratiques relatives à la protection des renseignements personnels, une obligation de réaliser des évaluations des facteurs relatifs à la vie privée et des exigences de respect de la vie privée dès la conception.

Nouveau rôle de responsable de la protection des renseignements personnels incombant au président

La Loi sur le secteur privé n’exige pas explicitement que les organisations désignent un responsable personnel chargé de veiller à ce que l’organisation se conforme à la loi, contrairement à la LPRPDE. Le projet de loi 64 créerait un nouveau rôle de responsable PRP, qui serait similaire au rôle de délégué à la protection des données (DPD) sous le RGPD. Par défaut, le responsable PRP de chaque entreprise serait la personne ayant la plus haute autorité au sein de l’entreprise. Il aurait la responsabilité de veiller à ce que l’entreprise mette en œuvre et respecte la loi (art. 3.1). Il pourrait déléguer cette fonction par écrit à un membre du personnel, en tout ou en partie. Les coordonnées du responsable PRP devraient être publiées sur le site web de l’entreprise (ou par une autre méthode appropriée si l’entreprise n’a pas de site web).

Politiques et pratiques

Le projet de loi 64 introduit une autre exigence importante liée à la responsabilité des entreprises : elles devront établir et mettre en œuvre des politiques et des pratiques encadrant sa gouvernance en matière de protection des renseignements personnels. Ces politiques doivent prévoir « l’encadrement applicable à la conservation et à la destruction de ces renseignements, prévoir les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements et un processus de traitement des plaintes relatives à la protection de ceux-ci » (art. 3.2). Il est important de noter que les entreprises doivent publier ces politiques et pratiques sur leur site web. Nous nous attendons à ce que des éclaircissements soient demandés par rapport à cette disposition, qui semble exiger la publication de politiques internes. Contrairement aux politiques ou avis de confidentialité que les organisations publient généralement sur leur site web en vertu de l’exigence de transparence (qui est abordée à l’article 8 du projet de loi), les entreprises ne publient généralement pas leurs politiques et pratiques internes en matière de protection de la vie privée.

Évaluation des facteurs relatifs à la vie privée obligatoire

Le projet de loi 64 exige que les entreprises procèdent à une évaluation des facteurs relatifs à la vie privée (EFVP) pour tout « projet de système d’information » ou « projet de prestation électronique de services » impliquant le traitement de renseignements personnels (art. 3.3). Une EFVP est un processus qui permet à une organisation d’examiner une initiative, un programme ou un projet impliquant la collecte, l’utilisation ou la communication de renseignements personnels afin d’identifier les exigences légales applicables, d’évaluer les risques potentiels et d’atténuer ces risques à un niveau acceptable grâce à une combinaison de mesures.

Bien que la Loi sur le secteur privé ne fasse pas actuellement référence au concept d’EFVP, cette mesure est considérée comme une pratique exemplaire en vertu des lois canadiennes sur la protection de la vie privée dans le secteur privé (elle est souvent obligatoire dans le secteur public). Le projet de loi 64 augmenterait considérablement le nombre de cas où une entreprise devrait réaliser une EFVP. Cette obligation viserait probablement la plupart des activités de commerce électronique et l’utilisation de systèmes de traitement des données.

Protection de la vie privée dès la conception

Le projet de loi 64 obligerait les entreprises qui recueillent des renseignements personnels par le biais de biens ou de services technologiques à suivre une approche de « protection de la vie privée dès la conception ». En particulier, les organisations devraient s’assurer que les paramètres de leurs produits ou services technologiques offrent « le plus haut niveau de confidentialité par défaut, sans aucune intervention de la personne concernée » (art. 9.1).

L’approche « protection de la vie privée dès la conception » vise à assurer le respect du droit à la vie privée des personnes à chaque étape du processus de développement d’une initiative, et rend toutes les parties prenantes responsables de veiller à ce qu’un produit ou un service particulier protège la vie privée. Cette approche se retrouve expressément à l’article 25 du RGPD, et a été approuvée dans un récent Rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique concernant l’examen de la LPRPDE. Cependant, contrairement au RGPD, qui tient expressément compte des circonstances entourant une initiative particulière, y compris les coûts liés à la mise en œuvre et le degré de risque pour les personnes concernées, l’article 9.1 qui est proposé ne fournit aucun qualificatif permettant de déterminer ce qui sera considéré comme étant « le plus haut niveau de confidentialité » dans un contexte donné. Des amendements ou des directives ultérieures pourraient clarifier la portée de cette disposition d’une manière qui tienne compte des considérations commerciales raisonnables.

Exigence de signaler les « incidents de confidentialité »

Avec la Colombie-Britannique, le Québec est la seule juridiction en Amérique du Nord qui n’impose pas le signalement des incidents de confidentialité impliquant des renseignements personnels. Cela changerait avec le projet de loi 64, qui introduit des exigences similaires à celles prévues par la LPRPDE et PIPA de l’Alberta (art. 3.5). L’obligation de signaler à la CAI et aux personnes concernées serait déclenchée lorsqu’un « incident de confidentialité » présente qu’un « risque qu’un préjudice sérieux » soit causé. L’évaluation du « risque de préjudice sérieux » tient compte de facteurs similaires à l’évaluation du « risque réel de préjudice grave » en vertu de la LPRPDE, à savoir : la sensibilité des renseignements concernés, les conséquences appréhendées de son utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables (art. 3.7). À l’instar de la LPRPDE, les entreprises devront tenir un registre des violations qu’elles devront fournir à la CAI sur demande (art. 3.8).

L’obligation de signalement couvre les incidents impliquant l’utilisation non autorisée de renseignements personnels, alors que l’approche générale au Canada et ailleurs (y compris en vertu du RGPD et des lois des États américains) d’exiger un signalement lors d’un accès non autorisé aux renseignements personnels, leur divulgation ou leur perte. Il sera important de suivre l’évolution du projet de loi, car dans sa version actuelle, les entreprises qui exercent leurs activités au Québec pourraient devoir se conformer à des exigences accrues en matière de signalement.

Consentement et transparence

En principe, la Loi sur le secteur privé exige l’obtention d’un consentement manifeste, libre et éclairé, qui doit être donné à des fins spécifiques pour être en mesure de collecter, utiliser ou communiquer des renseignements personnels. Le projet de loi 64 fournit plus de détails sur le type d’informations qui doivent être mises à la disposition des personnes lors de la collecte de leurs renseignements, une plus grande souplesse concernant le consentement et les utilisations secondaires, de nouvelles restrictions concernant les enfants de moins de 14 ans, ainsi que de nouvelles exceptions au consentement couvrant les coordonnées des entreprises et le partage des renseignements personnels dans le cadre de transactions commerciales.

Transparence et politique de confidentialité

Le projet de loi 64 introduit un nouvel article en vertu duquel certaines informations spécifiques doivent être rendues disponibles lors de la collecte de renseignements personnels (art. 8). Cela comprend les fins auxquelles ces renseignements sont recueillis, les moyens de collecte, les droits d’accès et de rectification, et le droit de la personne de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis. Le cas échéant, la personne doit être informée du nom du tiers pour lequel les renseignements sont recueillis et de la possibilité que ces renseignements soient communiqués à l’extérieur du Québec. Sur demande, la personne concernée doit également être informée des renseignements personnels recueillis, des catégories de personnes qui ont accès à ces renseignements au sein de l’entreprise, de la durée de conservation des renseignements et des coordonnées du responsable PRP. Ces informations doivent être fournies à la personne concernée dans un langage clair et simple, quel que soit le moyen utilisé pour recueillir les renseignements personnels.

Consentement renforcé

Actuellement, la Loi sur le secteur privé ne fait pas expressément référence aux concepts de consentement explicite et implicite (le consentement doit être « manifeste, libre et éclairé, et doit être donné à des fins spécifiques »), alors que d’autres lois canadiennes, notamment la LPRPDE, la PIPA de la C.-B. et la PIPA de l’Alberta, autorisent le consentement implicite dans certaines circonstances. Le projet de loi 64 prévoit que les renseignements personnels ne peuvent être utilisés, sauf aux fins pour lesquelles ils ont été recueillis ou communiqués à un tiers, à moins que la personne concernée ne donne son consentement ou que la loi ne prévoie la communication (art. 12 et 13). Ce consentement doit être manifesté de façon expresse lorsqu’il s’agit de renseignements personnels sensibles (art. 12 et 13), ce qui implique qu’une autre forme de consentement peut être acceptable dans certaines situations impliquant des renseignements non sensibles. Les renseignements personnels sont considérés comme sensibles si, en raison de leur nature ou du contexte de leur utilisation ou de leur communication, ils impliquent un niveau élevé d’attente raisonnable en matière de vie privée. En tout état de cause, le consentement doit être manifeste, libre et éclairé et être donné à des fins spécifiques, et il doit être demandé pour chacune de ces fins, en termes simples et clairs et distinctement de toute autre information communiquée à la personne concernée (art. 14). Nous nous attendons à ce que des éclaircissements soient demandés au sujet de cette disposition, puisqu’il n’est pas clair si « distinctement de toute autre information communiquée à la personne concernée » signifie en dehors du champ d’application d’une politique de protection de la vie privée.

Utilisations secondaires et analyse de données

Une certaine souplesse a été introduite pour les utilisations secondaires des renseignements personnels. Le projet de loi 64 prévoit que les renseignements personnels peuvent être utilisés à d’autres fins sans le consentement de la personne concernée s’ils sont utilisés à des fins compatibles avec celles pour lesquelles ils ont été recueillis (c’est-à-dire qu’ils doivent avoir un lien direct et pertinent avec ces fins qui doivent être autres que la prospection commerciale ou philanthropique), ou manifestement utilisés au bénéfice de la personne concernée. En outre, une certaine souplesse est introduite pour la recherche et l’analyse commerciale, comme discuté dans la section « Exception au consentement pour les renseignements dépersonnalisés ».

Traitement des renseignements personnels à propos des enfants

Le projet de loi 64 introduit un nouvel article en vertu duquel les renseignements personnels concernant un mineur de moins de 14 ans ne peuvent être recueillis sans le consentement de la personne détenant l’autorité parentale, à moins que cette collecte ne soit manifestement au bénéfice du mineur (art. 4.1). Le consentement d’un mineur de moins de 14 ans doit être donné par le titulaire de l’autorité parentale et le consentement d’un mineur de 14 ans ou plus peut être donné soit par le mineur, soit par le titulaire de l’autorité parentale (art. 14).

Exception pour les transactions commerciales

Lors de l’achat ou de la vente d’une entreprise ou de l’acquisition ou de la cession d’actifs, il peut s’avérer fastidieux, voire impossible, en pratique, d’obtenir le consentement de tous les clients, employés et autres parties concernées par la transaction pour la divulgation de renseignements personnels, que ce soit au stade de la vérification diligente ou au moment de la clôture de la transaction. Pour répondre à ce problème, la LPRPDE, la PIPA de la C.-B.et la PIPA de l’Alberta prévoient des exceptions au consentement qui sont spécifiques aux transactions commerciales. Le projet de loi 64 introduit désormais également une telle exception pour les transactions commerciales, exception qui est semblable à ces autres lois. En vertu de cette nouvelle exception, seuls les renseignements personnels nécessaires à la conclusion de la transaction commerciale peuvent être communiqués à l’autre partie sans le consentement de la personne concernée et ces parties à la transaction doivent se conformer à certaines exigences :

  • conclure une entente qui contient certaines clauses spécifiques incluant certaines limitations et engagements quant à la sécurité des renseignements;
  • lors de la conclusion de la transaction commerciale, l’acquéreur ne peut utiliser ou communiquer les renseignements personnels qu’en conformité avec la Loi sur le secteur privé;
  • dans un délai raisonnable après la conclusion de la transaction commerciale, les personnes concernées doivent être informées de la transaction (art. 18.4).

Exclusion des coordonnées d’affaires

Le projet de loi 64 modifie la Loi sur le secteur privé en incluant une exclusion complète pour les coordonnées d’affaires, définies comme « les renseignements personnels concernant l’exercice par la personne concernée d’une fonction au sein d’une entreprise, tel que son nom, son titre et sa fonction, de même que l’adresse, l’adresse de courrier électronique et le numéro de téléphone de son lieu de travail » (art. 1). Cette exclusion est similaire à celle de la PIPA de la C.-B., mais va au-delà de l’exclusion des coordonnées d’affaires prévue par la LPRPDE et la PIPA de l’Alberta, qui se limitent à une situation où les fins de la collecte de ces informations sont limitées à permettre de contacter la personne concernée en relation avec les responsabilités professionnelles de celle-ci.

Pas d’exception au consentement de l’employé

Le projet de loi 64 ne prévoit pas d’exception au consentement de l’employé. Ceci est problématique, car le modèle de consentement semble mal adapté aux relations employeur/employé. En effet, il est difficile de considérer le consentement d’un employé dans ses relations avec son employeur comme étant « libre », puisqu’un employé pourrait bien croire, à tort ou à raison, que son emploi serait compromis par un refus de consentement. En outre, si un employé refuse que son employeur collecte, utilise ou communique des renseignements personnels le concernant à des fins professionnelles normales, cela pourrait simplement empêcher l’employeur de poursuivre ses activités et de remplir ses obligations légales. En vertu de la LPRPDE, de la PIPA de la C.-B. et de la PIPA de l'Alberta, les employeurs peuvent recueillir, utiliser et communiquer les renseignements personnels nécessaires à l’établissement, à la gestion ou à la cessation d’une relation d’emploi sans le consentement de leurs employés, bien qu’ils aient l’obligation d’informer les employés de leurs pratiques. Il est à espérer qu’une exception similaire sera introduite et considérée par le législateur au cours des prochaines étapes.

Obligation d’informer une personne de l’utilisation d’une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage de celle-ci

Le projet de loi 64 prévoit qu’avant de recueillir des renseignements personnels au moyen d’une technologie qui permet d’identifier, de localiser ou de profiler une personne, une organisation doit l’informer du recours à cette technologie et des moyens offerts, le cas échéant, pour désactiver les fonctions permettant d’identifier, de localiser ou de profiler cette personne (art. 8.1). La notion de « profilage » est définie au sens large et désigne la collecte et l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment son rendement au travail, sa santé, ses préférences, son comportement, ses intérêts, etc.

La disposition proposée n’impose pas strictement à une organisation de fournir aux individus un mécanisme de retrait (opt-out) relativement à l’utilisation des technologies d’identification, de localisation ou de profilage. Cela dit, dans certains cas, un consentement exprès pourrait être requis, tel que discuté dans la section « Consentement renforcé ». En outre, une plus grande transparence pourra devenir la norme pour les entreprises qui utilisent divers outils et logiciels d’analyse tiers, notamment des témoins (cookies), des pixels et des balises, pour suivre, identifier et cibler les personnes en fonction de leurs intérêts, de leurs préférences et de leur comportement. Ces outils sont souvent assortis d’un mécanisme de retrait et les entreprises seraient tenues de les communiquer aux utilisateurs.

Recherche et analyse de données

Le projet de loi 64 propose une réforme importante du régime régissant l’utilisation des renseignements personnels dans le contexte de la recherche, qui permettrait au Québec de se rapprocher ainsi des cadres établis dans d’autres juridictions canadiennes. Le projet de loi amènerait une importante flexibilité en ce qui concerne l’utilisation de renseignements personnels pour de la recherche à des fins secondaires, tels que l’analyse de données, en autorisant clairement l’utilisation de renseignements personnels « dépersonnalisés » (y compris des renseignements sensibles) au sein de l’entreprise à des fins de recherche, sans obtenir de consentement.

Exception au consentement pour la recherche

Le projet de loi 64 élimine le processus d’autorisation de la recherche, longtemps critiqué pour sa complexité et pour l’incertitude créée par la discrétion totale de la CAI sur les autorisations de recherche et leur révocation. Le projet de loi remplace le processus actuel par un régime qui met l’accent sur la diligence raisonnable et la transparence, et exige uniquement que la CAI soit informée de l’entente conclue entre l’entreprise qui communique les renseignements personnels et la personne ou l’organisme qui les reçoit. En vertu du nouveau cadre, une entreprise peut divulguer des renseignements personnels, sans le consentement de la personne concernée, à une personne ou un organisme souhaitant utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques, à condition que :

  • l’objectif de la recherche ne peut être atteint que si les renseignements sont communiqués sous une forme permettant d’identifier les personnes concernées;
  • il est déraisonnable d’exiger de la personne ou de l’organisme qu’il obtienne le consentement des personnes concernées;
  • l’objectif de la recherche l’emporte sur l’impact de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées;
  • les renseignements personnels sont utilisés de manière à en assurer la confidentialité;
  • seuls les renseignements nécessaires sont communiqués (art. 21).

Les demandes doivent être formulées par écrit et comprendre le protocole de recherche, les motifs justifiant le respect des critères susmentionnés, une liste des autres personnes et organismes à qui des renseignements similaires ont été demandés, une description des technologies utilisées, le cas échéant, et une copie de la décision documentée d’un comité d’éthique de la recherche, le cas échéant (art. 21.01). La personne qui communique les renseignements personnels et le destinataire doivent conclure une entente qui comprend diverses dispositions visant à garantir un accès limité, un risque réduit de réidentification, des mesures de sécurité appropriées et une conservation minimale (art. 21.02). L’entente doit être transmise à la CAI et entre en vigueur 30 jours après sa réception par celle-ci. À cet égard, le nouveau cadre est similaire au régime de la LPRPDE, qui exige également que le Commissariat à la protection de la vie privée du Canada (CPVP) soit informé.

Exception au consentement pour les renseignements dépersonnalisés

Le projet de loi 64 modifie l’article 12 de la Loi sur le secteur privé, afin de prévoir que les renseignements personnels initialement recueillis pour une fin donnée peuvent être utilisés, sans consentement, à des fins secondaires d’étude ou de recherche ou pour la production de statistiques, si les renseignements sont dépersonnalisés (art. 12, paragr. 2(3)). Le même article prévoit également qu’un renseignement personnel est « dépersonnalisé lorsque ce renseignement ne permet plus d’identifier directement la personne concernée » (art. 12, paragr. 4(1)). Cette définition correspond essentiellement à la notion de renseignements « pseudonymisés », tel que ce terme est généralement compris (sous le RGPD, notamment) : la suppression de tous les « identifiants directs » (par exemple, le nom, le numéro d’assurance sociale), tout en laissant intacts les « identifiants indirects » (date de naissance, sexe). Le projet de loi 64 introduit également des critères d’anonymisation, en précisant que « [p]our l’application de la présente loi, un renseignement concernant une personne physique est anonymisé lorsqu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne » (art. 23). En conséquence, il semble que l’article 12 modifié reconnaisse implicitement le risque de réidentification attaché aux informations dépersonnalisées. Il est peut-être intéressant de noter que le libellé du nouvel article 12 prévoit clairement qu’aucun consentement n’est nécessaire, même lorsque ces renseignements sont sensibles (art. 12, paragr. 1-2).

De la façon dont elle est rédigée, cette exception au consentement semble ne s’appliquer qu’à l’utilisation au sein de l’entreprise. Ainsi, les objectifs d’étude, de recherche et de production de statistiques peuvent être interprétés comme des analyses de données internes. Cependant, étant donné l’utilisation d’un langage identique aux nouveaux articles 21 et suivants, l’article 12 semble donner aux entreprises impliquées dans la recherche scientifique la latitude d’utiliser des renseignements personnels dépersonnalisés sans consentement à cette fin également.

Nouveaux droits

Le projet de loi 64 octroie trois nouveaux droits aux individus quant à leurs renseignements personnels, inspirés par le RGPD. Nous y référons ci-dessous sous les vocables de droit à la portabilité des données, droit à l’oubli et droit de s’objecter au traitement automatisé des renseignements personnels.

Droit à la portabilité des données

Le projet de loi 64 commence par clarifier le droit d’accès prévu à l’article 27 de la Loi sur le secteur privé en octroyant aux personnes concernées le droit d’obtenir une transcription écrite et intelligible des renseignements à leur sujet détenus en format électronique par une entreprise. La disposition va plus loin et dispose que les personnes concernées peuvent requérir que ces renseignements lui soient communiqués « dans un format technologique structuré et couramment utilisé » (c’est-à-dire, un fichier électronique) et qu’ils soient communiqués « à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement ». Les entreprises doivent prendre en compte ce nouveau droit dès la conception de leurs projets informatiques et services en ligne afin de s’assurer que les renseignements collectés auprès des personnes concernées pourront lui être communiqués dans le format requis (art. 3.3). L’entreprise pourrait refuser d’honorer une telle requête si ceci « soulève des difficultés pratiques sérieuses ».

Cette nouvelle disposition fait écho au droit à la portabilité des données prévu à l’article 20 du RGPD, qui vise à renforcer le contrôle des individus sur leurs renseignements personnels et à accroître l’interopérabilité entre responsables de traitement. Il sera important de clarifier la restriction tenant aux personnes et organismes « autorisés par la loi à recueillir un tel renseignement » et de s’assurer que les données ainsi transférées n’auront pas à être effacées par l’entreprise les communiquant qui aurait l’obligation de les conserver pour exécuter un contrat ou se conformer à son calendrier de rétention.

Droit à l’oubli

Le nouvel article 28.1 accorde aux individus un droit à deux volets qui existe (sous une forme légèrement différente) dans l’Union européenne depuis 2014, maintenant codifié à l’article 17 du RGPD.

La nouvelle disposition permet d’abord aux personnes de demander aux entreprises de cesser de diffuser leurs renseignements personnels et de supprimer tout hyperlien attaché à leur nom qui donne accès auxdits renseignements si la diffusion contrevient à la loi (par exemple, contenu diffamatoire ou cas flagrant de cyberintimidation) ou à une ordonnance judiciaire. Les éditeurs de sites web et les moteurs de recherche devront donc non seulement se conformer aux ordonnances des tribunaux, mais aussi évaluer si le contenu contesté enfreint la loi applicable, ce qui soulève d’importantes questions quant au rôle joué par les organisations privées dans l’administration de la justice.

Deuxièmement, les personnes concernées ont le droit de demander que leurs renseignements personnels cessent d’être diffusés ou soient désindexés ou réindexés lorsque la diffusion de celles-ci porte gravement atteinte à leur réputation ou à leur vie privée et que ce préjudice est manifestement supérieur à l’intérêt du public à connaître ce renseignement et à la liberté d’expression (dans la mesure où la réparation demandée n’excède pas ce qui est nécessaire pour empêcher la perpétuation du préjudice). Le projet de loi prévoit plusieurs critères pour procéder à cette évaluation, qui reflètent ceux généralement pris en compte par les tribunaux canadiens dans les dossiers relatifs au droit à la vie privée et à la diffamation. Ce nouveau droit permettra aux individus de faire retirer plus facilement les contenus préjudiciables de l’internet sans avoir à engager des poursuites judiciaires (y compris les victimes de « revenge porn » et de publications non autorisées d’images intimes). Ces droits créent toutefois également de nombreux enjeux soulevés dans le cadre d’une soumission au CPVP en réponse à leur consultation sur la réputation en ligne.

Droit de s’objecter à un traitement automatisé

À l’article 12.1, le projet de loi 64 accorde un nouveau droit aux personnes concernées en ce qui concerne le traitement automatisé de leurs renseignements personnels. Lorsqu’une entreprise automatise le traitement de renseignements personnels pour prendre une décision concernant une personne (par exemple pour offrir un produit ou un service sur la base d’une évaluation de sa situation financière ou médicale), cette disposition accorde aux personnes concernées le droit d’être informées de ce traitement, y compris d’être informées des renseignements personnels utilisés, des raisons et des principaux facteurs et paramètres ayant conduit à la décision et le droit de faire corriger les informations les concernant. En outre, les personnes concernées doivent avoir la possibilité de « présenter ses observations à un membre du personnel de l’entreprise en mesure de réviser la décision ». Les activités de traitement automatisé qui affectent les personnes concernées doivent donc, sur demande, être réexaminées par des employés ayant le pouvoir (et, vraisemblablement, les connaissances suffisantes) de réévaluer les décisions prises par ordinateur. Il est intéressant de noter que l’article 12.1 n’accorde pas aux personnes concernées un droit (comme celui accordé dans le RGPD à l’article 22) mais simplement une possibilité de « présenter des observations », ce qui semble ouvrir la porte au pouvoir discrétionnaire des entreprises de revoir ou non les décisions automatisées.

Impartition et transferts hors Québec

La communication de renseignements personnels aux prestataires de services est soumise aux exigences énoncées à l’article 18.3, qui confirme les meilleures pratiques actuelles. Cependant, lorsque cette communication implique des tiers situés à l’extérieur du Québec, le projet de loi 64 propose un processus très lourd que nous résumons ci-dessous.

Impartition

Le projet de loi 64 reconnaît officiellement que la communication de renseignements personnels à un fournisseur de services (ou à un mandataire) ne nécessite pas le consentement de la personne concernée (art. 18.3), ce qui constitue une clarification bienvenue. De plus, conformément aux rapports de conclusions du CPVP de 2019 dans les affaires Equifax et Loblaw et aux meilleures pratiques contractuelles actuelles, la disposition exige que les accords d’impartition soient assujettis à une entente écrite entre l’entreprise et le fournisseur de services, qui doit stipuler :

  • une description des mesures prises par le fournisseur de services pour assurer la confidentialité des renseignements personnels (c’est-à-dire une description des mesures de sécurité);
  • que le prestataire de services n’utilisera les renseignements qu’aux fins de la prestation des services et ne conservera pas ces renseignements après l’expiration du contrat; et
  • l’obligation pour le prestataire de services d’informer sans délai le responsable PRP de toute violation ou tentative de violation de la confidentialité des renseignements et de permettre à cette personne de procéder à toute vérification y afférente. En ce qui concerne cette dernière exigence, le projet de loi ne précise pas si le responsable PRP est celui du prestataire de services ou de l’entreprise. Bien que nous présumions que le l’objectif est que celui de l’entreprise soit notifié, une clarification de ce point serait bienvenue.

Transferts hors Québec

L’une des dispositions du projet de loi 64 qui créerait le plus de défis aux entreprises concerne les transferts transfrontaliers. Le projet de loi alourdit considérablement les exigences énoncées dans l’actuel article 17 de la Loi sur le secteur privé. Selon le texte proposé, une entreprise doit, avant de communiquer des renseignements personnels à l’extérieur du Québec (y compris à des fins d’impartition), effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) afin de déterminer si les renseignements bénéficieront d’un niveau de protection équivalent à celui accordé en vertu de la Loi. À cette fin, les entreprises doivent tenir compte non seulement de la sensibilité du renseignement, des fins auxquelles il sera utilisé et des mesures de protection dont il bénéficierait, mais aussi « du régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment son degré d’équivalence par rapport aux principes de protection des renseignements personnels applicables au Québec ». Si, à la suite de cette EFVP, l’entreprise conclut que le régime étranger n’est pas équivalent, elle ne doit pas communiquer les renseignements personnels. L’article 17.1 du projet de loi prévoit que le gouvernement publiera une liste d’États dont le régime juridique encadrant les renseignements personnels équivaut à celui du Québec.

Il est important de souligner qu’en vertu de la législation européenne sur la protection des données, un tel exercice est effectué par la Commission européenne après un processus très détaillé et long impliquant le Comité européen de la protection des données et les représentants des États membres, afin d’évaluer si la législation des pays non membres de l’Espace économique européen est « adéquate » conformément au Référentiel d’adéquation. Ce processus prend plusieurs mois et peut conduire à un constat d’inadéquation comme dans le cas de la proposition du Québec en 2014. Le fait que la Commission européenne ait déclaré la LPRPDE adéquate en 2001, alors qu’elle est moins exigeante que la Loi sur le secteur privé à plusieurs égards, illustre d’autant plus les défis posés par toute méthodologie de comparaison des lois. Si le pays tiers n’est pas considéré comme adéquat, différents mécanismes peuvent être utilisés par les entreprises conformément au RGPD pour transférer des renseignements personnels en dehors de l’EEE, notamment des clauses contractuelles types, des règles d’entreprise contraignantes, etc.

Ici, le gouvernement a possiblement sous-estimé les efforts qui lui seraient nécessaires pour publier une liste exhaustive des juridictions équivalentes en conformité avec l’article 17.1. Cela pourrait placer les entreprises dans une situation où elles devraient jouer le rôle d’un organisme de réglementation en matière de protection de la vie privée et qu’elles fassent appel à des experts en droit étranger pour évaluer l’équivalence des lois non québécoises (telles qu’elles sont écrites et appliquées !). De plus, le projet de loi ne leur fournit pas de mécanismes alternatifs pour transférer des renseignements vers le reste du pays ou à l’étranger. Si elle est adoptée dans sa forme actuelle, cette disposition aura pour effet de rendre illégaux les transferts à des fournisseurs de services situés hors du Québec, ce qui semble non seulement peu pratique, mais crée d’importants défis en lien avec les règles de résidence des données.

Prochaines étapes

La plupart des dispositions du projet de loi 64 ne devraient pas entrer en vigueur avant le début de l’année 2022, dans le meilleur des cas. Suite à la présentation du projet de loi 64 le vendredi 12 juin 2020 — qui n’est que la première étape dans le processus législatif — l’Assemblée nationale du Québec a ajourné ses travaux jusqu’au 15 septembre 2020. Avant d’ajourner, le leader du gouvernement a indiqué que le projet de loi serait renvoyé à une commission pour consultation, ce qui devrait donner aux parties prenantes l’occasion d’effectuer des représentations. S’il est adopté, les dispositions transitoires et finales du projet de loi 64 stipulent actuellement que les modifications apportées à la législation québécoise sur la protection des renseignements personnels dans le secteur privé n’entreront en vigueur qu’un an après la date de sanction du projet de loi, à l’exception de la disposition sur les droits de portabilité des données, qui n’entrera en vigueur que trois ans après la date de sanction.

Les auteurs remercient le stagiaire Andy Nagy pour son aide dans la rédaction de cet article.

Principaux contacts