Fin des travaux parlementaires à Québec : Mise à jour sur le projet de loi n° 64

Un an après son dépôt à l’Assemblée nationale du Québec, le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« projet de loi n° 64 ») n’est toujours pas adopté. Avec la fin de la période de travaux parlementaires le 11 juin 2021, l’équipe Respect de la vie privée et protection des renseignements personnels de BLG vous propose de faire le point sur cette importante réforme du droit en matière de protection des renseignements personnels au Québec.

Ce bulletin aborde les principaux amendements qui ont été apportés au projet de loi n° 64 pendant son étude en commission parlementaire et qui sont susceptibles d’entraîner des conséquences importantes pour les entreprises. Nous vous invitons à consulter notre version amendée de la Loi sur la protection des renseignements personnels dans le secteur privé pour prendre connaissance du texte précis des amendements¹.

Pour une analyse détaillée des enjeux soulevés par le projet de loi n° 64, nous vous invitons à lire notre bulletin publié lors du dépôt du projet de loi en juin 2020. Vous pouvez également vous référer à notre court mémoire soumis à l’automne 2020 dans lequel nous présentions nos observations sur l’impact que le projet de loi n° 64 peut avoir sur les entreprises du secteur privé.

Avant d’effectuer cette mise à jour, il convient de revenir sur le cheminement législatif du projet de loi n° 64.

Partie 1 – Évolution du projet de loi n° 64 depuis son dépôt

Tel que discuté dans notre bulletin susmentionné, le projet de loi n° 64 introduit des modifications importantes aux deux principales lois en matière de protection des renseignements personnels au Québec, soit la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (« Loi sur l’accès ») et à la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé »). Vu l’ampleur de cette initiative, des consultations particulières se sont déroulées au mois de septembre 2020 au cours desquelles plusieurs intervenants ont eu l’occasion de se faire entendre. 

Le principe du projet de loi n° 64 a par la suite été adopté et son étude détaillée par la Commission des institutions de l’Assemblée nationale a débuté en février 2021. Suivant l’ordre prévu par le projet de loi n° 64, les parlementaires ont commencé par se pencher sur l’étude des dispositions modifiant la Loi sur l’accès avant de se tourner vers celles touchant à la Loi sur le secteur privé. Ceci étant dit, les parlementaires ont apporté, à quelques exceptions près, les mêmes amendements tant dans le secteur public que dans le secteur privé, étant donné l’« effet miroir » de plusieurs dispositions du projet de loi n° 64. 

À la clôture des travaux, la commission était rendue à l’étude de l’article 124 du projet de loi n° 64 (sur un total de 165). Il nous semble donc raisonnable de s’attendre à ce que le projet de loi n° 64 puisse être adopté à la reprise des travaux parlementaires à l’automne 2021.

Partie 2 - Les principaux changements apportés en Commission

Avant d’élaborer plus en détail sur les amendements, voici une liste de ceux qui sont susceptibles d’avoir le plus d’impact sur le quotidien des entreprises qui font affaire Québec :

• Des modifications qui procurent davantage de flexibilité :
  • Il est désormais possible de déléguer la fonction de « responsable de la protection des renseignements personnels » à toute personne qu’elle soit interne ou externe à l’entreprise;
  • L’obligation de procéder à une évaluation des facteurs relatifs à la vie privée est désormais limitée à l’« acquisition, au développement et à la refonte » des systèmes et elle doit être « proportionnée » à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support;
  • Les renseignements personnels pourront être utilisés sans le consentement des personnes concernées lorsque cela est nécessaire à la fourniture d’un produit ou à la prestation d’un service;
  • Les renseignements personnels pourront être utilisés sans le consentement des personnes concernées à des fins de prévention de la fraude et d’amélioration des mesures de sécurité;
  • La communication de renseignements personnels à l’extérieur du Québec ne requiert plus que le régime juridique du pays étranger offre une protection « équivalente » au régime québécois, elle exige plutôt une protection « adéquate » au regard des « principes de protection des renseignements personnels généralement reconnus ».
• Mais aussi certaines règles plus contraignantes :
  • Les entreprises qui recueillent des renseignements personnels devront informer les personnes concernées des « noms des tiers » à qui les renseignements pourraient être communiqués pour l’accomplissement des fins de la collecte;
  • Les technologies permettant d’identifier, de localiser ou d’effectuer le profilage d’une personne devront dorénavant être désactivées par défaut avant de pouvoir recueillir des renseignements personnels;
  • Une entreprise pourra anonymiser des renseignements personnels, mais uniquement dans le but de les utiliser « à des fins sérieuses et légitimes ».

Responsabilité

Nouveau rôle de responsable de la protection des renseignements personnels incombant au président

En ce qui concerne le principe de responsabilité, un amendement a été adopté en Commission afin de préciser que la fonction de « responsable de la protection des renseignements personnels », que le projet de loi n° 64 attribue par défaut à la personne ayant la plus haute autorité au sein de l’entreprise, peut être déléguée non seulement à un membre du personnel, mais également à « toute personne » (art. 3.1 al. 2 in fine²), c’est-à-dire à une personne physique travaillant au sein de l’entreprise ou à l’extérieur de celle-ci. Cet amendement permet ainsi aux entreprises d’externaliser la fonction de responsable de la protection des renseignements personnels, à l’image de l’approche retenue dans l’Union européenne. En effet, les commentaires du ministre lors du dépôt de cet amendement en Commission indiquent que « [c]ette approche peut permettre l’utilisation des services d’une personne spécialisée en protection des renseignements personnels ».

Politiques et pratiques

L’exigence pour l’entreprise de procéder à la publication de ses politiques et pratiques en matière de gouvernance des renseignements personnels sur son site Web a été remplacée par l’obligation plus réaliste de publier « des informations détaillées au sujet de ces politiques » (art. 3.2 al. 2). 

Évaluation des facteurs relatifs à la vie privée

Depuis le dépôt du projet de loi n° 64, plusieurs entreprises se sont dites préoccupées par la portée excessive de l’exigence de procéder à la réalisation d’une évaluation des facteurs relatifs à la vie privée (« EFVP ») de tout système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (art. 3.3). Le gouvernement semble avoir été à l’écoute puisqu’un amendement a été apporté en Commission afin de préciser que cette obligation ne vise que l’« acquisition, le développement et la refonte » d’un système (art. 3.3 al. 1). Les débats parlementaires concernant cet amendement nous permettent de tirer deux constats, soit

1. les systèmes existants de l’entreprise n’auront pas à être soumis à une EFVP lors de l’entrée en vigueur du projet de loi n° 64; et
2. la simple mise à jour d’un système ne sera pas soumise à une EFVP à moins que de nouvelles fonctionnalités viennent modifier le traitement des renseignements personnels par le système.

Cet amendement prévoit également que l’EFVP doit être « proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support » (art. 3.3 al. 4). Cette précision semble sous-entendre que l’EFVP ne sera pas soumise à un modèle ou à un gabarit en particulier. D’ailleurs, il est curieux de voir que le législateur reprend ici les mêmes critères que ceux prévus à l’article 10 de la Loi sur le secteur privé en matière de mesures de sécurité. Si l’on peut aisément comprendre le lien entre la sensibilité, la finalité et la quantité de renseignements personnels et le processus d’EFVP, les notions de « répartition » et de « support » sont à clarifier. À notre avis, la répartition peut autant référer à la situation physique des renseignements personnels (sont-ils stockés sur un ou plusieurs serveurs? Où ces serveurs sont-ils hébergés?) qu’à leur statut administratif (combien de personnes au sein de l’entreprise et à l’externe sont autorisées à accéder à ces renseignements? S’agit-il de personnes travaillant au sein d’un ou de plusieurs départements?). Le support, quant à lui, semble plutôt désigner l’élément matériel sur lequel les renseignements sont consignés (ex. support papier, support technologique).

Protection de la vie privée dès la conception / par défaut

L’une des dispositions du projet de loi n° 64 qui formalise l’approche de « protection de la vie privée dès la conception » est le nouvel article 9.1 qui requiert que les entreprises veillent à ce que les paramètres de leurs produits et services technologiques assurent, par défaut, le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée. Lors de l’étude des dispositions portant sur la Loi sur l'accès (secteur public), cet article fut amendé afin de préciser que :

1. Il ne s’applique qu’aux produits et services offerts au public;
2. Il ne s’applique qu’aux produits et services qui disposent de paramètres de confidentialité; et
3. Il ne s’applique pas aux paramètres de confidentialité des témoins de connexion (cookies).

Toutefois, à la clôture des travaux parlementaires, l’article 9.1 était suspendu par la Commission, ce qui laisse planer un doute sur son adoption et, par conséquent, sur son éventuelle application au secteur privé.

Consentement et transparence

Transparence et politique de confidentialité

Un amendement a été adopté en Commission afin d’obliger les entreprises à indiquer aux personnes concernées le « nom des tiers » à qui il est nécessaire de communiquer les renseignements pour accomplir les fins visées par la collecte (art. 8 al. 2). Il aurait été selon nous plus réaliste de permettre l’inclusion de catégories de tiers, comme le permet notamment le Règlement général sur la protection des données (« RGPD »). En effet, indiquer le nom des fournisseurs de services serait peu utile pour les individus puisqu’ils n’ont pas l’option de refuser de tels transferts et que les entreprises demeurent responsables du traitement de renseignements personnels par leurs fournisseurs de services. Cette exigence contribuerait selon nous, à une surcharge d’information ce qui serait contre-productif à la lumière de l’objectif de transparence poursuivi par le projet de loi n° 64.

D’ailleurs, il existe un doute quant à la possibilité que des fournisseurs de services soient considérés comme des « tiers » puisque la seule disposition de la Loi sur le secteur privé traitant des fournisseurs de services est le nouvel article 18.3, situé dans la section Communication à des tiers de la Loi. Nous nous interrogeons, le cas échéant, quant à la façon de mettre en œuvre cette exigence, surtout dans un contexte où une entreprise fait affaire avec un grand nombre de fournisseurs de services qui peuvent changer au fil du temps.

Nouvelles exceptions à l’exigence de l’obtention du consentement

Bien que certaines discussions aient eu lieu dans le but d’introduire une exception générale à l’exigence d’obtenir un consentement pour les pratiques d’affaires légitimes, la commission parlementaire a plutôt ajouté à l’article 12 deux nouvelles exceptions. Ces changements sont plus ciblés à l’exigence de l’obtention du consentement pour certaines utilisations. Ainsi, dans les cinq situations suivantes, les entreprises pourront utiliser des renseignements personnels sans devoir obtenir le consentement des personnes concernées :

1. l’utilisation est nécessaire à la fourniture ou la livraison d’un produit ou la prestation d’un service demandé par la personne concernée (nouveauté);
2. l’utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité de l’entreprise (nouveauté);
3. l’utilisation sert à des fins compatibles avec celles pour lesquelles les renseignements ont initialement été recueillis, c’est-à-dire qu’il y a un lien pertinent et direct entre les nouvelles fins d’utilisation des renseignements et celles pour lesquelles les renseignements ont été recueillis. Cette exception sera particulièrement utile dans un contexte d’entraînement d’algorithmes d’intelligence artificielle où les fins précises du traitement peuvent être difficiles à identifier au moment de la collecte initiale des données);
4. l’utilisation est manifestement au bénéfice de la personne concernée; et
5. l’utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et que les renseignements sont dépersonnalisés.

Les deux nouvelles exceptions (i.e. nécessaire à la fourniture ou la livraison d’un produit ou la prestation d’un service ou à des fins de prévention et de détection de la fraude) nous apparaissent comparables à certaines bases légales alternatives au consentement du RGPD visant à couvrir les situations où les pratiques d’affaires légitimes de l’entreprise justifient le traitement de renseignements, soit celle de nécessité contractuelle et celle des intérêts légitimes (RGPD, art. 6.1(b) et (f)).

Il est toutefois regrettable qu’un amendement introduisant une exception au consentement pour l’utilisation de renseignements personnels afin d’établir, gérer ou mettre fin à une relation d’emploi n’ait pas été adopté. En effet, le fédéral, la Colombie-Britannique et l’Alberta reconnaissent, dans leur loi de protection des renseignements personnels dans le secteur privé, une exception claire à cet effet considérant la difficulté d’opérationnaliser le modèle du consentement dans le contexte d’une relation employeur-employé.

Ceci étant dit, étant donné la reconnaissance du consentement implicite que le projet de loi n° 64 introduit subtilement par le jeu des articles 8, 8.3 et 12 de la Loi sur le secteur privé, les employeurs pourraient, selon nous, s’appuyer sur le consentement implicite des employés pour traiter leurs renseignements personnels à condition de fournir tous les éléments d’information requis par l’article 8 et de poursuivre une fin sérieuse et légitime.

Nouvelles obligations relatives à l’utilisation d’une technologie comprenant des fonctions permettant d’identifier, de localiser ou de profiler une personne

Un amendement est venu remplacer le mot « désactiver » au second paragraphe de l’article 8.1 par le mot « activer ». Cette modification en apparence mineure est lourde de conséquences puisqu’elle a pour effet d’obliger les entreprises qui recueillent des renseignements personnels au moyen de technologies permettant d’identifier, de localiser ou d’effectuer le profilage d’une personne à s’assurer que ces fonctions soient désactivées par défaut. Le ministre Éric Caire a d’ailleurs reconnu en commission parlementaire que cet amendement avait pour conséquence d’introduire un consentement explicite pour la collecte de renseignements personnels au moyen de technologies ayant des fonctions d’identification, de localisation ou de profilage. Il convient de rappeler que le projet de loi n° 64 définit le « profilage » de façon large pour comprendre toute utilisation de renseignements personnels pour évaluer certaines caractéristiques d’une personne (ex. rendement au travail, état de santé, préférences personnelles, intérêts, comportement).

Cet amendement crée donc une forte incertitude en ce qui concerne l’utilisation d’outils de suivi en ligne comme les témoins, les balises et les pixels à des fins de marketing. Il n’est pas clair en effet si ces technologies sont visées par l’article 8.1. Si tel était le cas, le passage d’un modèle de opt-out à un modèle de opt-in aurait de graves répercussions sur tout l’écosystème de la publicité numérique. Ce changement imposerait des conditions très défavorables aux entreprises faisant affaire au Québec, contrastant radicalement avec celles applicables dans le reste du Canada. Soulignons par ailleurs que certains de ces outils ne comprennent pas de fonction d’identification, de localisation ou de profilage (ex. témoins essentiels au fonctionnement d’un site Web) et seraient donc potentiellement être exempts de cette obligation.

Ceci étant dit, il est clair qu’un consentement explicite demeure exigé lorsque les renseignements personnels collectés sont sensibles, comme l’indique l’article 12 al. 4 de la Loi sur le secteur privé. D’ailleurs, un amendement a été adopté en Commission afin de préciser que les renseignements médicaux, biométriques ou autrement intimes doivent être considérés comme sensibles par nature, c’est-à-dire indépendamment de leur contexte d’utilisation. Ainsi, l’utilisation d’une empreinte digitale ou d’une image du visage pour déverrouiller un appareil ou encore le suivi du rythme cardiaque d’une personne lors d’une activité physique sont des exemples d’utilisations de renseignements personnels sensibles qui vont requérir le consentement explicite des individus. Il demeure toutefois incertain comment les termes « ou autrement intimes » seront interprétés, mais ceux-ci ouvrent vraisemblablement la porte à la reconnaissance de divers types de renseignements (ex. financiers, performance au travail, etc.) comme étant sensibles.

Dépersonnalisation et anonymisation

La commission parlementaire a apporté quelques précisions en ce qui concerne deux nouvelles notions introduites par le projet de loi n° 64, soit la dépersonnalisation et l’anonymisation des renseignements personnels. Il convient de rappeler la distinction entre ces deux concepts dont le champ d’application est bien différent.

Renseignements dépersonnalisés

Un renseignement personnel est considéré dépersonnalisé lorsqu’il ne permet plus d’identifier directement la personne concernée (art. 12 al. 4 (1)). Cette définition correspond essentiellement à la notion de renseignements « pseudonymisés », tel que ce terme est généralement compris (notamment sous le RGPD), c’est-à-dire comme référant à la suppression de tous les « identifiants directs » (par exemple, le nom, le numéro d’assurance sociale), tout en laissant intacts les « identifiants indirects » (date de naissance, sexe). Par ailleurs, vu que des renseignements dépersonnalisés peuvent toujours être utilisés, en combinaison avec d’autres renseignements, pour identifier un individu, ceux-ci demeurent assujettis à la législation en matière de protection des renseignements personnels.

À ce sujet, un amendement à l’article 12 de la Loi sur le secteur privé introduit une obligation, pour les entreprises qui détiennent des renseignements dépersonnalisés, de prendre des mesures raisonnables afin de limiter les risques que quiconque procède à l’identification d’un individu à partir de ces renseignements (art. 12 al. 5). Il est pertinent de mentionner que la réidentification d’une personne physique à partir de renseignements dépersonnalisés ou anonymisés constitue une infraction à la Loi passible d’une amende pénale (art. 91(3).

Renseignements anonymisés

Contrairement à la dépersonnalisation, l’anonymisation des renseignements personnels a pour effet de les exclure du champ d’application de la Loi sur le secteur privé. Ainsi, un renseignement sera considéré anonymisé lorsqu’il est en tout temps raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement un individu (art. 23 al. 2). La mention « en tout temps raisonnable de prévoir dans les circonstances » est le fruit d’un amendement qui a été adopté en Commission afin d’obliger les entreprises à s’assurer que leurs techniques d’anonymisation des renseignements personnels demeurent efficaces au fil du temps. En effet, le projet de loi n° 64 prévoit que l’anonymisation des renseignements personnels doit s’effectuer selon les « meilleures pratiques généralement reconnues » et selon des critères et modalités qui seront déterminés par règlement (art. 23 al. 3).

L’anonymisation des renseignements personnels est présentée dans le projet de loi n° 64 comme une alternative à leur destruction. Par conséquent, une entreprise qui souhaite conserver des renseignements personnels au-delà de la durée de rétention prévue par la loi pourra le faire à condition de les anonymiser et de les utiliser à des fins sérieuses et légitimes (art. 23 al. 1). Cette condition d’utilisation à des « fins sérieuses et légitimes » a été ajoutée par un amendement en Commission afin de répondre aux préoccupations des parlementaires à l’égard du fait que les renseignements anonymisés ne bénéficient d’aucun encadrement en vertu de la Loi sur le secteur privé. Le critère des « fins sérieuses et légitimes », énoncé à l’article 4 de la Loi sur le secteur privé en matière de collecte des renseignements personnels, a donc été repris afin de s’assurer que les entreprises n’utilisent pas les renseignements anonymisés à des fins autres que celles qu’une personne raisonnable estimerait acceptables dans les circonstances. Cette nouvelle limite à l’utilisation des renseignements anonymisés pose des difficultés d’interprétation considérant que les renseignements anonymisés sont techniquement exclus du champ d’application de la Loi sur le secteur privé. Conséquemment, il ne constituent plus des renseignements personnels. On voit mal comment la Loi pourrait assujettir l’utilisation de renseignements exclus de son champ d’application à des conditions particulières. De plus, nous soulignons que cette restriction n’existe d’ailleurs pas en vertu du RGPD.

Communication de renseignements personnels hors Québec

L’une des dispositions les plus controversées du projet de loi n° 64 est celle concernant la communication de renseignements personnels à l’extérieur du Québec. En effet, plusieurs entreprises ont critiqué, à juste titre, le nouvel encadrement introduit à l’article 17 de la Loi sur le secteur privé. Essentiellement, cette modification irréaliste vient exiger que le régime juridique du pays de destination des renseignements personnels doit offrir un niveau de protection équivalent à celui accordé en vertu de la Loi sur le secteur privé. Par conséquent, le projet de loi n° 64 a pour effet de doter le Québec d’un des régimes les plus sévères au monde en matière de protection des renseignements personnels.

Il est donc salutaire qu’un amendement ait été adopté afin de supprimer la notion d’équivalence juridictionnelle à l’article 17 de la Loi sur le secteur privé. Toutefois, les conditions à respecter pour procéder à une communication de renseignements personnels à l’extérieur du Québec, incluant une autre province canadienne selon les dires du ministre, demeurent trop restrictives. Ainsi, avant de communiquer des renseignements personnels à l’extérieur du Québec, une entreprise doit effectuer une EFVP devant notamment tenir compte de :

• la sensibilité des renseignements;
• la finalité de leur utilisation;
• les mesures de protection, y compris celles prévues dans un contrat, dont le renseignement bénéficierait; et
• le régime juridique applicable dans l’État où les renseignements seraient communiqués, notamment les principes de protection des renseignements personnels qui y sont applicables.

[L’italique correspond au texte ajouté à la suite de l’amendement à l’article 17]

L’amendement précise en outre que la communication pourra s’effectuer si l’EFVP démontre que les renseignements personnels bénéficieraient d’une protection « adéquate » (par opposition à « équivalente »), notamment au regard des « principes de protection des renseignements personnels généralement reconnus ». Cette communication devra faire l’objet d’une entente écrite entre l’entreprise et le tiers situé à l’étranger afin de prévoir des modalités visant à atténuer les risques identifiés dans le cadre de l’EFVP.

Ainsi, bien que l’article 17 ne requiert plus de procéder à un test d’équivalence entre les juridictions, l’évaluation du régime juridique de l’État de destination des renseignements personnels demeure un facteur à considérer dans le cadre de l’EFVP qui précède la communication. En plus, l’article 17.1 prévoyant la publication gouvernementale d’une liste d’États dont le régime juridique en matière de protection des renseignements personnels serait reconnu comme étant équivalent à celui du Québec a été supprimé en cours de commission parlementaire. 

Par ailleurs, les modifications effectuées en commission parlementaire concernant l’article 17 soulèvent d’autres sources d’incertitude pour les entreprises comme la notion de « principes de protection des renseignements personnels généralement reconnus », qui n’est pas définie dans le projet de loi n° 64 ni dans la législation québécoise. À notre avis, la formulation large de cette expression fait en sorte qu’une législation générale en matière de protection des données, comme la Loi sur le secteur privé au Québec, la LPRPDÉ au Canada ou le RGPD au sein de l'Union européenne, n’est pas une condition sine qua non à la communication des renseignements personnels vers un État étranger. L’entreprise devrait plutôt évaluer la conformité générale du régime juridique de l’État de destination aux huit principes en matière de protection des données à caractère personnel énoncées dans les Lignes directrices de l’OCDE sur la protection de la vie privée (initialement adoptées en 1980 et mises à jour en 2013), soit :

1. Limitation en matière de collecte
2. Qualité des données
3. Spécification des finalités
4. Limitation de l'utilisation
5. Garanties de sécurité
6. Transparence
7. Participation individuelle
8. Responsabilité

En outre, les Lignes directrices de l’OCDE de 2013, reconnaissent également que l’adoption de différentes mesures, par le responsable du traitement des données, peut être suffisant pour assurer un niveau de protection adéquat aux données qui font l’objet du transfert. Ceci inclut notamment des mesures de sécurité techniques et organisationnelles, des ententes contractuelles, des processus de traitement des plaintes et des audits (à condition que ces mesures s’accompagnent d’une mise en application effective lorsque celles-ci s’avèrent inefficaces). Ainsi, en dépit des modifications effectuées en commission parlementaire, l’encadrement prévu à l’article 17 de la Loi sur le secteur privé pour la communication de renseignements personnels à l’étranger demeure très restrictif et risque d’entraîner des coûts opérationnels importants pour les entreprises exerçant au Québec. Le gouvernement aurait pu atteindre le même objectif, c’est-à-dire assurer la protection des renseignements personnels des Québécois lorsqu’ils sont envoyés à l’étranger, en se limitant à l’obligation pour les entreprises. En se faisant, les entreprises devrait avoir à conclure une entente de protection de données comprenant le cas échéant des clauses types lorsque les renseignements sont transférés à l’extérieur du Québec, à l’image de ce qui est prévu en droit européen.

Droit à l'oubli

Il est pertinent de mentionner que le nouvel article 28.1 de la Loi sur le secteur privé a été adopté sans modification majeure par la commission parlementaire. Rappelons que cet article permet aux personnes concernées de :

1. demander aux entreprises de cesser de diffuser leurs renseignements personnels et de supprimer tout hyperlien attaché à leur nom qui donne accès auxdits renseignements si la diffusion contrevient à la loi (par exemple, contenu diffamatoire ou cas flagrant de cyberintimidation) ou à une ordonnance judiciaire; et
2. demander que leurs renseignements personnels cessent d’être diffusés ou soient désindexés ou réindexés lorsque la diffusion de ceux-ci porte gravement atteinte à leur réputation ou à leur vie privée et que ce préjudice est manifestement supérieur à l’intérêt du public à connaître ce renseignement et à la liberté d’expression.

Ces nouveaux droits font intervenir plusieurs des enjeux que nous avons soulevés dans un mémoire déposé dans le cadre de la Consultation sur la réputation en ligne réalisée par le CPVP.

Nouveaux mécanismes de mise en œuvre

Aucune modification n’a jusqu’à présent été apportée aux nouveaux mécanismes de mise en œuvre applicables au secteur privé, puisque les dispositions du projet de loi n° 64 à cet effet n’avaient pas encore été étudiées en Commission lors de la clôture des travaux. Il convient de rappeler les trois mécanismes que le projet de loi n° 64 prévoit afin d’assurer la conformité des entreprises à la Loi sur le secteur privé, soit :

• des sanctions administratives pécuniaires imposées par la CAI,
• de nouvelles infractions pénales assorties d’amendes significatives; et
• un droit privé d’action qui permet aux individus de poursuivre une entreprise en réparation d’un préjudice causé par un manquement à la loi et d’obtenir des dommages punitifs si la contravention résulte d’une faute lourde ou intentionnelle.

Prochaines étapes

Si l’étude détaillée du projet de loi n° 64 se poursuit à la reprise des travaux parlementaire en septembre, il est selon nous raisonnable de s’attendre à ce que le projet de loi puisse être adopté d’ici le mois de décembre 2021. Ainsi, sous réserve du droit à la portabilité des données, qui fait l’objet d’une période d’entrée en vigueur de 3 ans, les dispositions du projet de loi n° 64 entreraient en vigueur un an après son adoption, soit potentiellement au cours des deux derniers trimestres de 2022.

Avec le projet de loi C-11 qui est au point mort à la Chambre des communes, le Québec est en voie de devenir la première juridiction au Canada à moderniser sa législation en matière de protection des renseignements personnels à la lumière des précédents internationaux comme le RGPD en Europe et le California Consumer Privacy Act of 2018 (CCPA) aux États-Unis. Bien que nous ne pouvons que nous réjouir de la proactivité du législateur québécois, le risque d’un déficit d’harmonisation de la législation en matière de protection de la vie privée au Canada est bien réel et constitue assurément une préoccupation importante pour les entreprises.

En définitive, malgré les modifications apportées au projet de loi n° 64 en commission parlementaire (et parfois à cause de celles-ci), plusieurs amendements des dispositions de la Loi sur le secteur privé risquent de poser certains défis aux entreprises, notamment :

• L’interprétation et l’application du critère de « proportionnalité » de l’EFVP;
• Le sort incertain de l’article 9.1 sur la protection de la vie privée dès la conception/ par défaut;
• L’absence d’exception au consentement pour l’utilisation de renseignements personnels afin d’établir, gérer ou mettre fin à une relation d’emploi;
• L’obligation de désactiver « par défaut » les technologies permettant d’identifier, de localiser ou d’effectuer le profilage d’une personne lorsqu’elles sont utilisées pour recueillir des renseignements personnels;
• L’obligation d’informer les personnes concernées du nom des tiers à qui l’entreprise peut communiquer les renseignements personnels;
• La limite à l’utilisation des renseignements anonymisés « pour des fins sérieuses et légitimes »; et
• Le régime pour la communication de renseignements personnels à l’extérieur du Québec qui demeure trop exigeant et irréaliste.

Bien que nous n’en avons pas discuté dans ce bulletin étant donné que les dispositions pertinentes ont été adoptées sans amendements, les discussions en commission parlementaire suscitent certaines nouvelles préoccupations quant aux trois enjeux suivants :

• La notion de consentement « distinct » et « granulaire » qui demeure difficile à interpréter en l’absence de lignes directrices à ce sujet; et
• La question de l’application du droit à la portabilité aux données inférées, c’est-à-dire les renseignements que l’entreprise a déduits ou dérivés à partir des renseignements personnels fournis par la personne concernée (ex. ses préférences en matière de consommation de produits). En effet, alors que le gouvernement avait clairement exclu cette possibilité dans un mémoire déposé lors de l’introduction du projet de loi n° 64, des récentes déclarations du ministre lors de la Commission semblent indiquer que le droit à la portabilité s’appliquerait à tout renseignement qui concerne la personne et qui permet de l’identifier, qu’il soit inféré ou non.

Étant donné qu’un certain nombre de nouvelles dispositions introduites par le projet de loi n° 64 pourraient nécessiter des changements opérationnels importants et que plusieurs de ces dispositions soulèvent une certaine incertitude quant à leur interprétation, de nombreuses entreprises espèrent que le gouvernement introduira une période de transition plus longue (peut-être dix-huit mois ou idéalement deux ans). À tout le moins, le gouvernement pourrait envisager de retarder l’entrée en vigueur des dispositions de mise en œuvre de la Loi sur le secteur privé (c’est-à-dire les sanctions administratives pécuniaires, les nouvelles infractions pénales et le droit d’action privé) ou encore prévoir le maintien de « droits acquis » pour une durée temporaire, afin d’offrir suffisamment de temps aux entreprises pour modifier et ajuster leurs pratiques commerciales actuelles d’ici l’entrée en vigueur de ces dispositions.

Nous travaillons sur un guide pratique afin d’aider les entreprises à se conformer aux nouvelles exigences introduites par le projet de loi n° 64. Celui-ci sera rendu public une fois que la version finale et définitive du projet de loi n° 64 sera adoptée. Dans l’intervalle, n’hésitez pas à contacter l’équipe Respect de la vie privée et protection des renseignements personnels de BLG pour toute question au sujet des récents développements en matière de protection des renseignements personnels au Québec.

---

¹ Veuillez noter que dans cette version amendée le texte en bleu correspond aux modifications apportées par le projet de loi n° 64 à la Loi sur le secteur privé alors que le texte en rouge représente les amendements adoptés en commission parlementaire.

² Sous réserve de mention à l’effet contraire, les articles cités dans le présent bulletin font référence à la Loi sur le secteur privé telle qu’amendée par les dispositions du projet de loi n° 64.

Nous remercions tout particulièrement Simon Du Perron pour sa contribution à cette publication.