Le 24 août dernier, la Commission des institutions de l’Assemblée nationale du Québec a terminé l’étude détaillée du projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« projet de loi n° 64 ») qui s’était amorcée en février 2021. Dans notre précédent bulletin, publié à l’occasion de la clôture des travaux parlementaires au mois de juin, nous avons abordé les principaux changements apportés au projet de loi n° 64 à ce jour.
Le présent bulletin poursuit sur cette lancée en vous présentant les plus récents amendements adoptés lors des quelques séances de commission tenues au mois d’août. Nous vous invitons à consulter notre version amendée de la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP ») pour prendre connaissance du texte précis des amendements .
À la reprise des travaux, la commission était rendue à l’étude de l’article 124 du projet de loi n° 64 (qui en compte un total de 165) qui introduit une modification à l’article 46 de la LPRPSP. Toutefois, quelques articles du projet de loi n° 64 avaient été suspendus par la commission au cours de l’étude détaillée et restaient donc à adopter.
Protection de la vie privée dès la conception / par défaut
La commission parlementaire a finalement adopté l’article 100 du projet de loi n° 64 dans une forme légèrement amendée. Cet article propose d’inscrire le principe de protection de la vie privée par défaut au sein de la LPRPSP en y introduisant l’article 9.1 qui se lit comme suit :
9.1 Une personne qui exploite une entreprise et qui recueille des renseignements personnels en offrant au public un produit ou un service technologique disposant de paramètres de confidentialité doit s’assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.
Ne sont pas visés au premier alinéa les paramètres de confidentialité d’un témoin de connexion.
L’amendement apporté par le gouvernement vient préciser trois éléments quant à l’application de l’exigence de protection de la vie privée par défaut. Premièrement, celle-ci ne s’applique pas aux produits et services technologiques utilisés à l’interne par les employés d’une entreprise (ex. intranet, application mobile de retour au travail, etc.). Deuxièmement, l’article 9.1 ne trouve application que lorsqu’un produit ou un service technologique dispose de paramètres de confidentialité, tel qu’un compte sur les réseaux sociaux, un moteur de recherche ou une application mobile. Enfin, l’article 9.1 al. 2 prévoit que les témoins de navigation (cookies) ne sont pas visés par la disposition. À cet égard, le gouvernement a indiqué que les témoins de navigation étaient exclus, car, selon ce dernier, ceux-ci ne seraient pas « paramétrables ».
Les conséquences pratiques de l’article 9.1 de la LPRPSP pour les entreprises qui ont des activités au Québec sont difficiles à évaluer en raison notamment de l’incertitude entourant le « plus haut niveau de confidentialité ». L’intention du législateur derrière ce nouvel article est également difficile à cerner considérant que la notion de protection de la vie privée dès la conception et/ou par défaut a été utilisée de différentes manières au cours de la commission parlementaire, notamment en lien avec l’obligation de procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) (art. 3.3), à la nécessité d’obtenir un consentement exprès pour le traitement de renseignements personnels sensibles (art. 12 al. 1) ainsi qu’à l’exigence de désactiver les fonctions technologiques permettant d’identifier, de localiser ou d’effectuer le profilage d’une personne (art. 8.1 al. 1 (2)). Or, lors du dépôt du projet de loi n° 64, le gouvernement décrivait plutôt le principe de protection de la vie privée par défaut comme obligeant les entreprises à s’assurer que les paramètres de confidentialité de leurs produits et services garantissent que les renseignements personnels recueillis ne seront pas partagés à un nombre indéterminé de personnes sans que la personne concernée n’y ait préalablement consenti 1.
Droit à la portabilité des données
Le gouvernement a également adopté un amendement afin de résoudre l’ambiguïté entourant l’application du droit à la portabilité aux renseignements inférés ou dérivés par l’entreprise à partir d’autres renseignements fournis par la personne concernée. Ainsi, l’article 27 al. 3 de la LPRPSP prévoit désormais qu’une personne peut demander qu’un renseignement personnel recueilli à son sujet, et non pas créé ou inféré à partir d’un renseignement personnel le concernant, lui soit communiqué (ou qu’il soit communiqué à une autre entreprise désignée par la personne) dans un format technologique structuré et couramment utilisé.
À ce sujet, le gouvernement a précisé que le but du droit à la portabilité est de permettre au citoyen de pouvoir récupérer les renseignements qu’il a mis dans le système de l’entreprise (et pas plus). Ainsi, l'amendement vise à empêcher que le droit à la portabilité soit utilisé de manière à obliger les entreprises à partager avec l'un de leurs concurrents des données qu'elles ont produites en utilisant leurs propres méthodes d’analyse.
Agents de renseignements personnels
De nouvelles dispositions concernant les agents de renseignements personnels ont été adoptées. Rappelons que la LPRPSP définit cette attribution comme incluant « toute personne qui, elle-même ou par l’intermédiaire d’un représentant, fait le commerce de constituer des dossiers sur autrui, de préparer et de communiquer à des tiers des rapports de crédit au sujet du caractère, de la réputation ou de la solvabilité des personnes concernées par ces dossiers » (art. 70 al. 2). Sont généralement considérés comme des agents de renseignements personnels, les entreprises qui œuvrent dans le domaine du crédit ou du recouvrement auprès de particuliers ou encore celles qui effectuent des enquêtes privées ou des vérifications d’identité au sujet de personnes physiques.
En vertu des nouvelles dispositions introduites par le projet de loi n° 64, les agents de renseignements personnels devront :
- Remplir une demande d’inscription auprès de la Commission d’accès à l’information (« CAI ») et payer les frais exigibles (art. 72);
- Fournir différentes informations au public notamment le fait qu’il détient des renseignements personnels sur autrui et, le cas échéant, des rapports de crédit, les modalités d’exercice des droits d’accès et de rectification ainsi que les coordonnées du responsable de la protection des renseignements personnels (art. 79);
- Adopter des règles de conduite afin de permettre à toute personne concernée d’avoir accès et de faire rectifier les renseignements personnels que l’agent détient (art. 78);
- Détruire les renseignements personnels après une durée de conservation de sept ans (art. 79.1).
Il est à noter que la CAI tient un registre des agents de renseignements personnels inscrits qui est accessible au public. La CAI précise toutefois que l’inscription au registre ne garantit pas la conformité des pratiques de l’entreprise à l’égard de la LPRPSP. Par ailleurs, un agent de renseignements personnels qui fait défaut de respecter les exigences prescrites par la LPRPSP s’expose à une sanction administrative pécuniaire et/ou à une amende pénale.
Partis politiques
La commission parlementaire a également adopté deux nouveaux articles à la Loi électorale. L’article 127.22 prévoit que la LPRPSP s’applique aux renseignements personnels d’électeurs détenus par un parti politique, un député indépendant ou un candidat indépendant. Ce faisant, les partis politiques devront désigner une personne responsable de la protection des renseignements personnels. Soulignons cependant que les citoyens ne pourront exercer leur droit d’accès, de rectification ou de suppression à l’égard des renseignements personnels détenus par un parti politique puisque ces dispositions ont été spécifiquement exclues du champ d’application de l’article 127.22.
En outre, l’article 127.23 indique que les partis politiques ne peuvent recueillir que les renseignements personnels d’électeurs qui leur sont nécessaires à des fins électorales, de financement politique ou aux fins d’une activité politique au sens de l’article 88 de la Loi électorale. L’article exige également que les partis politiques obtiennent le consentement des citoyens lorsqu’ils recueillent ou utilisent leurs renseignements personnels. Ce consentement peut être manifesté de façon implicite, par exemple, lorsqu’un électeur répond à une demande de pointage.
Procédure d’enquête de la CAI
La procédure permettant à la section surveillance de la CAI d’effectuer des enquêtes a également fait l’objet de quelques modifications. Dorénavant, toute personne, qu’elle soit « intéressée » ou non, pourra déposer une plainte à la CAI pour que celle-ci fasse enquête sur toute matière relative aux pratiques de protection des renseignements personnels au sein d’une entreprise. Cette plainte peut d’ailleurs être faite de façon anonyme (art. 81). Afin de mener à bien ses enquêtes, la CAI pourra exiger de la production de tout renseignement ou de tout document (art. 81.2 et 83.1). Le refus de collaborer à une enquête ou de fournir les documents requis constituera d’ailleurs une infraction pénale passible d’une amende.
En outre, une disposition interdisant à toute entreprise d’exercer des représailles (ex. rétrogradation, suspension, congédiement, déplacement ou autre mesure disciplinaire) contre une personne pour le motif qu’elle a de bonne foi déposé une plainte à la CAI ou collaborer à l’une de ses enquêtes (art. 81.1) a été introduite.
Il convient également de mentionner le nouvel article 81.3 de la LPRPSP puisqu’il reconnaît à la CAI le pouvoir d’ordonner à une personne impliquée dans un incident de confidentialité, toute mesure visant à protéger les droits des personnes concernées notamment la remise des renseignements personnels compromis à l’entreprise responsable ou encore leur destruction. Bien que l’on peut mettre en doute la capacité réelle de la CAI de forcer un cyber attaquant à remettre ou à détruire les renseignements personnels exfiltrés d’un système, il est intéressant de voir le gouvernement reconnaître à la CAI un rôle plus actif en matière de gestion aux incidents de confidentialité.
Sanctions administratives pécuniaires et infractions pénales
La commission parlementaire a adopté le controversé régime permettant à la CAI d’imposer des sanctions administratives pécuniaires (« SAP » ou « SAPs ») aux entreprises. Le montant maximal des sanctions est fixé à 50 000$ pour une personne physique et 10 000 000 $ ou 2% du chiffre d’affaires mondial pour une personne morale (art. 90.12). Les motifs en vertu desquels la CAI peut imposer une SAP sont les suivants :
- Défaut d’informer les personnes concernées conformément aux articles 7 et 8 de la LPRPSP2 ;
- Recueillir, communiquer, utiliser, conserver ou détruire des renseignements personnels en contravention avec la loi;
- Ne pas déclarer un incident de confidentialité à la CAI ou aux personnes concernées en contravention avec le nouvel article 3.5 de la LPRPSP;
- Ne pas prendre les mesures de sécurité propres à assurer la protection des renseignements personnels conformément à l’article 10;
- Ne pas informer la personne concernée du fait que ses renseignements ont été utilisés pour prendre une décision fondée exclusivement sur un traitement automatisé ou ne pas lui donner l’occasion de présenter ses observations, et ce, en contravention avec l’article 12.1 de la LPRPSP; et
- Pour un agent de renseignements personnels, contrevenir aux articles 70, 70.1, 71, 72, 78, 79 ou 79.1 de la LPRPSP.
Soulignons que l’article 90.1 de la LPRPSP prévoit que les SAPs seront imposées par une « personne désignée par la Commission, mais qui n’est pas membre de l’une de ses sections ». Le fait que le statut de la personne chargée d'administrer et d'imposer les SAPs soit ainsi laissé en suspens est inquiétant, lorsque l’on considère les sanctions importantes qui peuvent être imposées en vertu de ce nouveau régime. Ceci étant dit, cette question pourra être résolue dans le cadre général d’application de sanctions administratives pécuniaires que la CAI doit élaborer en vertu de l’article 90.2 de la LPRPSP et qui, selon les propos du gouvernement, pourrait ressembler à celui élaboré par le Ministère de l’Environnement et de la Lutte contre les changements climatiques.
En outre, la commission a adopté un amendement à l’article 90.1 afin d’introduire un mécanisme permettant à une entreprise de reconnaître son manquement et de s’engager, auprès de la CAI, à prendre les mesures nécessaires afin d’y remédier ou en atténuer les conséquences. Lorsqu’un tel engagement est accepté par la CAI, l’entreprise ne peut pas faire l’objet d’une SAP pour ce qui est des actes ou des omissions visées par l’engagement (art. 90.1 al. 2 et 3).
À ce sujet, il est pertinent de souligner que le gouvernement a insisté à plusieurs reprises sur le fait que le régime des sanctions administratives pécuniaires a pour objectif d’assurer la conformité des entreprises aux exigences de la loi. Ainsi, contrairement aux amendes pouvant être imposées pour une infraction pénale, les sanctions administratives pécuniaires n’ont pas de vocation punitive. Le gouvernement a également précisé qu’une entreprise qui a fait l’objet d’une SAP et qui continue de contrevenir à la loi pourrait par la suite être sanctionnée par une amende en vertu du régime pénal. En d’autres termes, les deux régimes ne sont pas mutuellement exclusifs.
La commission parlementaire a également adopté les modifications apportées par le projet de loi n° 64 aux dispositions pénales de la LPRPSP. Ainsi, les infractions énoncées à l’article 91 englobent les motifs permettant l’imposition d’une SAP auxquels s’ajoutent les suivants :
- Contrevenir à l’interdiction formulée par l’article 8.4 de la LPRPSP (introduit par l’article 108 Loi sur les agents d’évaluation du crédit) d’obtenir la communication de renseignements personnels qui font l’objet d’un gel de sécurité;
- Procéder ou tenter de procéder à l’identification d’une personne physique à partir de renseignements dépersonnalisés sans l’autorisation de la personne les détenant ou à partir de renseignements anonymisés;
- Entraver le déroulement d’une enquête ou d’une inspection de la CAI ou l’instruction d’une demande par celle-ci notamment en lui communiquant des renseignements faux ou inexacts ou en omettant de lui communiquer des renseignements qu’elle requiert;
- Exercer des représailles en contravention avec l’article 81.1 de la LPRPSP;
- Refuser ou négliger de se conformer, dans le délai fixé, à une demande de production de document transmise par la CAI en vertu de l’article 81.2 de la LPRPSP; ou
- Contrevenir à une ordonnance de la CAI.
Le montant maximal de l’amende pouvant être imposée pour une infraction pénale est de 100 000$ pour une personne physique et de 25 000 000 $ ou 4% du chiffre d’affaires mondial pour une personne morale (art. 91). D’ailleurs, le montant maximal pour une personne physique a été amendé afin de passer de 50 000 $ à 100 000 $ pour distinguer le régime pénal du régime administratif et refléter son caractère dissuasif.
Le délai de prescription pour les SAPs est de 2 ans à compter de la date du manquement à la loi alors qu’il est de 5 ans pour les infractions pénales. Une SAP peut être contestée devant la Cour du Québec (art. 90.9) alors qu’une sanction pénale, comme elle est prononcée par un juge de la Cour du Québec, bénéficie d’un droit d’appel devant la Cour supérieure (art. 270 Code de procédure pénale).
Droit privé d’action
La commission a également adopté un amendement visant à remplacer l’article 93.1, proposé par l’article 152 du projet de loi, par le suivant :
93.1. Lorsqu’une atteinte illicite à un droit conféré par la présente loi ou par les articles 35 à 40 du Code civil cause un préjudice et que cette atteinte est intentionnelle ou résulte d’une faute lourde, le tribunal accorde des dommages-intérêts punitifs d’au moins 1000 $.
Les commentaires du ministre indiquent que l’amendement vise à faire en sorte que le recours prévu à cet article soit soumis aux règles générales de la responsabilité civile. Or, cet article se limite désormais uniquement à reconnaître le pouvoir du tribunal de sanctionner une atteinte illicite à un droit conféré par la loi ou par les articles 35 à 40 du Code civil par des dommages-intérêts punitifs lorsque cette atteinte est intentionnelle ou résulte d’une faute lourde. La notion de droit privé d’action, c’est-à-dire la possibilité pour un individu de poursuivre une entreprise en responsabilité civile pour la réparation d’un préjudice causé par un manquement à la LPRPSP, semble avoir été écartée. Toutefois, considérant l’absence d’intention claire du législateur à ce sujet, il convient d’attendre des éclaircissements lors du débat d’adoption finale ou encore de la part de la CAI avant de sauter aux conclusions.
Prochaines étapes
Il ne reste donc plus que deux étapes au cheminement législatif du projet de loi n° 64 à l’Assemblée nationale, soit la prise en considération du rapport de commission et le débat d’adoption finale. Ces deux séances permettront aux membres de la commission de présenter à leurs collègues députés les modifications qui ont été apportées au projet de loi au cours de son étude détaillée. Il est toutefois peu probable que d’autres modifications soient apportées au projet de loi n° 64 d’ici son adoption finale. Étant donné que la reprise officielle des travaux parlementaires s’effectue le 14 septembre, on peut raisonnablement envisager que le projet de loi n° 64 soit adopté d’ici la fin du mois d’octobre 2021.
Entrée en vigueur
La commission parlementaire a adopté un amendement à l’article 165 du projet de loi n° 64 afin de prévoir l’entrée en vigueur de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels en plusieurs phases. Ainsi, la plupart des nouvelles dispositions introduites à la LPRPSP entreront en vigueur deux ans suivant la date de la sanction de la loi, sauf certaines dispositions spécifiques qui entreront en vigueur un an après la sanction de la loi, dont notamment :
- L’obligation de désigner un responsable de la protection des renseignements personnels (art. 3.1);
- L’obligation de signalement des incidents de confidentialité (art. 3.5 à 3.8);
- L’exception à la communication de renseignements personnels dans le cadre d’une transaction commerciale (art. 18.4); et
- L’exception à la communication de renseignements personnels pour des fins d’études ou de recherche (art. 21 à 21.0.2).
En outre, le délai d’entrée en vigueur du droit à la portabilité des renseignements personnels (art. 27) a été maintenu à trois ans suivant la sanction de la loi.
Conclusion
Force est de constater que les travaux de la Commission des institutions, qui se sont échelonnés sur 19 séances réparties sur plus de 6 mois, auront permis d’apporter des améliorations importantes à la version initiale du projet de loi n° 64. En effet, il ne fait aucun doute qu’en adoptant cette réforme, le Québec fait un important pas en avant afin d’assurer une meilleure protection des renseignements personnels des citoyens dans le contexte de l’économie numérique.
Il est toutefois regrettable que les parlementaires n’aient pas été plus sensibles à l’égard des recommandations formulées par divers intervenants du milieu des affaires. Plusieurs des nouvelles exigences introduites à la LPRPSP risquent d’être difficiles à mettre en œuvre pour les entreprises. Nous faisons notamment référence à l’obligation d’informer les personnes concernées du nom des tiers (incluant les fournisseurs de services) à qui l’entreprise peut communiquer les renseignements personnels, à l’obligation de désactiver « par défaut » les technologies permettant d’identifier, de localiser ou d’effectuer le profilage d’une personne ainsi qu’à l’obligation de voir à ce que les paramètres de confidentialité d’un produit ou d’un service assurent, par défaut, le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.
Enfin, la CAI aura un important rôle à jouer d’ici l’entrée en vigueur des nouvelles dispositions puisque le projet de loi n° 64 lui confère la responsabilité d’élaborer des lignes directrices afin de faciliter l’application de la loi (article 123(9) de la Loi sur l’accès) ainsi qu’un cadre général d’application des sanctions administratives pécuniaires (art. 90.2).
Restez à l’affût, nous publierons prochainement un guide complet afin d’éclairer les entreprises sur la marche à suivre pour se conformer aux nouvelles exigences prescrites par le projet de loi n° 64. D’ici là, n’hésitez pas à contacter l’équipe Respect de la vie privée et protection des renseignements personnels de BLG pour toute question au sujet des récents développements en matière de protection des renseignements personnels au Québec.
1 Voir la page 11 du Mémoire au Conseil des ministres.
2 Ces articles prévoient que l’entreprise doit informer la personne concernée, lorsqu’elle procède à une collecte de renseignements personnels, des fins pour lesquelles les renseignements sont recueillis, des moyens par lesquels les renseignements sont recueillis, des droits d’accès et de rectification prévus par la loi, du droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis. Le cas échéant l’entreprise doit également informer la personne du nom du tiers pour qui la collecte est faire, du nom des tiers à qui il lui est nécessaire de communiquer les renseignements et de la possibilité que les renseignements soient communiqués à l’extérieur du Québec. À la demande de la personne concernée, l’entreprise doit également lui indiquer les renseignements personnels précis qui sont recueillis, les catégories de personnes qui ont accès à ces renseignements au sein de l’entreprise, la durée de conservation de ces renseignements, la source des renseignements lorsqu’ils ont été recueillis auprès d’un tiers ainsi que les coordonnées du responsable de la protection des renseignements personnels.
