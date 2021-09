Le projet de loi 64 sur la protection des renseignements personnels adopté cette semaine par l’Assemblée nationale devrait agir comme un électrochoc pour les entreprises québécoises et étrangères qui collectent de telles données en sol québécois. Québec leur donne deux ans pour s’assurer que leur gestion est impeccable, sinon les pénalités auxquelles elles s’exposent risquent de faire mal.

Les montants à défrayer par les entreprises jugées coupables d’avoir mal protégé les renseignements personnels de leurs clients ou leurs employés s’accumuleront rapidement. Le projet de loi établit une pénalité minimale de 1000 $ par individu affecté dans le cas d’une poursuite au civil, et y ajoute une pénalité pouvant atteindre 25 millions $ ou l’équivalent à 4 % de leur chiffre d’affaires annuel mondial – selon ce qui sera le montant le plus élevé. Cette dernière pénalité doublera si l’entreprise récidive. La pénalité maximale jusque-là était de 20 000 $.

« C’est une loi qui a du mordant », assure Me Caroline Deschênes, associée au sein du cabinet d’avocats Langlois. Me Langlois a suivi l’évolution du projet de loi depuis ses débuts. « Je ne connais pas de précédent pour une telle pénalité minimale. Le Québec était déjà accueillant pour les actions collectives et cette loi le rend encore plus attrayant. »

Le fardeau aux entreprises

En plus des entreprises et organisations québécoises, les entreprises étrangères qui font des affaires au Québec seront assujetties à la nouvelle loi, assure le ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels à Québec, Éric Caire.

Cela signifie par exemple que si une nouvelle fuite de données au sein d’une entreprise étrangère comme celle survenue en 2019 du côté de la banque américaine Capital One se produisait à nouveau, la nouvelle loi québécoise pourrait ainsi s’appliquer. La même chose vaut pour des cas comme celui de la firme américaine Clearview AI, qui n’a pas de présence officielle au Québec, mais qui a subi une fuite de données en 2020 qui comportait les renseignements personnels de Québécois (es).

Les plus petites entreprises pourraient trouver un peu lourde cette responsabilité accrue, admet le ministre. Parmi les faits saillants de la nouvelle loi se trouve l’obligation pour elles ainsi que pour les organisations publiques qui effectuent la collecte de renseignements personnels de nommer un(e) responsable de la protection de ces renseignements. Ce rôle peut être délégué à l’externe mais sinon, c’est le plus haut dirigeant qui en hérite par défaut.

« En effet, la responsabilité et l’imputabilité des entreprises est grandement augmentée, mais c’est souhaitable », dit au Devoir Éric Caire. « Imaginez une banque qui désire ouvrir mais qui n’a pas les moyens d’acheter un coffre-fort. Le numérique offre beaucoup de potentiel mais vient avec ses défis et la sécurité des données en est un. »

Le projet de loi 64 reste par ailleurs flou sur le transfert à l’extérieur du Québec par une entreprise des renseignements personnels qu’elle détient sur ses clients québécois. Elle autorise le transfert là où le cadre législatif est « adéquat » mais ne cite pas d’exemple. C’est un compromis, admet Éric Caire, pour éviter que la loi soit trop contraignante. « Il aurait fallu limiter les transferts vers des pays d’Europe seulement », dit-il. La formulation finale facilitera le transfert de données vers des sites aux États-Unis, par exemple, à condition que le contrat de service pour héberger ces données à l’étranger contienne des clauses conformant ce contrat à la loi québécoise.

M. Caire promet pour bientôt un exemple de contrat-type pour faciliter la tâche des entreprises concernées.

La distinction québécoise

La loi québécoise est grandement inspirée par le RGPD adopté en 2016 par l’Union européenne. Elle inclut la possibilité pour une personne de pouvoir consulter ou même d’exiger l’effacement d’une information détenue à son sujet par entreprise si sa collecte n’a pas été autorisée ou si les besoins pour lesquelles elle a été demandée ont été comblés. Ce droit à l’effacement s’ajoute à l’obligation pour les entreprises de détruire ou de rendre anonymes les données personnelles qu’elles possèdent une fois qu’elles ont joué leur rôle dans le service offert.

Les entreprises sont aussi obligées de déclarer immédiatement auprès de la Commission d’accès à l’information (CAI) et des personnes touchées une éventuelle fuite des données qu’elle possède. Le Québec et la Colombie-Britannique étaient jusqu’ici les deux seuls territoires en Amérique du Nord à ne pas obliger un tel mécanisme.

Le Québec se démarque toutefois de l’Europe en continuant d’insister sur le consentement explicite des individus pour pouvoir collecter des renseignements à leur sujet, même dans le cas où ces individus sont employés de l’entreprise. Le projet de loi 64 introduit tout de même certains assouplissements. Par exemple, dans le cas de certaines transactions, par exemple dans le cas où un client décidait de faire affaires à nouveau avec l’entreprise, ou si celle-ci faisait l’objet d’une acquisition par une autre entreprise, le consentement de l’individu serait alors pris pour acquis.

Enfin, ce sera à la Commission d’accès à l’information d’assurer le suivi des nouvelles dispositions. Québec promet que celle-ci se verra équipée de moyens accrus qui lui permettront de remplir adéquatement cette tâche.