Le « marketing de l’amende » pour mater les GAFAM ? L’entrée en vigueur progressive de la Loi sur la protection des renseignements personnels franchira un nouveau seuil en septembre prochain. Un expert invite Québec à ne pas lésiner sur les moyens à prendre avec les géants étrangers du numérique qui seraient tentés de tester sa volonté à faire appliquer la nouvelle loi.

La loi 25 comprend plusieurs obligations de transparence, de consentement et de divulgation que devront respecter les entreprises qui collectent des données numériques auprès des Québécoises et des Québécois. Ces dispositions ressemblent beaucoup au Règlement général sur la protection des données (RGPD) européen.

Ses sanctions sont presque aussi sévères : violer le RGPD peut entraîner une pénalité pécuniaire pour une entreprise fautive de 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires mondial. Ne pas respecter la loi 25 quand elle sera en vigueur pourra coûter jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial, si ce dernier est plus élevé.

Or, s’il sera relativement facile pour le gouvernement québécois de faire respecter sa loi auprès des entreprises québécoises, dompter les géants technologiques étrangers pourrait être plus difficile, constate Romain Gauthier, cofondateur et p.-d.g. de la société française Didomi, qui accompagne les entreprises dans leur gestion des données numériques.

« C’est une vraie leçon du RGPD : les entreprises qui vont payer le plus ne sont pas celles qu’il faudrait viser, à savoir les géants américains qui brassent d’importants volumes de données personnelles, et qui posent le plus grand risque aux personnes concernées », dit-il en entrevue avec Le Devoir.

Faire sa loi

L’amende de 1,2 milliard d’euros imposée à la fin mai à Meta par l’Irlande illustre les propos de Romain Gauthier. Ce jugement survient cinq ans après l’entrée en vigueur du RGPD, et Meta pourra en appeler. « Entre le moment où la Loi entre en vigueur et où se forme la jurisprudence, il peut se passer plusieurs années », dit-il.

En Europe, on peine à convaincre les entreprises étrangères de prendre un plus grand soin des données personnelles. Le Québec devra être ferme, d’autant plus que la Commission d’accès à l’information, qui a le mandat de faire respecter la Loi, pourrait manquer de ressources.

« Il y aura peut-être un “marketing de l’amende” à considérer », poursuit Romain Gauthier. « Il faudra frapper fort et frapper tôt. Les géants américains ont des budgets pour régler les litiges locaux, allonger quelques centaines de milliers de dollars seulement ne leur ferait pas peur. »

Québec jouit également de l’aspect réputationnel, ajoute l’expert. Les entreprises ont beaucoup à perdre là aussi : le public et les investisseurs étrangers sont très sensibles aux enjeux de respect de la vie privée.

Là encore, le gouvernement devra user de stratégie, sinon, les géants étrangers du numérique pourraient tout simplement ignorer la Loi. Un autre exemple issu de l’actualité est celui d’Airbnb, qui rechigne à respecter des exigences imposées par la ministre provinciale du Tourisme, Caroline Proulx, pour mettre fin à l’hébergement touristique illégal.

Dernière minute

Les nouvelles dispositions qui devront être mises en place d’ici septembre prochain par les entreprises faisant des affaires au Québec vont être immédiatement perceptibles par le public. La plus notoire est celle qui exigera désormais de recueillir un « consentement distinct » pour chacune des collectes de données effectuées, et qu’elles soient expliquées dans « des termes simples et clairs ».

Romain Gauthier s’attend à voir les entreprises réagir à la dernière minute. Il avertit les dirigeants, qui pensent pouvoir continuer à opérer comme avant, que le changement est plus gros qu’il en a l’air. « On essaie de déconstruire quelque chose qui est déjà en place et qui a mené à des modèles d’affaires très rémunérateurs. Il y a des métiers du numérique qui vont changer, ça risque de faire peur. Il faudra un leadership fort sur les valeurs de l’entreprise relatives au respect de la vie privée des clients. »

Si le Québec fait office de pionnier nord-américain en matière de resserrement des règles liées à la protection de la vie privée, ce n’est peut-être qu’un début. Les entreprises qui s’ajusteront plus tôt seront prêtes quand d’autres provinces ou d’autres États sur le continent décideront d’emboîter le pas, conclut l’expert.