Données personnelles: la négligence sera sévèrement punie

La fuite massive de données chez Desjardins en juin a accéléré l’élaboration du projet de loi, mais celui-ci ne sera pas déposé avant la relâche de décembre.
Photo: Valérian Mazataud Le Devoir La fuite massive de données chez Desjardins en juin a accéléré l’élaboration du projet de loi, mais celui-ci ne sera pas déposé avant la relâche de décembre.

La ministre de la Justice, Sonia LeBel, envisage l’imposition d’amendes salées aux entreprises qui échoueraient à protéger les données de leurs clients, a confirmé son attachée de presse vendredi. Ces amendes pourraient prendre la forme d’un pourcentage de leur chiffre d’affaires pour réellement avoir un effet incitatif. Les géants du Web comme Google, Amazon et Facebook n’échapperaient pas à cette nouvelle législation qui les forcerait à être plus transparents pour leur collecte de données.

Mme LeBel travaille depuis quelques mois à l’élaboration d’un projet de loi afin de mieux protéger les renseignements personnels des Québécois. Elle songe à acquiescer à la demande de la Commission d’accès à l’information (CAI) qui demande davantage de pouvoirs, comme celui d’imposer des pénalités. Cette responsabilité relève présentement du Directeur des poursuites criminelles et pénales (DPCP). Les commissaires qui veillent à la protection des données personnelles d’un bout à l’autre du pays ont exhorté les gouvernements provinciaux et fédéral le 6 novembre à moderniser leurs législations. La CAI exigeait alors une réforme en profondeur.

« Au Québec, la loi applicable aux organismes publics a été adoptée il y a 37 ans et cette année marque le 25e anniversaire de l’adoption de la loi applicable aux entreprises privées », avait souligné la vice-présidente de la CAI, Me Diane Poitras.

La fuite massive de données chez Desjardins en juin a accéléré l’élaboration du projet de loi, mais celui-ci ne sera pas déposé avant la relâche de décembre. Un employé de l’institution financière, spécialiste des données, avait réussi à déjouer le système de protection des données et à subtiliser les renseignements de 4,2 millions de membres particuliers.

Le président et chef de la direction, Guy Cormier, a dû s’expliquer en commission parlementaire jeudi, mais il ne s’est pas prononcé sur d’éventuelles pénalités plus sévères puisque la question ne lui a pas été posée. Elle a toutefois été soulevée lors du témoignage de l’Autorité des marchés financiers (AMF). La députée libérale Marwah Rizqy a rappelé que des entreprises victimes de fuites de données comme Marriott, British Airways et Facebook ont dû payer des dizaines de millions et parfois des centaines de millions de dollars d’amendes, alors que les pénalités au Québec peuvent varier entre 10 000 $ et 100 000 $. Le député péquiste Sylvain Gaudreault a noté que d’autres pays ont des « pénalités proportionnelles selon la durée de conservation des données ». Par exemple, une entreprise qui garde durant des années les renseignements personnels dont elle n’a plus besoin peut ainsi faire face à une pénalité encore plus grande. « Je pense que le volet dissuasif, qui vient avec une pénalité sévère, est certainement un outil pour encourager les entreprises et les organisations à se comporter de la meilleure façon », a indiqué le président-directeur général de l’Autorité des marchés financiers, Louis Morisset.

Il reste un angle mort, selon le co-porte-parole de Québec solidaire, Gabriel Nadeau-Dubois. Le projet de loi à venir de Sonia LeBel semble peu se préoccuper d’aider ceux qui vivent les répercussions négatives d’une fuite de données. « Comment on accompagne, comment on outille les gens qui sont victimes de vol d’identité, a-t-il demandé au lendemain de la commission. En ce moment, on n’a aucune réponse à cette question-là. »