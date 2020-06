La ministre de la Justice, Sonia LeBel, veut forcer les entreprises à désigner un « responsable de la protection des renseignements personnels » au sein de leur équipe.

Cet employé sera notamment chargé d’élaborer et de publier « l’encadrement applicable à la conservation et à la destruction » des renseignements personnels, ainsi qu’« un processus de traitement des plaintes ». Il devra aussi transmettre aux particuliers qui en font la demande les renseignements personnels amassés sur eux, et ce, « sous la forme d’une transcription écrite et intelligible », peut-on lire dans le projet de loi 64.

Mme LeBel l’a déposé devant l’Assemblée nationale vendredi, soit un an après de la fuite de données personnelles de millions de membres de Desjardins.

Le projet de loi 64 enjoint aux entreprises de « détruire » ou à tout le moins d’« anonymiser », un renseignement personnel « lorsque les fins auxquelles [il] a été recueilli ou utilisé sont accomplies » sauf s’il est visé par un délai de conservation prévu par une loi.

Le document de 60 pages précise le droit d’un individu d’exiger la fin de la « diffusion » d’un renseignement personnel qui le concerne sur le Web notamment, « ou que soit désindexé tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique, lorsque la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire ».

Par ailleurs, le projet de loi 64 encadre à la fois la « collecte » et l’« utilisation » de renseignements personnels obtenus au moyen d’« une technologie comprenant des fonctions d’identification, de localisation ou de profilage de la personne concernée ». La ministre LeBel s’inquiète des « décision [s] fondée [s] exclusivement sur un traitement automatisé » de ces informations.

En cas d’incident

Le projet de loi de la ministre LeBel introduit des règles concernant le traitement, par les organisations publiques et privées, des « incidents » affectant la confidentialité des renseignements personnels c’est-à-dire l’« accès », l’« utilisation », la « communication » d’un renseignement personnel non autorisée par la loi ou encore la « perte » ou « toute autre atteinte à la protection » d’un renseignement personnel. « Si l’incident présente un risque qu’un préjudice sérieux soit causé, elle doit, avec diligence, aviser la Commission d’accès à l’information [ainsi que] toute personne dont un renseignement personnel est concerné par l’incident ». Cela dit, « une personne dont un renseignement personnel est concerné par l’incident n’a pas à être avisée tant que cela serait susceptible d’entraver une enquête », prévoit le projet de loi.

Toute entreprise devra consigner chacun des incidents de confidentialité dans un registre accessible par la Commission d’accès à l’information.

Enfin, Mme LeBel compte aussi, par le biais de son projet de loi 64, rehausser les sanctions administratives pécuniaires à toute personne qui « recueille, communique, utilise ou détruit des renseignements personnels » ou « ne déclare pas à la Commission ou aux personnes concernées, lorsqu’il y est tenu, un incident de confidentialité ».