Le Québec aux avant-postes en matière de protection des données personnelles

Jean-Benoît Nadeau
Collaboration spéciale
La protection des données ne concerne plus seulement les grandes entreprises. Une chocolaterie qui a sa recette sur un ordinateur ou un cabinet de psychologues qui tient les dossiers de ses clients sur ordinateur ont, eux aussi, un enjeu de cybersécurité.
Photo: Sigmund/Unsplash La protection des données ne concerne plus seulement les grandes entreprises. Une chocolaterie qui a sa recette sur un ordinateur ou un cabinet de psychologues qui tient les dossiers de ses clients sur ordinateur ont, eux aussi, un enjeu de cybersécurité.

Ce texte fait partie du cahier spécial Le droit au Québec

Deux événements presque simultanés ont forcé l’irruption de la technologie numérique dans la pratique générale du droit. La pandémie, en donnant un coup d’accélérateur au télétravail, a décuplé les enjeux de cybersécurité et de gouvernance technologique des entreprises. Dès juin 2020, le gouvernement du Québec a entrepris de moderniser ses lois de protection des renseignements personnels. Depuis septembre 2021, les entreprises québécoises évoluent dans un cadre sensiblement plus sévère.

Selena Lu, associée au cabinet Lavery, n’hésite pas à raconter ce qu’elle appelle sa « conversion covidienne ». « Je ne suis pas une fille de techno, je suis une fille de fusions et acquisitions, du droit classique des affaires, et j’ai dû apprendre très vite, en pleine pandémie. Tout a changé presque d’un coup : la manière de considérer les contrats, notamment quant aux garanties, la manière de faire une vérification diligente, en plus d’imposer une gouvernance technologique. »

« Les avocats ont désormais l’obligation d’avoir des connaissances minimales en langage informatique », note Vincent Gautrais, professeur et titulaire de la Chaire de l’Université de Montréal en droit de la sécurité et des affaires électroniques. « Beaucoup d’entreprises ne sont pas à jour, et tous nos étudiants sont happés par la pratique privée. »

Les changements soudains depuis deux ans ne sont pas un coup de tonnerre dans un ciel bleu, mais les questions de technologies numériques sont longtemps restées cantonnées dans des sphères plutôt spécialisées du droit. « J’avais été très à la mode à la fin des années 1990 quand je venais de terminer ma thèse doctorale sur le contrat numérique, juste avant l’éclatement de la bulle techno en 2000, se rappelle Vincent Gautrais. La folie est repartie en 2015 avec l’intelligence artificielle. »

« Jusqu’à tout récemment, la gouvernance technologique était perçue comme une problématique de grandes entreprises, mais les PME et même les OBNL ont aussi pris conscience qu’ils doivent y réfléchir », ajoute Selena Lu. Elle explique qu’une chocolaterie qui a sa recette sur un ordinateur ou un cabinet de psychologues qui tient les dossiers de ses clients sur ordinateur ont, eux aussi, un enjeu de cybersécurité.

Le Québec pionnier

 

Il est fort probable que les avocats québécois à qui ces questions sont familières seront très demandés partout sur le continent. Le Québec a en effet pris une grosse avance sur toutes les provinces canadiennes, et même sur le gouvernement fédéral avec sa nouvelle « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels ».

Aussi appelée loi 25 ou projet de loi 64, cette nouvelle loi, sanctionnée par l’Assemblée nationale le 22 septembre 2021 après 15 mois de travaux, introduit une série de nouvelles obligations. Par exemple, le conseil d’administration d’une entreprise québécoise devra nommer un responsable des renseignements personnels. Une entreprise coupable d’avoir manqué à ses obligations devra acquitter des amendes allant de 15 000 dollars à 25 millions de dollars, et jusqu’à 4 % de son chiffre d’affaires mondial — et le double en cas de récidive.

« Avec cette loi, le Québec s’est rapproché du système européen et son Règlement général sur la protection des données [RGPD] », note Selena Lu. Elle cite notamment l’introduction du concept de droit à l’oubli, qui permettra à une personne d’exiger le retrait de certaines informations et de certains hyperliens.

La loi 25 doit entrer en vigueur en septembre 2023, ce qui ne laisse aux entreprises que 18 mois pour s’adapter. « Ce qui sera déterminant, ce sont les ressources que l’on donnera à la Commission d’accès à l’information). C’est bien beau, les fortes pénalités. Mais si la Commission n’a pas les ressources et le personnel pour suivre, ça n’aboutira à rien. Ça va prendre de la capacité de sanction », ajoute l’associée.

La cybersécurité est partout

 

On associe la cybersécurité aux attaques spectaculaires de rançonnage et de sabotage. En réalité, à une époque où même une cafetière peut être wifi, les entreprises ont tellement d’accès électroniques que n’importe quel pirate armé d’un clavier peut simplement s’installer, espionner et voler les renseignements qui l’intéressent.

Selena Lu voit désormais des enjeux de cybersécurité et de gouvernance technologique presque partout. « Je représente un OBNL qui reçoit des dons, et donc des informations financières sur les donateurs. L’organisme fonctionne avec des bénévoles, qui ont accès aux comptes à partir de n’importe quel portail, jusque dans des cafés, il n’y a pas de liste des bénévoles, des codes d’accès, des mots de passe. Vous vous rendez compte des risques ? »

« Cela remet en question ce que l’on entend par “force majeure” », explique-t-elle. En principe, une entreprise peut se soustraire à ses obligations contractuelles en invoquant un cas de force majeure, c’est-à-dire un événement imprévisible et irrésistible. « Mais justement, dans le contexte où 20 % des entreprises sont victimes d’une cyberattaque chaque année, on ne peut plus plaider qu’on ne le savait pas, que c’était imprévisible », termine-t-elle.

À voir en vidéo