Le 12 juin 2020, Québec a déposé son Projet de loi 64, modernisant des dispositions législatives en matière de protection des renseignements personnels dans les secteurs public et privé. Québec tient donc sa promesse d’une loi du style RGPD européen, annoncée au printemps dernier. Un certain nombre d'éléments font écho d'autres lois fédérales et provinciales canadiennes, en matière de protection des renseignements personnels (RP), mais il n’en demeure pas moins que le projet de loi a une très forte influence européenne.
Le projet de loi déposé met à jour une vingtaine de lois provinciales, dont principalement la Loi sur la protection des renseignements personnels dans le secteur privé, ainsi que la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Cependant, l'accent sera mis ici sur les modifications proposées à la loi applicable au secteur privé.
Le Québec a été l'une des premières juridictions en Amérique du Nord à introduire une loi sur la protection des RP (PRP) dans le secteur privé, en 1993, mais cette dernière a très peu évolué depuis, avec des défis périodiques provenant de l'Europe quant à son adéquation. Ce projet de loi représente une mise à jour importante et pourrait amorcer le début d’une conversation nationale sur la PRP, car le gouvernement fédéral a également promis des changements importants aux lois touchant la PRP, tant pour le secteur privé que public.
Malgré nos relations fédérales-provinciales compétitives, il serait souhaitable d’établir une collaboration visant à garantir que l'un des principaux objectifs du RGPD européen (la libre circulation des données au sein de l'Union européenne) se reflète dans notre propre marché commun canadien.
Les sections suivantes présentent certains des éléments de type RGPD européen proposés dans le projet de loi 64:
Gouvernance: Au sein de l’entreprise, la personne ayant la plus haute autorité exerce la fonction de responsable de la PRP (RPRP). Cette fonction peut être déléguée par écrit à un membre du personnel (a.3.1). Ceci est l’équivalent du DPO dans le RGPD européen. L’entreprise doit également mettre en place des politiques et plusieurs pratiques visant la PRP (a.3.2). La Commission d’accès à l’information (CAI) peut exiger en tout temps une démonstration de conformité à la présente loi et ses règlements (a.81.2).
Sanctions: La CAI peut, lorsqu’un incident de confidentialité est porté à son attention, ordonner toute mesure visant à protéger les droits des personnes concernées, y compris la remise des RP ou leur destruction (a.81.3).
De plus, la CAI peut maintenant émettre des avis de non-conformité (a.90.3) et imposer des sanctions administratives pécuniaires en cas de 1) défaut d’informer les personnes concernées de l’objet du dossier, de l’utilisation qui sera faite des RP, des catégories de personnes qui y auront accès, de l’endroit et de la durée de conservation de ses RP ainsi que des droits d’accès ou de rectification; 2) collecte ou d’utilisation de RP en contravention avec les dispositions de la présente loi; 3) non déclaration d’un incident de confidentialité à la CAI ou aux personnes concernées; 4) défaut d’informer la personne concernée qu’une décision fondée exclusivement sur un traitement automatisé à été prise à son sujet (a.90.1).
Ces sanctions administratives peuvent atteindre 50 000$ pour une personne physique et 10 000 000$ pour une organisation ou 2 % du chiffre d’affaires mondial de l’exercice financier précédent, si ce dernier montant est plus élevé (a.90.12).
Quant aux sanctions pénales, elles peuvent être imposées dans plusieurs autres cas, et atteindre 50 000 $ dans le cas d’une personne physique et 25 000 000 $ pour une organisation ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent, si ce dernier montant est plus élevé (a.91).
Fondement juridique pour le traitement des données: Une entreprise qui recueille des RP doit avoir un intérêt légitime et sérieux et doit déterminer les fins de cette collecte au préalable (a.4) et seuls les RP nécessaires à ces fins peuvent être collectés (a.5). Quand au traitement des RP sans consentement, il est autorisé aux fins de l'exécution d'un contrat (a.18.3).
Les RP concernant un mineur de moins de 14 ans ne peuvent être recueillis sans le consentement du titulaire de l'autorité parentale, sauf si manifestement pour le bénéfice du mineur.
Sous-traitants: un équivalent de l'article 28 du RGPD européen se trouve à l'art. 18.3 (2), qui prévoit des exigences contractuelles pour assurer la confidentialité et la protection des RP, ainsi que des limites à leur utilisation et leur conservation. Le sous-traitant doit également aviser le RPRP de tout d’incident de confidentialité et lui permettre d’effectuer toute vérification pertinente.
Évaluation des facteurs relatifs à la vie privée: Ceci est l’équivalent de l’article 35 du RGPD européen (Privacy Impact Assessment). Plusieurs exigences en matière d’évaluation des facteurs relatifs à la vie privée sont envisagées dans les modifications. Par exemple, lors d’introduction d’une technologie pour tout système d'information ou de prestation de services électroniques (a.3.3). De plus, le RPRP doit être consulté dès le début du projet et peut intervenir à tout moment pour suggérer des mesures de PRP.
Le plus haut niveau de confidentialité doit être assuré par défaut (privacy by default), sans aucune intervention de la personne concernée (a.9.1).
Communication de RP à l’extérieur du Québec: Une évaluation des facteurs relatifs à la vie privée est obligatoire si les RP doivent être communiqués à l'extérieur du Québec, ou s’ils y sont recueillis, utilisés, communiqués ou conservés pour le compte de l’entreprise. L’évaluation doit tenir compte de la sensibilité des RP, la finalité de leur utilisation, les mesures de protection en place et, particulièrement, le cadre juridique applicable à la juridiction visée (a.17). L équivalence doit être établie dans cette évaluation afin de permettre le transfert de RP et doit reposer sur un contrat écrit qui traite des résultats de l'évaluation et des mesures en place visant à assurer la PRP. Fait intéressant, le gouvernement produira une liste des États considérées équivalent au Québec, en matière de législation sur la PRP (a. 17.1).
Droits individuels: Plusieurs droits sont énoncés, y compris le droit d’être informé dans un langage simple et clair, quel que soit le moyen utilisé, le droit d’accès, de rectification, et de retrait de consentement (a.8). Un avis doit également être fourni s’il est possible que les RP soient communiqués à l'extérieur du Québec.
Quiconque recueille des RP auprès d'une autre l'entreprise doit, à la demande de l'intéressé, informer ce dernier de la source des informations (a.7). Les autres droits incluent la portabilité des données, dans un format technologique structuré et couramment utilisé (a.3.3), ainsi que l'obligation, dans le cas de prospection commerciale ou philanthropique, de s’identifier et d’informer la personne de son droit de retirer son consentement à ce que ses RP soient utilisés à ces fins (a.22).
L’entreprise à l'obligation, à la demande de la personne concernée, de fournir une copie de tous les RP qu’elle détient à son sujet, dans un format technologique structuré et couramment utilisé (a.27). Le RPRP doit répondre par écrit à la demande d’accès ou de rectification dans les 30 jour (a.32).
Droit à l'oubli: Outre les droits prévus à l’article 40 du Code Civil, l’entreprise à l’obligation, dans certaines circonstance et à la demande de la personne concernée, de cesser la diffusion de RP la concernant ou de désindexer tout hyperlien rattaché à son nom (a.28.1). En général, pour que cette obligation s’applique, le préjudice subit par la personne doit présenter une atteinte grave à la réputation et doit être supérieur à l'intérêt du public de connaître ce renseignement, ou à l’intérêt de toute personne de s’exprimer librement. Plusieurs conditions sont énoncées pour effectuer cette évaluation.
Profilage: Toute entreprise qui utilise une technologie visant à identifier, localiser ou effectuer un profilage d’une personne doit, au préalable, l’informer et permettre à cette dernière de désactiver cette fonction (a.8.1). Le profilage est défini comme la collecte et l’utilisation de RP afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.
De plus, les entreprise qui utilisent un traitement automatisé pour prendre des décision concernant une personne doivent aviser cette dernière au préalable, en lui permettant également de demander qu’une personne physique de l’entreprise puisse réviser la décision rendue (a.12.1).
Les sections suivantes présentent certains des éléments proposés dans le projet de loi 64 que l’on retrouve déjà dans certaines lois canadiennes:
Incident de confidentialité et obligation d’aviser: Les exigences proposé concernant les incidents de confidentialité, l’obligation d’aviser et de maintenir un registre ainsi que l’implication du RPRP se rapprochent grandement de celles ajoutées à la Loi canadienne sur la protection des renseignements personnels et les documents électroniques en 2018.
Une entreprise qui croit avoir été exposée à un incident de confidentialité qui présente un risque qu’un préjudice sérieux soit causé, doit aviser, avec diligence, la CAI, toute personne dont un renseignement personnel est concerné, ainsi que toute personne ou organisme susceptible de diminuer ce risque (a.3.5). L’expression “préjudice sérieux” semble ici s’apparenter à l’expression “risque réel de préjudice grave (RRPG)” que l’on retrouve dans la loi fédérale en matière de déclaration obligatoire des atteintes aux mesures de sécurité (a.3.7). L’entreprise qui subit un incident de confidentialité doit donc considérer notamment la sensibilité des RP concernés, ainsi que les conséquences et la probabilité de leur utilisation à des fins préjudiciables.
L’incident de confidentialité quant à lui est entendu comme un accès, une utilisation, une perte ou une communication non autorisés de RP. (a.3.6). L’entreprise a également l’obligation de maintenir un registre des incidents de confidentialité et de le transmettre à la CAI sur demande (a.3.8).
Consentement: Les dispositions proposées à ce sujet amplifient les exigences déjà existantes dans la loi Québécoise. Il est intéressant de se rappeler que le Québec n’a pas adhéré à la déclaration conjointe des Commissaires à la vie privée des gouvernements fédéral et provinciaux concernant les lignes directrices pour l’obtention d’un consentement valable, car ces exigences existaient déjà en droit québécois.
Les demandes de consentement doivent donc être faites en termes simples et clairs, distinctement de toute autre information communiquée. Ce consentement doit être manifeste, libre et éclairé (a.14) et doit être manifesté de façon expresse lorsqu’il s’agit de RP sensibles (a.13). De plus, lorsque la personne le requiert, une assistance doit lui être fournie afin de l’aider à comprendre la portée du consentement demandé.
Contrairement au RGPD européen, qui identifie clairement les RP considérés sensibles, le projet de loi québécois se contente de le définir comme “un renseignement personnel qui, de par sa nature ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée” (a.59).
Comme pour le Personal Information Protection Act de l’Alberta, lorsque les fins auxquelles un RP a été recueilli ou utilisé sont accomplies, l’entreprise doit le détruire ou l’anonymiser, sous réserve d’un délai de conservation prévu par une loi (a.23). L’anonymisation est effective lorsqu’elle ne permet plus, de façon irréversible, d’identifier directement ou indirectement une personne
Ce que nous trouvons intéressant ou unique dans ce le projet de loi 64 québécois:
- Un exercice de “leçon apprise” ou de correction des vulnérabilités ayant occasionnées un incident de confidentialité doit être effectué, avec la contribution du RPRP, afin d’éviter que de nouveaux incidents de même nature ne se produisent (a.3.5)
- Une exemption explicite d'application de la loi est proposée, concernant l’avis devant être donné aux personnes concernées par un incident de confidentialité, afin d'éviter d’entraver une enquête faite par une personne chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois (a.3.5). De telles mesures se reflètent dans certaines lois américaines, mais dans aucune lois canadiennes. La durée ou même l'existence d’une telle exemption pourrait mettre en cause le juste équilibre entre la protection des personnes concernées par un incident de confidentialité et la répression du crime, le cas échéant.
- Comme dans le RGPD européen lorsque l’utilisation de RP repose sur un intérêt légitime, les bénéfices pour l’individu doivent être articulés lors d’une utilisation secondaire des RP sans le consentement de ce dernier.
- Afin d’adresser particulièrement les agents de renseignements personnels, entendu ici comme les “courtiers en données”, les “agrégateurs de données” et les “agences d’évaluation du crédit”, les propositions du projet de loi vont au-delà des lois américaines applicables à ce genre d’entité, en imposant à ces dernières des obligations visant à assurer les droits individuels en matière de protection des RP (a.74 et suivants). Dans tous les cas, un agent de renseignements personnels ne pourra conserver un renseignement personnel recueilli il y a plus de sept ans.
- Comme il a été mentionné, les flux transfrontaliers de RP nécessitent une évaluation des facteurs relatifs à la vie privée (a.17). Il sera intéressant de voir jusqu’à quel point la “liste blanche” des juridictions considérées comme équivalentes, d’un point de vue législatif, qui sera constituée par le gouvernement (a17.1), supprimera ou réduira l’évaluation requise pour déterminer l’équivalence, tout en conservant l’obligation d’effectuer l’évaluation des facteurs relatifs à la vie privée.
- Il sera interdit d’exercer des représailles contre une personne pour le motif qu’elle a de bonne foi déposé une plainte à la CAI ou collaboré à une enquête (81.1). Cette disposition englobe vraisemblablement la protection des lanceurs d’alertes (whistleblower).
Ce projet de loi bien entendu n’est pas définitif et son échéancier demeure incertain, compte tenu de la pandémie actuelle. Par contre, l’utilisation grandissante des RP par les organisations, ainsi que les incidents de confidentialité d’envergure hautement médiatisés de la dernière année, portent à croire que la réforme de la protection des renseignements personnels et de la vie privée est dans l’esprit du public, et donc des législateurs