Dans un monde où les données personnelles sensibles sont de plus en plus partagées et utilisées par des organismes privés et publics et où leur attrait commercial et leur valeur continuent d’augmenter, des histoires récentes de fuites de données, de piratage et d’utilisation excessive de données personnelles à grande échelle ont rendu nécessaire de mettre la protection de la vie privée au premier plan et ainsi réformer le cadre législatif entourant sa protection.

Dans ce contexte, le gouvernement du Québec a déposé le 12 juin 2020 le projet de loi 64, soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Ce projet de loi vise à moderniser le régime provincial de protection de la vie privée du Québec, qui date principalement de 1994, lorsque la vie entière des gens n’était pas stockée dans des appareils mobiles et où l’accès aux données par voie de réseau était loin de ce qu’il est aujourd’hui.

Reconnaissant que le régime juridique actuel « manque de mordant » et de lignes directrices claires et précises à bien des égards, la Ministre de la Justice, Mme Sonia LeBel, a souligné qu’un recadrage de la notion de consentement sera la pierre angulaire de la législation avec des sanctions pécuniaires importantes pouvant être infligées aux contrevenants, notant que celles-ci doivent être suffisantes pour dissuader les entreprises d’un non-respect délibéré de ces règles. Cette nouvelle législation vise donc essentiellement à élever la protection des informations personnels au rang de droit fondamental en mettant en place des directives claires à suivre pour les organisations qui collectent de telles données, et donnera aux tribunaux et organismes spécialisés les pouvoirs appropriés pour les appliquer de manière significative.

À l’heure actuelle, une entreprise qui a négligé ses obligations en matière de protection des renseignements personnels et violé des dispositions de la législation en vigueur au Québec peut se voir imposer une amende allant généralement de 1,000 $ à 10,000 $, avec une amende plus élevée de 50,000$ en cas de récidive, ce que Mme Lebel a reconnu comme étant nettement insuffisant comme moyen de dissuasion, surtout pour les entreprises de grande taille qui sont le plus à même d’être à l’origine de fuites ou d’une gestion illégale de ces données touchant à des millions de personnes. Le nouveau projet de loi vise à mettre la législation québécoise au niveau des récentes révisions majeures des régimes de protection de la vie privée à travers le monde à l’ère du numérique (par exemple en Europe ou en Californie) et à donner aux citoyens le plein contrôle sur leurs informations personnelles, à tenir les organisations qui utilisent ces informations responsables et à dissuader les récidivistes. Les modifications proposées s’appliqueront également à l’utilisation de renseignements personnels par des organismes publics et des partis politiques.

Plus concrètement, le projet de loi clarifie et élargit donc diverses exigences relatives principalement au consentement requis avant la collecte, l’utilisation ou la divulgation de renseignements personnels. Quelques-uns des points saillants du projet de loi 64 est qu’elle:

  • augmente significativement les sanctions pénales pour les entreprises fautives jusqu’à 25 millions de dollars ou 4% de leur chiffre d’affaires mondial;
  • modifie les conditions dans lesquelles les organismes publics et les entreprises peuvent communiquer des informations personnelles sans le consentement d’une personne à des entités utilisant ces informations à des fins d’étude, de recherche ou de statistique;
  • prévoit que les organismes publics et les entreprises doivent demander le consentement spécifique d’une personne séparément de toute autre information qui leur a été communiquée pour laquelle un consentement préalable a été accordé;
  • précise que le consentement nécessaire à certaines utilisations ou communications d’informations personnelles sensibles doit être explicite;
  • réglemente l’utilisation de technologies qui incluent des fonctions d’identification, de localisation ou de profilage, ainsi que leur traitement automatisé, en exigeant que certaines informations soient fournies à une personne;
  • établit le droit d’une personne à accéder à ses informations personnelles informatisées dans un format technologique structuré et couramment utilisé ou à demander leur divulgation à un tiers;
  • révise les règles régissant l’utilisation des informations personnelles pour la prospection commerciale ou philanthropique et la communication de listes de noms;
  • oblige les entreprises à détruire les informations personnelles une fois la prestation de services terminée; et
  • donne des pouvoirs élargis à la Commission d’accès à l’information pour assurer une meilleure surveillance.

Les consommateurs qui sentent que leurs droits ont été violés pourront déposer une plainte auprès de la Commission d’accès à l’information du Québec. S’il y a détermination qu’une infraction a été commise, le juge sera autorisé à déterminer le montant de la peine en fonction de la gravité de l’infraction, de l’importance de l’entreprise, du nombre de personnes concernées, des avertissements fournis et des antécédents en matière de gestion de vie privée de l’entité accusée.

Bien que le projet de loi 64 puisse faire l’objet de modifications supplémentaires en cours de route, une forme de réglementation accrue des données personnelles à l’ère du numérique semble inévitable. Si ce projet de loi devait être adopté sous sa forme actuelle, le Québec deviendrait la province canadienne ayant les obligations les plus strictes en matière de vie privée à bien des égards.

Les entreprises opérant au Québec devraient donc examiner attentivement leurs pratiques de gestion de vie privée existantes et, si nécessaire, demander des conseils sur ce nouveau régime en ce qui a trait à des politiques de protection et de gestion des données solides, durables et sophistiquées afin de se préparer pour l’avenir. Étant donné que le nouveau projet de loi introduit des directives et des pratiques plus spécifiques à intégrer dans les activités d’une entreprise que jamais auparavant, c’est le meilleur moment pour commencer à comprendre ces obligations et leur impact sur votre entreprise, car les sanctions sévères pour non-conformité se profilent déjà à l’horizon…