À quoi ressemblera la nouvelle loi sur la protection des renseignements personnels?

On peut dire que la cybersécurité et la protections des renseignements personnels sont des sujets qui reviennent assez fréquemment dans l’actualité, depuis quelques années. En fait, rares sont les mois, où on ne prend pas connaissance d’une nouvelle fuite de données.

C’est dans ce contexte que le gouvernement du Québec a décidé de moderniser sa Loi sur la protection des renseignements personnels dans le secteur privé, qui avait vu le jour en 1994. Le projet de loi 64, dont les consultations se sont terminées cette semaine à l’Assemblée nationale, vise à moderniser plusieurs dispositions législatives en matière de protection des renseignements personnels.

Droit-inc s’est entretenu avec Me Vanessa Deschênes, avocate et leader du secteur Protection des données, Vie privée et Cybersécurité chez Robic, pour comprendre un peu mieux ce que prévoit cette loi.

Droit-inc : On peut dire que le Québec était dû pour une réforme de la Loi sur la protection des renseignements personnels dans le secteur privé…?

Vanessa Deschênes : Oui, effectivement. En fait, il faut se rappeler que les deux lois, tant celle du secteur public que celle du secteur privé en matière de protection des renseignements personnels, datent de 1994.

Le paysage de la protection des renseignements personnels a évidemment beaucoup changé depuis cette époque, notamment en raison de la grande importance que prend maintenant le numérique dans nos vies. C'est une des raisons pour lesquelles c'était tant attendu.

Je dirais qu'il y a aussi le fait qu'en 2018 est entré en vigueur le Règlement général sur la protection des données (RGPD), en Europe. Le Canada, à l'heure actuelle, via sa loi fédérale, bénéficie d’un statut d’équivalence… Mais étant donné que la loi européenne a changé, le Canada devra faire l’objet d’une réévaluation quant à son statut d'équivalence au regard du RGPD. Donc, on parle du Canada, mais aussi des provinces, dont le Québec, étant donné qu'elles ont aussi leurs propres lois.

Est-ce que ça veut dire que le Canada devra faire la même chose?

Oui. En fait, le Canada n'a pas déposé de projet de loi, mais il y a déjà des discussions qui ont été entamées depuis quelques années pour une réforme au niveau fédéral. Il y a d'ailleurs eu des consultations au fédéral par rapport à des portions spécifiques, notamment le consentement. Le fédéral est en train de travailler sur une nouvelle mouture de la loi.

Cette nouvelle mouture propose de nombreux amendements… Lesquels sont les plus importants, selon vous?

C’est vraiment une réforme majeure… donc il y a beaucoup de changements importants! Évidemment, l'augmentation des sanctions est un élément. On parle de possibilités d'imposer des amendes qui peuvent atteindre jusqu'à 25 M$; c'est un changement drastique par rapport au régime antérieur de la loi sur le secteur privé. Les montants sont nettement plus élevés que ce qui existe à l'heure actuelle.

Il y a aussi l'introduction de nouveaux droits pour les particuliers; je pense notamment à la notion de portabilité des données.

On introduit aussi une obligation de signaler, de notifier des incidents de confidentialité, ce qui n'existe pas à l'heure actuelle dans la loi québécoise, mais qui existe par ailleurs dans la loi fédérale et en Alberta.

Les autres changements majeurs tournent autour de ce que j’appellerais la mise en conformité. On a beaucoup d'éléments additionnels en ce qui concerne l'opérationalisation de la loi.

Par exemple, on introduit le concept d’évaluation des secteurs relatifs à la vie privée. On demande aussi de créer des politiques et des procédures, et éventuellement, de les publier, donc ça ajoute beaucoup, d'un point de vue administratif, pour les organisations.

Est-ce que c'est suffisant, selon vous? Trouvez-vous qu’il manque quelque chose?

On sait que la législation est fortement inspirée du RGPD, lequel est considéré, à l'heure actuelle, comme le standard mondial en matière de protection des renseignements personnels. Donc que je pense que déjà là, ça démontre un bel effort de rehaussement de la part du Québec.

Ce qui est ressorti des consultations particulières, par exemple, en lien avec le consentement, donc un élément qu’on ne retrouve pas dans le projet de loi actuel, c'est l’exception relative à la relation employeur-employé.

C'est une exception qu'on retrouve déjà dans les provinces de l'Ouest, comme l'Alberta et la Colombie-Britannique. La relation employeur-employé est quand même une relation particulière, où la notion de consentement est un peu illusoire, si je peux dire. Parce que quand on accepte un emploi, inévitablement, l'employeur doit collecter des renseignements personnels... Donc, à quel point l'employé a le choix ou non de donner son consentement? On peut se poser la question.

Ce que plusieurs intervenants ont soulevé également, dont le commissaire à la vie privée du Canada, c'est qu'en 2020, la protection des renseignements personnels ne peut pas reposer que sur le consentement. Compte tenu de l'utilisation de la technologie, le consentement dans certains cas devient un peu illusoire…

Donc, le projet de loi devrait possiblement prévoir d'autres mécanismes, un peu comme on retrouve d'ailleurs en Europe, via le RGPD, pour protéger les renseignements personnels.

Est-ce que c'est un projet de loi qui a assez « de dents », selon vous?

Je pense que tout le monde s'entend pour dire que la protection des renseignements personnels doit être prise au sérieux. Et c'est ça le message que le gouvernement souhaite envoyer, en prévoyant des sanctions plus sévères.

Lors de la commission particulière sur le projet de loi, les avis étaient partagés quant aux questions relatives aux sanctions… En fait, la question n'était pas de savoir si le projet de loi avait assez de dents, mais plutôt s'il en avait trop, compte tenu de la réalité québécoise!

Comme je le mentionnais, le projet de loi s'inspire beaucoup de la réglementation européenne… Et ce que certains intervenants ont soulevé, c'est le fait que oui, c'est important d’envoyer un message clair, mais en même temps, le Québec n'a pas nécessairement la même population qu’en Europe.

Et il ne faut pas oublier non plus que le projet de loi 64, si on prend la section du secteur privé, ça vise tout type d'entreprise, donc autant les grandes multinationales que les PME, lesquelles, rappelons-le, constituent la grande majorité des entreprises québécoises.

Je pense que les experts qui ont émis des réserves souhaitent simplement s'assurer que le résultat attendu sera le bon, en ce sens où il ne faut pas oublier que la majorité des entreprises veulent bien faire et agissent de bonne foi.

La Loi est basée sur les grands principes, elle est rédigée de façon large et souple... et ça peut porter à interprétation.

Ce qui ressort, c'est : est-ce qu'il y a moyen d'envoyer un message clair, mais peut-être d'avoir une approche avec une gradation des sanctions, par exemple?

Ou d'avoir une approche un peu comme on voit à l'heure actuelle au fédéral, ou ce que fait aussi la Commission d'accès à l’information? C'est-à-dire que s'il y a une plainte déposée, on voit avec l’entreprise, si en effet, ses pratiques sont contraires à la loi, et si c'est le cas, on lui suggère de changer ses façons de faire.

La majorité du temps, les entreprises ont mis des pratiques en place selon l'interprétation qu'ils font de la loi… Et une fois que la Commission d'accès à l'information lui dit : « non, ce n'est pas tout à fait comme ça qu'il faut l'interpréter », la grande majorité des entreprise vont faire ces changements.

C'est un peu plus ça, la crainte : on ne veut pas non plus pénaliser des entreprises qui ont peut-être mal fait les choses, mais pas de façon volontaire.

Pensez-vous justement que ça va changer beaucoup de choses pour les entreprises et leurs manières de collecter et de gérer des informations personnelles?

Si le projet de loi est adopté tel quel, j'aurais tendance à répondre oui! Le projet vient avoir un impact dans l’opérationalisation des mesures.

Si je reviens à l'évaluation des facteurs relatifs à la vie privée, si c'est adopté tel quel, ça va exiger des entreprises de créer des nouvelles procédures…

De la manière que le projet de loi est rédigé, on dit que chaque fois qu’une entreprise a un nouveau projet, dans lequel il y a l'utilisation notamment de technologies de l’information, elle devra faire une évaluation des facteurs relatifs à la vie privée.

Prenons l'exemple d'une entreprise qui est 100% numérique : ça veut dire qu'à chaque fois qu’elle crée quelque chose, elle devra faire une évaluation. Donc ça peut devenir un peu lourd.

C'est pour ça que souvent, ce que les experts ont envoyé comme message, c'est : oui, on doit possiblement mieux encadrer nos entreprises… Et même, ce qui est ressorti beaucoup, c'est le rôle d’accompagnateur, soit de l'État ou de la Commission d'accès à l'information. On dit que les entreprises ont besoin d'avoir des guides, justement parce qu'elles veulent bien faire les choses. Mais la façon que la loi est rédigée, c'est un peu flou.

Donc si au moins, on est capables d'accompagner nos entreprises, en bout de ligne, tout le monde va en bénéficier. Il faut juste s’assurer que le résultat attendu est bien obtenu par le type de dispositions législatives qu’on va insérer dans la loi.

Des fois, créer des processus trop lourds, est-ce que c'est vraiment la bonne solution? Il s'agit de trouver l’équilibre entre la protection des renseignements personnels de la population, et aussi de pouvoir permettre à nos entreprises d'innover.

C'est la raison pour laquelle il y a des débats sur le sujet, ce n'est vraiment pas un équilibre facile à trouver. Mais ultimement, il faut que le législateur tranche.

Est-ce que ça pourrait vouloir dire, par exemple, que les entreprises doivent embaucher quelqu'un spécifiquement pour s'occuper de ce volet?

En fait, le projet de loi vient dire noir sur blanc que l'entreprise doit avoir un responsable de la protection la vie privée.

Par défaut, c'est la personne qui a la plus haute autorité au sein de l'organisation... Et cette fonction peut être déléguée. Mais c'est sûr que tout dépendant de la nature des opérations de l'entreprise, oui, ça peut équivaloir à un emploi à temps plein – pour une personne, et même plusieurs personnes.

C'est un peu ce que les entreprises ont soulevé comme point : oui on prend ça au sérieux, mais on a aussi besoin d'être appuyé.

Il reste qu’au Québec, des experts en la matière, que ce soit au niveau de la cybersécurité ou de la protection des renseignements personnels, il n'y en a pas tant que ça! Donc si toutes les entreprises se mettent à vouloir embaucher des spécialistes, c'est sûr qu'il n'y en aura pas assez!

Reste à voir ce que le législateur décidera...