Mes Cynthia Chassigneux et Caroline Deschênes, les auteures de cet articles. Source : Site web de Langlois
Mes Cynthia Chassigneux et Caroline Deschênes, les auteures de cet articles. Source : Site web de Langlois
Il y a presque un an, deux projets de loi ont été déposés : un à l’Assemblée nationale du Québec, le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « PL 64 ») en juin 2020, et un autre à la Chambre des communes du Canada, le projet de loi C-11, Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois (le « PL C-11 ») en novembre 2020.

Ces deux projets de loi ont pour objet de moderniser les lois applicables en matière de protection des renseignements personnels, notamment dans le secteur privé et plus particulièrement, la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRPSP » – Québec) et la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDÉ » – Canada).

Un an après leurs dépôts, ces projets de loi n’ont toujours pas été adoptés. Au niveau fédéral, l’étude du PL C-11 n’a pas avancé depuis le mois d’avril 2021, et plusieurs commentaires, certains virulents, ont été formulés à son endroit, notamment par le Commissariat à la protection de la vie privée du Canada. L’avenir du PL C-11 est d’ailleurs incertain, considérant les élections qui seront vraisemblablement déclenchées à l’automne 2021. Au niveau provincial, l’étude détaillée du PL 64 initiée en février 2021 a progressé de façon significative, puisqu’il ne restait qu’une quarantaine d’articles du PL 64 à revoir à la fin de la session parlementaire, le 11 juin 2021. Par conséquent, à moins d’un revirement, il est raisonnable de s’attendre à ce qu’une version révisée du PL 64 soit adoptée lors de la reprise des travaux parlementaires, à l’automne prochain.

En attendant la reprise des travaux parlementaires en septembre 2021, il y a lieu de se pencher sur les dispositions du PL 64 afin d’envisager les modifications susceptibles d’être apportées à l’encadrement des renseignements personnels dans le secteur privé. Puisque certaines dispositions du PL 64 ont fait l’objet d’amendements depuis son dépôt, nous avons identifié les passages amendés en italiques dans le texte.

Dans le contexte de cette analyse, nous allons prendre en considération le cycle de vie des renseignements personnels, en tenant compte des droits reconnus aux personnes concernées et des sanctions/amendes envisagées. Nous référerons, le cas échéant, à la LPRPDÉ et au PL C-11 pour illustrer certains propos.

1. Responsabilité relative à la protection des renseignements personnels

Si les notions de « responsabilité » et de « responsable de la protection des renseignements personnels » sont présentes dans la LPRPDÉ depuis son adoption en 2000, ces notions sont introduites dans la législation québécoise par le PL 64.

Cela ne veut pas dire pour autant qu’à l’heure actuelle, une personne qui exploite une entreprise n’est pas responsable des renseignements personnels qu’elle détient sur autrui, qu’elle utilise ou communique à des tiers. Cela ne veut pas dire non plus qu’elle n’est pas tenue de répondre aux exigences de la LPRPSP ou encore qu’elle ne peut pas être tenue responsable de manquements à la LPRPSP.

Toutefois, l’introduction de ces notions dans la législation québécoise par le biais du PL 64 concrétise les principes suivants :
  • la personne ayant la plus haute autorité au sein d’une entreprise devra veiller à assurer le respect et la mise en œuvre de la LPRPSP et elle exercera la fonction de responsable de la protection des renseignements personnels. Il est prévu que :
    • cette fonction pourra être déléguée, par écrit, à toute personne tant à l’interne qu’à l’externe. Cette possibilité de désigner une personne de l’externe, selon les commentaires formulés par le ministre responsable de l’accès à l’information et de la protection des renseignements personnels lors l’étude détaillée du PL 64, permettra « à un regroupement d’entreprises, de désigner une seule personne responsable ». Cela permettra aussi de recourir aux « services d’une personne spécialisée en protection des renseignements personnels »;
    • le titre et les coordonnées du responsable seront publiés sur le site Internet de l’entreprise, ou, si elle n’a pas de site, rendus accessibles par tout autre moyen approprié;
  • toute personne qui exploite une entreprise au sens de la LPRPSP sera responsable de la protection des renseignements personnels qu’elle détient. À ce titre, elle devra :
    • établir et mettre en œuvre des politiques et des pratiques encadrant sa gouvernance à l’égard des renseignements personnels et propres à assurer la protection de ces renseignements. Ces politiques et pratiques devront être proportionnées à la nature et à l’importance des activités de l’entreprise et être approuvées par le responsable de la protection des renseignements personnels. Des informations détaillées au sujet de ces politiques et de ces pratiques devront être publiées sur le site Internet de l’entreprise ou, si elle n’en a pas, rendues accessibles par tout autre moyen approprié.
Cette disposition fait écho au principe 4.1.4 de l’annexe 1 de la LPRPDÉ et au PL C-11 qui précise que « l’organisation met en œuvre un programme de gestion de la protection des renseignements personnels qui comprend les politiques, les pratiques et les procédures qu’elle a mises en place afin de respecter les obligations qui lui incombent sous le régime de la LPRPDÉ »;
  • procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. Cette évaluation devra :
    • se faire en concertation avec le responsable de la protection des renseignements personnels;
  • *être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur qualité, à leur répartition et à leur support;
  • déclarer les incidents de confidentialité impliquant les renseignements personnels qu’elle détient qui présentent un risque qu’un préjudice sérieux soit causé. Cette déclaration devra être faite avec diligence à la Commission d’accès à l’information (la « CAI ») et aux personnes dont les renseignements personnels sont visés par l’incident, à défaut de quoi la CAI pourra l’ordonner. L’entreprise pourra également aviser tout(e) personne ou organisme susceptible de diminuer le risque de préjudice.
En introduisant cette obligation, le législateur québécois fait écho aux autres législations canadiennes qui le prévoient déjà, comme la LPRPDE. Le PL C-11 maintient cette obligation;
  • publier sur son site Internet, si elle recueille des renseignements personnels par un moyen technologique, une politique de confidentialité rédigée en termes simples et clairs.

2. Cycle de vie des renseignements personnels

Tant le PL 64 que le PL C-11 modifient plusieurs des exigences du cycle de vie des renseignements personnels, en commençant par la définition même de renseignement personnel.

a) Renseignement personnel

Le PL 64 vient modifier la définition de renseignement personnel en y ajoutant les termes « directement ou indirectement ». La notion de renseignement personnel devra ainsi s’entendre comme « tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier ».

Le PL 64 vient également préciser ce qu’il convient d’entendre par « renseignement sensible », « renseignement anonymisé » et « renseignement dépersonnalisé » :
  • un renseignement est sensible lorsque, de par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée;
  • un renseignement est dépersonnalisé lorsque ce renseignement ne permet plus d’identifier directement la personne concernée.

Lors des discussions au sujet de ce type de renseignement, il a été ajouté que « toute personne qui exploite une entreprise et qui utilise des renseignements dépersonnalisés doit prendre les mesures raisonnables afin de limiter les risques que quiconque procède à l’identification d’une personne physique à partir de renseignements dépersonnalisés ».

Pareille disposition se retrouve dans le PL C-11 qui prévoit que « lorsque l’organisation dépersonnalise des renseignements personnels, elle veille à ce que les procédés techniques et administratifs utilisés soient proportionnels aux fins auxquelles ces renseignements sont dépersonnalisés et à la nature délicate des renseignements personnels » (art. 74). Il prévoit également que « sauf à des fins de vérification de l’efficacité des mesures de sécurité mises en place, il est interdit à toute organisation d’utiliser des renseignements dépersonnalisés, seuls ou en combinaison avec d’autres renseignements, afin d’identifier un individu » (art. 75);
  • un renseignement est anonymisé lorsqu’il, est en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement la personne concernée.
Le PL 64 propose aussi de reconnaître le caractère public de renseignements relatifs aux fonctions d’une personne au sein d’une entreprise. Toutefois, cet amendement est toujours sous étude.

b) Consentement et information préalable

Le consentement demeure la pierre angulaire de la protection des renseignements personnels. En effet, il est prévu dans le PL 64, tout comme dans la LPRPSP, que le consentement :
  • doit être manifeste, libre, éclairé.
    • Il convient de préciser qu’en ce qui concerne les renseignements sensibles, ce consentement doit être manifesté de façon expresse. Pareil consentement doit aussi être donné lorsqu’une entreprise entend vérifier ou confirmer l’identité d’une personne au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques (art. 44 de la Loi concernant le cadre juridique des technologies de l’information);
  • doit être donné à des fins spécifiques.
    • Il est prévu que le consentement devra être demandé à chacune de ces fins, en termes simples et clairs.
    • Lors des discussions à ce sujet, il a été ajouté que lorsque la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information communiquée à la personne concernée;
  • ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.
Le PL 64 précise que toute personne qui fournit ses renseignements personnels, après avoir obtenu un certain nombre d’informations, consent à leur utilisation et à leur communication aux fins qui lui auront été communiquées au moment de la collecte de ceux-ci.

Parmi ces informations qui devront être transmises en termes simples et clairs, quel que soit le moyen utilisé pour recueillir les renseignements, il est prévu que la personne qui recueillera les renseignements personnels auprès de la personne concernée devra l’informer :
  • des fins auxquelles ces renseignements sont recueillis;
  • des moyens par lesquels les renseignements sont recueillis.
Ainsi, si les renseignements sont recueillis en ayant recours à une technologie comprenant des fonctions permettant d’identifier la personne concernée, de la localiser ou d’effectuer un profilage, elle doit être informée, au préalable,
    • du recours à une telle technologie;
    • des moyens offerts, le cas échéant, pour activer (et non plus désactiver) les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage;
  • des droits d’accès et de rectification prévus par la loi;
  • de son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis.
Le cas échéant, cette information devra aussi concerner les tiers : nom du tiers pour qui la collecte est faite et nom des tiers à qui il est nécessaire de communiquer les renseignements personnels aux fins (auxquels ils sont recueillis). Il convient de noter que cette référence aux tiers se retrouve également dans le PL C-11 qui prévoit que le consentement ne sera valide que si « l’organisation fournit d’abord à l’individu concerné, dans un langage clair, les renseignements suivants :

a) les fins de la collecte, de l’utilisation ou de la communication des renseignements personnels, établies par l’organisation et consignées en application des paragraphes 12(3) ou (4);

b) la façon dont les renseignements personnels seront recueillis, utilisés ou communiqués;

c) les conséquences raisonnablement prévisibles de la collecte, de l’utilisation ou de la communication des renseignements personnels;

d) le type précis de renseignements personnels que l’organisation recueillera, utilisera ou communiquera;

e) le nom des tiers ou les catégories de tiers auxquels les renseignements personnels pourraient être communiqués. » (art. 15(3) projet loi C-11);

La personne qui exploite une entreprise devra également, le cas échéant, indiquer la possibilité que les renseignements soient communiqués à l’extérieur du Québec.

De plus, sur demande, la personne concernée devra aussi être informée :
  • des renseignements recueillis auprès d’elle;
  • des catégories de personnes qui y auront accès au sein de l’entreprise;
  • de la durée de conservation des renseignements;
  • des coordonnées du responsable de la protection des renseignements personnels.
Le PL 64 vient également encadrer le consentement des mineurs. Ainsi, pour un mineur de moins de 14 ans, le consentement devra être donné par le titulaire de l’autorité parentale ou par le tuteur. Pour un mineur de 14 ans et plus, le consentement pourra être donné par le mineur lui-même, par le titulaire de l’autorité parentale ou par le tuteur.

Le PL 64 prévoit aussi des exceptions au consentement quant à l’utilisation et à la communication, lesquelles exceptions seront discutées ci-après.

c) Collecte

Si le PL 64 ne change rien au fait que la personne qui exploite une entreprise doit avoir un intérêt sérieux et légitime et ne doit recueillir que les renseignements nécessaires, il vient préciser que les fins pour lesquelles les renseignements personnels sont recueillis devront être déterminées avant la collecte.

d) Utilisation

Le PL 64 vient préciser certains aspects relatifs à l’utilisation des renseignements personnels, avec ou sans le consentement de la personne concernée. Par exemple,
  • un renseignement personnel ne pourra être utilisé au sein de l’entreprise qu’aux fins pour lesquelles il aura été recueilli, sauf consentement de la personne concernée;
  • un renseignement personnel pourra être utilisé à une autre fin sans le consentement de la personne concernée dans les cas suivants :
    • lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il aura été recueilli. Dans ce cas, l’entreprise devra démontrer qu’il existe un lien pertinent et direct avec les fins auxquelles le renseignement aura été recueilli. La prospection commerciale ou philanthropique ne constitue pas de telles fins;
    • lorsque son utilisation est manifestement au bénéfice de la personne concernée;
    • lorsque son utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité. Cet ajout fait écho au PL C-11 (art. 18(2)c));
    • lorsque son utilisation est nécessaire à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la personne concernée. Cet ajout fait écho au PL C-11 (art. 18(2)a));
    • lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé.
Le PL 64 vient ajouter une disposition relative à l’utilisation de renseignements personnels pour rendre une décision fondée exclusivement sur un traitement automatisé de ceux-ci. En pareil cas, la personne qui exploite une entreprise devra en informer la personne concernée au plus tard au moment où elle l’informe de cette décision (et non plus au moment de la décision ou avant).

Cette information devra notamment porter sur :
  • les renseignements personnels utilisés pour rendre la décision;
  • les raisons, ainsi que les principaux facteurs et paramètres, ayant mené à la décision;
  • le droit de faire rectifier les renseignements personnels utilisés pour rendre la décision.
La personne concernée devra également avoir la possibilité de présenter ses observations à un membre du personnel de l’entreprise en mesure de réviser la décision.

Le PL 64 ne définit toutefois pas ce qui constitue un « traitement automatisé » pour les fins de son application, contrairement à son pendant fédéral. En effet, le PL C-11 propose une définition de ce qu’il convient d’entendre par système décisionnel automatisé, à savoir une « technologie qui appuie ou remplace le jugement de décideurs humains au moyen de techniques telles que l’usage de systèmes basés sur des règles, l’analyse de régression, l’analytique prédictive, l’apprentissage automatique, l’apprentissage profond et l’usage de réseaux neuronaux » (art. 2 et 63(3)).

Soulignons également que le PL 64 modifie le régime applicable à l’utilisation des renseignements personnels à des fins de prospection commerciale ou philanthropique. La personne qui exploite une entreprise devra désormais s’identifier auprès de la personne à qui elle s’adresse et l’informer de son droit de retirer son consentement à ce que les renseignements personnels la concernant soient utilisés à ces fins.

e) Communication

Le PL 64 réaffirme le principe selon lequel nul ne peut communiquer à un tiers les renseignements personnels qu’il détient sur autrui, sauf consentement de la personne concernée ou autorisation de la LPRPSP.

Parmi ces autorisations, le PL 64 vient ajouter à celles déjà contenues dans la LPRPSP la possibilité pour une entreprise de communiquer, sans le consentement de la personne concernée, un renseignement personnel :
  • à toute personne ou à tout organisme si cela est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise qu’elle confie à cette personne ou à cet organisme. Il est prévu que cette communication devra faire l’objet d’un mandat ou d’un contrat écrit qui devra contenir un certain nombre d’éléments prévus par la loi;
  • lorsque cela est nécessaire aux fins de la conclusion d’une transaction commerciale à laquelle elle entend être partie. Dans ce cas une entente devra être conclue entre les parties. Lors des discussions à ce sujet, la définition de « transaction commerciale » a été amendée. Cette notion s’entend désormais de l’aliénation ou la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, d’une modification de sa structure juridique par fusion ou autrement, de l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou d’une sûreté prise pour garantir une de ses obligations.
Selon les commentaires formulés par le ministre responsable de l’accès à l’information et de la protection des renseignements personnels lors l’étude détaillée du PL 64, l’ajout et la définition proposée vise à harmoniser le PL 64 à la LPRPDÉ (reprise dans le PL C-11) et aux législations de l’Alberta et de la Colombie-Britannique;
  • à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques. Une évaluation des facteurs relatifs à la vie privée devra être faite et une entente devra être conclue entre les parties. Le tout devra ensuite être transmis à la CAI.
Le PL 64 modifie le régime applicable à la communication des renseignements personnels à l’extérieur du Québec. Ainsi, la personne qui exploite une entreprise devra :
  • procéder à une évaluation des facteurs relatifs à la vie privée avant d’envisager une telle communication. Elle devra tenir compte :
    • de la sensibilité des renseignements personnels;
    • de la finalité de leurs utilisations;
    • des mesures de protection, y compris celles qui sont contractuelles, dont les renseignements bénéficieront;
    • du régime juridique applicable dans l’État où ces renseignements seront communiqués, notamment les principes de protection des renseignements personnels qui y sont applicables.
Sur la base de cette évaluation, la communication pourra s’effectuer si celle-ci démontre que les renseignements bénéficieront d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus;
  • établir une entente écrite qui tiendra compte notamment des résultats de l’évaluation et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de l’évaluation.

Le PL 64 prévoyait à l’origine qu’une liste d’États dont le régime juridique encadrant les renseignements personnels équivaut aux principes de protection des renseignements personnels applicables au Québec soit publiée à la Gazette officielle du Québec.

Or, cet amendement a été retiré compte tenu du fait qu’il n’est plus fait référence à la notion d’« équivalence », mais d’« adéquation ». Soulignons cependant que lors des discussions portant sur les fonctions et les pouvoirs de la CAI, il a été ajouté que celle-ci aura pour fonction d’élaborer des lignes directrices pour faciliter l’application de la LPRPSP.

f) Conservation et destruction

Tout d’abord, il convient de préciser que le PL 64 ne modifie pas l’obligation prévue à la LPRPSP de prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

Le PL 64 vient cependant préciser que lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise devra le détruire ou l’anonymiser pour l’utiliser à des fins sérieuses et légitimes, sous réserve d’un délai de conservation prévu par une loi.

3. Droits des personnes concernées

Le PL 64 modernise les modalités des droits d’accès et de rectification contenus dans la LPRPSP. Par exemple, à la demande du requérant, un renseignement personnel informatisé devra être communiqué sous la forme d’une transcription écrite et intelligible.

Le PL 64 reconnaît également de nouveaux droits aux personnes concernées, soit :
  • le droit d’être informé qu’une décision est fondée exclusivement sur un traitement automatisé (pour plus de détails, voir le point d) Utilisation ci-dessus);
  • le droit à la portabilité : un requérant peut demander à ce que les renseignements personnels informatisés qu’une entreprise a recueillis à son égard lui soient communiqués dans un format technologique structuré et couramment utilisé. Il peut aussi demander à ce que ce renseignement soit communiqué à tout(e) personne ou organisme autorisé par la loi à recueillir un tel renseignement;
  • le droit à la cessation de la diffusion, à la désindexation ou à la réindexation : lorsque la diffusion d’un renseignement personnel contrevient à la loi ou à une ordonnance judiciaire, la personne concernée par ce renseignement pourra exiger de la personne qui exploite une entreprise de faire en sorte que cesse la diffusion de ce renseignement ou que soit désindexé tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique.

Pour pouvoir demander la cessation de la diffusion, la désindexation ou encore la réindexation, les conditions suivantes devront être rencontrées :
  • la diffusion du renseignement cause un préjudice grave relatif au droit au respect de sa réputation ou de sa vie privée;
  • ce préjudice est manifestement supérieur à l’intérêt du public de connaître ce renseignement ou à l’intérêt de toute personne de s’exprimer librement;
  • la cessation de la diffusion, la réindexation ou la désindexation demandée n’excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice.
Au titre de ces nouveaux droits, il convient aussi de préciser que le PL 64 entend reconnaître aux personnes visées par une atteinte illicite aux droits qui leur sont conférés par la LPRPSP ou le Code civil du Québec de poursuivre la personne qui exploite une entreprise en dommages-intérêts, à moins que le préjudice résulte d’une force majeure. Il est dès lors prévu que lorsque l’atteinte est intentionnelle ou résulte d’une faute lourde, des dommages-intérêts punitifs d’au moins 1 000 $ pourront être accordés. Ce droit de poursuite privé n’avait pas encore fait l’objet de discussions à la fin de la session parlementaire, tout comme les dispositions relatives aux sanctions administratives pécuniaires et aux amendes qui seront applicables dans le secteur privé.

4. Sanctions et amendes

Le PL 64 vient renforcer l’imputabilité des entreprises en créant un régime de sanctions administratives pécuniaires (« SAP ») et en augmentant le montant des amendes susceptibles d’être prononcées à l’égard de toute personne qui exploite une entreprise.

a) Sanctions administratives pécuniaires

Une sanction administrative pécuniaire pourra être prononcée par la Commission d’accès à l’information lorsqu’une personne qui exploite une entreprise n’informe pas les personnes concernées :
  • de la source de leurs renseignements personnels lorsque ceux-ci sont recueillis auprès de tiers et qu’elles le demandent;
  • des fins pour lesquelles leurs renseignements personnels sont recueillis, des moyens par lesquels ils le sont, de leurs droits (accès, rectification, retrait du consentement) et de toutes autres informations devant leur être transmises volontairement lors de la collecte ou sur demande;
  • du fait que la décision prise à leur endroit est fondée exclusivement sur un traitement automatisé de leurs renseignements personnels et qu’elle ne leur donne pas l’occasion de présenter leurs observations;
Des SAP peuvent également être prononcées lorsqu’une personne qui exploite une entreprise recueille, communique, utilise ou détruit des renseignements personnels en contravention avec la LPRPSP ou encore lorsqu’elle ne déclare pas à la CAI ou aux personnes concernées les incidents de confidentialité qui présentent un risque qu’un préjudice sérieux soit causé.

En pareilles situations, une SAP de 50 000 $ maximum, dans le cas d’une personne physique, pourra être prononcée. Dans les autres cas, le montant pourra être de 10 000 000 $ ou du montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé.

b) Amendes

Le PL 64 modifie également le régime pénal de la LPRPSP. Tout d’abord, alors que le pouvoir d’intenter des poursuites pénales repose actuellement sur le Procureur général du Québec, le PL 64 prévoit que la CAI pourra désormais intenter des poursuites pénales. Ensuite, le montant des amendes susceptibles d’être octroyé au titre des dispositions pénales sera significativement plus élevé que ce qui est prévu actuellement (soit un maximum de 10 000 $, ou 20 000 $ en cas de récidive). En effet, ce montant pourra être de 5 000 $ à 50 000 $ dans le cas d’une personne physique et, dans les autres cas, de 15 000 $ à 25 000 000 $ ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé. Ce montant pourra être doublé en cas de récidive.

De telles amendes pourront être imposées pour plusieurs contraventions, notamment à l’égard de quiconque :
  • recueille, détient, communique ou utilise un renseignement personnel en contravention avec la LPRPSP;
  • ne déclare pas un incident de confidentialité;
  • procède ou tente de procéder à l’identification d’une personne physique, sans l’autorisation de la personne détenant les renseignements personnels ou à partir de renseignements anonymisés; ou
  • contrevient à une ordonnance de la CAI.

5. Conclusion

Les discussions au sujet du PL 64 ne sont pas terminées et certaines dispositions importantes restent à débattre (comme celles portant sur certains droits des individus et sur les mesures pour faire respecter la loi). Il est donc fort probable que d’autres modifications seront apportées à la mouture originale lors de la reprise des travaux parlementaires, l’automne prochain. Il conviendra de suivre attentivement les suites qui seront données à certaines dispositions de ce projet de loi, notamment au regard des commentaires et critiques qui ont été formulés à son égard. Cela dit, selon toute vraisemblance, les modifications prévues à la LPRPSP seront adoptées d’ici la fin de l’année 2021.

Même si une période transitoire d’un an est actuellement prévue avant l’entrée en vigueur du PL 64 (trois ans pour le droit à la portabilité), les entreprises faisant affaire au Québec doivent tirer profit des mois à venir pour se préparer en conséquence. Il convient d’envisager les changements apportés à la LPRPSP pour anticiper les enjeux qui pourraient en découler quant à la collecte, à l’utilisation, à la communication, à la conservation des renseignements personnels, et ainsi prendre les mesures requises pour assurer la conformité de leurs pratiques.

Sur les auteures

Les avocates et associées Cynthia Chassigneux et Caroline Deschênes travaillent chez Langlois Avocats. Me Chassigneux pratique en litige en technologie et à l’accès à l'information. Me Deschênes pratique en litige commerciaux et civils.