Projet de loi 64 : une réforme à l’Européenne du droit à la protection des renseignements personnels
Écrit par Simon Du Perron, auxiliaire de recherche au Laboratoire de cyberjustice – Été 2020.
La ministre de la Justice Sonia Lebel a déposé vendredi le très attendu Projet de loi n°64, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. En conférence de presse, la ministre Lebel a précisé que le projet de loi repose sur deux principes : redonner aux citoyens le plein contrôle de leurs renseignements personnels et responsabiliser les organisations qui utilisent nos renseignements. Pour ce faire, le projet de loi apporte des modifications significatives à la Loi sur la protection des renseignements personnels dans le secteur privé et à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Nous vous proposons une revue commentée des principaux éléments de cette importante réforme législative.
- Responsabilité :
Le projet de loi stipule que les entreprises et organismes publics sont responsables de la protection des renseignements personnels en leur possession. À cette fin, le projet de loi crée le rôle de responsable de la protection des renseignements personnels, chargé d’assurer le respect et la mise en œuvre de la loi; un poste qui rappelle celui de délégué à la protection des données sous le Règlement général sur la protection des données (RGPD). En outre, le projet de loi exige que les entreprises se dotent de politiques de gouvernance à l’égard des renseignements personnels et il précise que celles-ci doivent être publiées sur Internet. Cette exigence est pour le moins étonnante considérant qu’il n’est pas ici question de politiques de confidentialité concernant l’utilisation des données des utilisateurs, mais plutôt de pratiques internes en matière de gestion et de protection des données.
- Définition de renseignement personnel :
Le projet de loi crée, à l’instar d’autres lois canadiennes, une exception à l’applicabilité du régime de protection des renseignements personnels en ce qui concerne les coordonnées d’affaires, c’est-à-dire les renseignements liés à l’exercice d’une fonction au sein d’une entreprise (par exemple le nom, le titre, la fonction, l’adresse de courrier électronique et le numéro de téléphone au travail d’une personne). Le projet de loi introduit également de nouvelles notions, notamment celle de « renseignement sensible », défini comme un renseignement personnel qui de par sa nature ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée ; celle de « renseignement dépersonnalisé », soit un renseignement qui ne permet plus d’identifier directement la personne concernée et celle de « renseignements anonymisés » entendus comme ceux qui ne permettent plus, de façon irréversible, d’identifier directement ou indirectement cette personne. Force est de constater que le législateur semble ici s’être inspiré, à juste titre, des récents travaux de la Commission d’accès à l’information (CAI).
- Évaluation des facteurs relatifs à la vie privée :
Un des apports majeurs du projet de loi est qu’il oblige les organismes publics et les entreprises à procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) de tout « projet de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels ». Cette EFVP devra aussi être effectuée avant toute communication de renseignements personnels à l’extérieur du Québec. De plus, le projet de loi exige que les projets soumis à une EFVP permettent l’accès, par la personne concernée, à une copie des « renseignements personnels informatisés » qui ont été recueillis à son endroit, et ce, dans un « format technologique structuré couramment utilisé ». Le projet de loi requiert également que les entreprises assurent que les paramètres de leurs produits ou services offrent « le plus haut niveau de confidentialité par défaut » consacrant ainsi en droit québécois l’approche de « protection de la vie privée dès la conception » que l’on retrouve à l’article 25 du RGPD.
- Consentement :
Le projet de loi prévoit que le consentement doit être demandé à chacune des fins pour lesquelles un organisme public ou une entreprise souhaite collecter, utiliser ou communiquer un renseignement personnel. Le projet de loi ajoute que la demande de consentement doit être formulée en termes simples et clairs et qu’elle doit être effectuée « distinctement de toute autre information communiquée à la personne concernée ». Cette notion de « consentement distinct » mériterait d’être éclaircie puisqu’il n’est pas clair si elle cherche à faire obstacle au consentement implicite ou si elle signifie plutôt que la politique de confidentialité d’un service doit être présentée à l’utilisateur de façon distincte et non être noyée dans des conditions générales d’utilisation. À cet égard, le projet de loi codifie une bonne pratique organisationnelle, à savoir le fait de rédiger les politiques de confidentialité en langage clair. En outre, le projet de loi spécifie que le consentement doit être manifesté de façon expresse dès qu’il s’agit de renseignement sensible, ce qui porte à croire qu’un consentement implicite serait acceptable dans des situations qui impliquent des renseignements non sensibles.
- Finalité :
Le projet de loi remplace la notion archaïque de « dossier » par celle de renseignement personnel. Ainsi, les articles 4 et 5 de la Loi sur le secteur privé sont modifiés afin de préciser que les entreprises ne doivent recueillir que les renseignements personnels nécessaires à l’accomplissement des finalités déterminées avant la collecte. En ce sens, on ne saurait considérer « l’intérêt sérieux et légitime » que doit posséder une entreprise pour procéder à une collecte de renseignements personnels comme une fin en soi, ce qui permet selon nous d’éviter certains abus en matière de collecte de données. Toutefois, la nécessité de déterminer, avant la collecte, les différents usages qui seront faits des renseignements personnels nous apparait difficilement conciliable avec les techniques d’intelligence artificielle qui sont moins guidées par des finalités et des hypothèses préalablement établies que par les possibilités offertes par les données elles-mêmes. En outre, le projet de loi précise que les « fins compatibles » pour lesquelles un renseignement personnel peut être utilisé sans le consentement de la personne concernée sont celles qui ont un « lien pertinent et direct » avec les fins auxquelles le renseignement a été recueilli. Finalement, le projet de loi oblige les entreprises à détruire ou anonymiser les renseignements personnels qu’elles détiennent lorsque les fins pour lesquelles ils ont été recueillis sont accomplies ou si un délai de sept années s’est écoulé depuis leur collecte selon la plus brève échéance.
- Notification d’incidents de sécurité :
Le projet de loi répond à une demande de longue date de la CAI en prévoyant que les organismes publics et les entreprises, qui ont des motifs de croire qu’un incident de confidentialité impliquant des renseignements personnels risque de causer un préjudice sérieux, doivent aviser la CAI ainsi que toute personne concernée par l’incident. Il est important de noter que le législateur n’a pas jugé bon fixer un délai précis et se contente de préciser que la notification doit se faire « avec diligence ». Le projet de loi introduit ainsi la notion d’« incident de confidentialité » défini comme l’accès, l’utilisation ou la communication non autorisée par la loi d’un renseignement personnel ou encore la perte ou toute autre atteinte à la protection d’un tel renseignement. Le projet de loi oblige également les organismes publics et les entreprises à tenir un registre des incidents de confidentialité.
- Profilage :
Le projet de loi prévoit qu’un organisme public ou une entreprise qui recueille des renseignements personnels au moyen d’une technologie qui permet d’effectuer un profilage doit en aviser la personne concernée et l’informer des moyens offerts, le cas échéant, pour désactiver cette fonction. À l’instar du RGPD, le projet de loi définit le profilage au sens large comme « la collecte et l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne. » Cette disposition pourrait ouvrir la voie à l’implantation d’un programme permettant d’assurer le respect de l’option Do-Not-Track à l’échelle des utilisateurs du Québec, à l’image de ce qui est présentement proposé aux États-Unis.
- Traitement automatisé :
Le projet de loi prévoit que les décisions qui sont fondées exclusivement sur le traitement automatisé de renseignements personnels (par exemple la décision d’un algorithme d’octroyer ou non un crédit en se basant sur la situation financière d’un individu) doivent faire l’objet d’un avis préalable. De plus, si la personne concernée en fait la demande, cet avis doit mentionner les renseignements personnels qui ont été utilisés pour rendre la décision, le droit de faire rectifier ces renseignements ainsi que les principaux facteurs et paramètres ayant mené à la décision. Le projet de loi reconnait ainsi une forme de « droit à l’explication » d’une décision automatisée similaire à ce que prévoit l’article 13 du RGPD qui fait d’ailleurs l’objet de critiques notamment en raison de l’opacité intrinsèque de certains types d’algorithmes. Cependant, force est de constater que le projet de loi n’introduit pas un droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé des données – droit pourtant recommandé par le Laboratoire de cyberjustice et l’OBVIA – à l’image de l’article 22 du RGPD. Le projet de loi ne contient pas non plus de réel droit de s’opposer au traitement automatisé de renseignements personnels puisque seule la possibilité de présenter ses observations à un membre du personnel de l’entreprise ayant le pouvoir (discrétionnaire) de réviser la décision est prévue. Rappelons qu’au fédéral la question de la prise de décisions administratives par des algorithmes a fait l’objet d’une directive du Conseil du trésor du Canada.
- Droit à l’oubli :
Une autre innovation majeure de ce projet de loi est la reconnaissance formelle du droit à l’oubli, codifié à l’article 17 du RGPD, qui jusqu’ici ne trouvait pas application au Québec. En effet, le projet de loi permet à une personne d’exiger qu’une entreprise cesse de diffuser un renseignement personnel ou qu’elle désindexe ou réindexe un hyperlien qui donne accès auxdit renseignement lorsque sa diffusion porte gravement atteinte à la réputation ou à la vie privée de la personne et que ce préjudice est manifestement supérieur à l’intérêt du public à connaître ce renseignement.
- Sanctions et pouvoirs de la CAI :
Le projet de loi confère à la CAI le pouvoir d’imposer aux entreprises du secteur privé des sanctions administratives pécuniaires pouvant aller jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial. Le projet de loi habilite également la CAI à engager des poursuites pénales devant les tribunaux en cas de violation de la loi. Les entreprises contrevenantes font face à des amendes se situant entre 15 000 $ à 25 000 000 $ ou 4 % du chiffre d’affaires mondial. En outre, le projet reconnait aux parties privées la possibilité d’intenter une action en justice pour obtenir réparation d’un préjudice résultant d’une atteinte illicite à un droit reconnu par la Loi sur le secteur privé ou par les articles 35 à 40 du Code civil du Québec et il permet même au l’octroi de dommages et intérêts punitifs d’au moins 1000$. Avec un tel durcissement des sanctions, la procureure générale du Québec remplit sa promesse de raffermir le caractère dissuasif de la loi et de hausser les standards en matière de protection des données au sein des entreprises. Souhaitons toutefois que ces nouveaux pouvoirs de sanctions, longtemps réclamés par les organismes de protection de la vie privée au pays, s’accompagnent de ressources suffisantes pour que la CAI puisse mener à bien sa mission.
Le projet de loi 64 constitue un important effort de modernisation des lois en matière de protection des renseignements personnels au Québec, qui – faut-il le rappeler – en avaient grandement besoin. Toutefois, force est d’admettre que cette réforme ne remet pas en question le cadre juridique axé sur le consentement individuel et la notion de « contrôle » sur nos données personnelles qui est fortement critiquée à la lumière des pratiques de valorisation des données fondées sur les mégadonnées et l’intelligence artificielle. Certains amendements mériteraient selon nous d’être apportés au projet de loi afin que nos lois de protection des renseignements personnels puissent s’adapter aux défis soulevés par l’IA – ou par d’autres technologies – dans l’avenir.
Le Laboratoire de cyberjustice demeurera à l’affut de l’évolution du projet de loi 64, dont l’étude approfondie s’effectuera à l’automne, notamment en ce qui concerne plusieurs nouvelles notions qui auraient avantage à être précisées (renseignement personnel informatisé, format technologique structuré, projet soumis à une EFVP, traitement automatisé, profilage, consentement distinct, etc.)
Ce contenu a été mis à jour le 10 septembre 2020 à 9 h 22 min.