Qui dit innovations numériques, dit également nouvelles préoccupations du public concernant la protection de la confidentialité. À ce propos, le projet de loi 64 répond à de nombreux flous créés par le boom du numérique: que ce soit au niveau du droit individuel ou du droit à plus grande échelle, cette «modernisation des dispositions législatives du Québec en matière de protection des renseignements personnels» a de quoi soulever plusieurs questions. Pour y répondre, le Grenier s’est entretenu avec l’avocate et experte du secteur Droit de la publicité, du divertissement et propriété intellectuelle chez %%%6623785793348%%%, Andrée-Anne Jeansonne.

Qu’est-ce que cette modernisation apporte sur le plan de la protection et de la confidentialité des données?
Me Andrée-Anne Jeansonne: Le Québec est la première province canadienne à avoir entrepris une réforme majeure de ses lois en matière de protection des renseignements personnels. Le projet de loi no 64 a été adopté à l’unanimité par l’Assemblée nationale du Québec le 21 septembre 2021. Il vient apporter des modifications importantes à la législation en matière de protection des renseignements personnels à la fois dans le secteur privé et dans le secteur public. Du côté privé, le projet de loi vient moderniser de façon importante la Loi sur la protection des renseignements personnels dans le secteur privé.

Et quel est l’objectif derrière l’adoption de ce projet de loi?
Me Andrée-Anne Jeansonne: Avec l’adoption de ce projet de loi, l’objectif du gouvernement était de mieux protéger les renseignements personnels de la population québécoise en responsabilisant les entreprises privées, les ministères et organismes face aux renseignements personnels qu’ils détiennent. En effet, la nouvelle loi favorise la protection des renseignements personnels en donnant davantage de contrôle et d’information aux individus, en bonifiant les règles concernant le consentement et en obligeant les entreprises à adopter et à mettre en œuvre des politiques et des pratiques précises visant à assurer la protection de ces renseignements.

Qu’est-il important de savoir au sujet de ce nouveau projet de loi?
Me Andrée-Anne Jeansonne: Beaucoup de choses! Tout d’abord, le projet de loi no 64 s’est inspiré à plusieurs égards du Règlement général sur la protection des données (RGPD) et se rapproche donc de l’approche européenne.

Concrètement, le projet de loi no 64 vient introduire plusieurs nouvelles obligations pour les entreprises, tant au niveau de la gouvernance qu’en matière de transparence et de consentement. Parmi les principales nouvelles obligations:

• Désigner une personne responsable de la protection des renseignements personnels au sein de l’entreprise et publier le titre et les coordonnées de cette personne sur le site internet de l’entreprise;
• Signaler les incidents de confidentialité à la %%%6623785792559%%% et tenir un registre des incidents;
• Mettre en œuvre des politiques et des pratiques de gouvernance propres à assurer la protection des renseignements personnels. Des informations au sujet de ces politiques et pratiques devront être publiées sur le site internet de l’entreprise en termes clairs et simples;
• Procéder à des évaluations des facteurs relatifs à la vie privée (EFVP) avant d’entreprendre tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels;
• Informer les individus des fins de la collecte, des moyens de la collecte, des droits d’accès et de rectification et du droit de retirer leur consentement;
• Les entreprises offrant au public un produit ou un service technologique disposant de paramètres de confidentialité devront, par défaut, offrir le plus haut niveau de confidentialité sans intervention de la personne concernée. À noter que ceci exclut toutefois les paramètres de confidentialité d’un témoin de connexion (cookie).

Le projet de loi no 64 vient aussi conférer de nouveaux droits aux individus, dont le droit à l’oubli (c’est-à-dire le droit pour un individu de limiter la diffusion publique de ses renseignements personnels, à certaines conditions) et le droit à la portabilité des données (c’est-à-dire le droit à la communication des renseignements personnels dans un format technologique structuré et couramment utilisé). Les individus auront également le droit d’être informés lorsqu’ils ou elles feront l’objet d’une prise de décision fondée exclusivement sur un traitement automatisé des renseignements personnels (c’est-à-dire sans aucune intervention humaine). Les personnes concernées par de telles décisions pourront alors faire valoir des observations auprès de l’entreprise.

Le projet de loi no 64 prévoit également certaines exceptions au consentement, par exemple en matière de recherche ou lorsque les renseignements personnels sont utilisés à des fins compatibles aux fins pour lesquelles ils ont été recueillis.

Finalement, le projet de loi n° 64 introduit trois différents mécanismes de mise en œuvre venant donner du mordant à la Loi: des sanctions administratives pécuniaires, de nouvelles infractions pénales et un droit privé d’action.

La Commission d’accès à l’information du Québec compte disposer l’application de la Loi 64 en trois phases. Pouvez-vous nous éclairer à ce sujet?

Me Andrée-Anne Jeansonne: Afin d'aider les organisations à se conformer à leurs nouvelles obligations, les modifications législatives entreront en vigueur progressivement.

Les premières modifications entreront en vigueur le 22 septembre 2022. Parmi ces dernières, entreront en vigueur l’obligation de désigner un responsable de la protection des renseignements personnels au sein de l’entreprise et l’obligation de signaler les incidents de confidentialité à Commission d’accès à l’information (CAI).

La grande majorité des modifications entreront toutefois en vigueur le 22 septembre 2023, soit deux ans après la date de sanction de la Loi. Parmi ces dernières, notons l’obligation de mettre en œuvre des politiques et pratiques de gouvernance propres à assurer la protection des renseignements personnels, l’obligation de procéder à des EFVP ainsi que les sanctions pécuniaires.

Finalement, les obligations visant le droit à la portabilité des données entreront en vigueur le 22 septembre 2024.

Comment une entreprise peut assurer sa conformité pour éviter les amendes et ainsi respecter la loi?

Me Andrée-Anne Jeansonne: Même si la majorité de obligations entreront en vigueur en septembre 2023, les entreprises devraient dès maintenant entreprendre des démarches pour assurer leur conformité à la loi.

Parmi les nombreuses démarches à entreprendre, chaque entreprise devrait dans un premier temps revoir ses politiques et pratiques actuelles afin de s’assurer qu’elles rencontrent les nouvelles exigences de la Loi. Dans le cadre de cet exercice, il conviendra aussi de revoir les contrats conclus avec les fournisseurs de services. Il faudra élaborer de nouvelles procédures en matière de protection des renseignements personnels, dont une procédure qui permettra d’effectuer des EFVP lorsque requis par la Loi.

Les entreprises devront aussi implanter des processus afin d’être en mesure de permettre aux individus d’exercer leurs nouveaux droits, dont le droit à l’oubli, le droit à la portabilité des données et le droit d’être informés d’une prise de décision fondée exclusivement sur un traitement automatisé, lorsqu’applicable. Il sera également important de mettre à jour les politiques de confidentialité afin qu’elles soient conformes au nouveau régime de protection de la vie privée et qu’elles reflètent les nouvelles pratiques de l’entreprise.

Si ce n’est pas déjà fait, il faudra désigner rapidement un responsable de la protection des renseignements personnels et définir quelles seront ses responsabilités en matière de protection des renseignements personnels au sein de l’entreprise.

Finalement, il convient de noter la Commission d’accès à l’information (CAI) émettra des normes et des directives précises pour aider les entreprises à se conformer aux nouvelles obligations.

Me Andrée-Anne Jeansonne est avocate chez %%%6623785793348%%%. Pour plus de renseignements, %%%6623785792560%%%.

%%%6623785792534%%%