Gouvernement du Québec: Le projet de loi 64

Juillet 2021 - Le projet de loi 64 – Québec veut reconnaitre de nouveaux droits aux particuliers et responsabiliser les entreprises

Les orientations du projet de loi et le consentement

Ce projet de loi a pour but principal de moderniser l’encadrement qui s’applique à la protection des renseignements personnels en modifiant notamment la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé. Comme le mentionne bien Sonia LeBel, auteure du projet de loi, le gouvernement souhaite « doter le Québec d’une législation en phase avec le contexte numérique dans lequel évaluent dorénavant les données personnelles » ainsi que « [r]edonner aux citoyens le plein contrôle de leurs renseignements personnels ».

Le projet de loi introduit une obligation d’effectuer une évaluation des facteurs relatifs à la vie privée dans certaines circonstances impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. Par rapport à ces dernières circonstances, le projet de loi vient préciser les exigences relatives au consentement à donner par celui à qui appartient les renseignements confidentiels. Ainsi, les organismes publics et les entreprises devront demander à la personne concernée son consentement distinctement de toute autre information communiquée à cette dernière. Lorsque le consentement doit être donné pour l’utilisation ou la communication d’un renseignement personnel sensible, celui-ci doit être manifesté de façon expresse. Dans les cas concernant la collecte, l’utilisation ou une communication de renseignements personnels d’un mineur de moins de 14 ans, le consentement doit être donné par le titulaire de l’autorité parentale. Notons toutefois qu’un renseignement personnel non sensible pourra être diffusé sans le consentement de la personne concernée si son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé.

Enfin, mentionnons que les entreprises ne pourront plus communiquer sans le consentement des personnes concernées des listes nominatives.

Codification de nouveaux principes en matière de protection des renseignements personnels

D’abord, le législateur a choisi de codifier ce qu’on appelle le droit à la portabilité des données. Ce droit permet à une personne de s’adresser à une entreprise qui détient ses renseignements personnels afin qu’elle lui en confirme l’existence et qu’elle lui en donne communication. Lorsque le renseignement personnel est informatisé, la communication de ce dernier doit être faite sous une transcription écrite et intelligible ou dans un format technologique structuré et couramment utilisé.

Ensuite, le projet de loi prévoit également des modifications qui viennent reconnaître le principe du droit à l’oubli. En effet, il sera possible pour une personne d’exiger qu’un renseignement personnel la concernant soit rectifié si celui-ci est inexact, incomplet ou équivoque ou, si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la loi. Toute personne concernée par un renseignement personnel pourra également exiger d’une entreprise qu’elle cesse la diffusion de ce renseignement ou que soit désindexé tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement lorsque cela contrevient à la loi ou à une ordonnance judiciaire. On peut ainsi penser qu’une personne formulera une telle demande lorsque la diffusion porte atteinte à sa réputation ou à sa vie privée et que ce préjudice l’emporte sur le droit du public à avoir accès au renseignement en question.

Enfin, le projet de loi codifie certains droits liés à l’utilisation des technologies. Mentionnons à ce titre que les entreprises qui procèdent à une collecte de renseignements personnels au moyen d’une technologie qui comprend des fonctions d’identification, de localisation ou de profilage de la personne concernée devront au préalable lui fournir certaines informations par rapport à l’utilisation d’une technologie particulière et des moyens disponibles pour désactiver les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage.

Ce qu’il faut savoir pour les entreprises

Le projet de loi innove dans le secteur privé en créant la fonction de responsable de la protection des renseignements personnels au sein des entreprises et en exigeant de ces dernières que les paramètres des produits ou services technologiques qu’elles utilisent pour recueillir les renseignements personnels assurent, par défaut, les plus hauts standards de confidentialités, et ce, sans que la personne concernée n’ait à intervenir.
Parmi les autres nouveautés qui sont proposées dans le projet de loi, on y retrouve une obligation pour les entreprises de publier des règles qui encadrent la gouvernance à l’égard des renseignements personnels et, pour celles qui recueillent ces renseignements par un moyen technologique, une obligation de publier et de diffuser une politique de confidentialité.

Les entreprises devront dorénavant tenir un registre des incidents de confidentialités. Constitue un tel incident l’accès, l’utilisation ou la communication non autorisé par la loi à un renseignement personnel ou la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

Enfin, rappelons que le projet de loi oblige les entreprises qui souhaitent transférer des renseignements personnels à l’extérieur du Québec devront réaliser une étude d’impact pour s’assurer de la protection continue des informations transférées.

Les sanctions

Le législateur a décidé d’augmenter considérablement le montant des amendes en modifiant les dispositions pénales applicables en cas de contravention à la loi. Ainsi, les entreprises du secteur privé qui recueillent, détiennent, communiquent à un tiers ou utilisent un renseignement personnel en contravention à la loi ou qui omettent de déclarer un incident de confidentialité s’exposent à des amendes qui oscilleront entre 15 000 $ et 25 000 000 $ ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé.

La Commission d’accès à l’information aura également le pouvoir d’imposer des sanctions administratives pécuniaires aux entreprises assujetties pouvant aller jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaire mondiale si ce montant est plus élevé.

Entrée en vigueur

Le projet de loi, qui n’en est qu’à l’étape de l’étude détaillée en commission, devait initialement être adopté rapidement, soit avant l’été 2021. Or, le secteur privé ayant exercé des pressions sur les partis d’opposition afin que celui-ci ne soit pas adopté aussi rapidement. Plusieurs entrepreneurs seraient inquiets par rapport aux sanctions financières liées aux infractions prévues au nouveau projet de loi et du préjudice que cela pourrait poser à l’économie québécoise . Il est donc difficile de dire, à ce stade-si, si cette adoption aura réellement lieu dans les prochaines semaines.