Village de la Justice www.village-justice.com

La nouvelle loi sur les données personnelles au Québec : guide d’utilisation. Par Stéphane Grynwajc, Avocat.
Parution : mardi 1er décembre 2020
Adresse de l'article original :
https://www.village-justice.com/articles/loi-sur-protection-des-donnees-personnelles-quebec-analyse-impacts-pour-les,37309.html
Reproduction interdite sans autorisation de l'auteur.

L’intention du Projet de loi est d’augmenter le niveau de protection des renseignements personnels et de renforcer le consentement des utilisateurs en responsabilisant les acteurs économiques

Dans un article [1] publié sur mon blog j’avais présenté la réglementation canadienne en matière de protection des données à caractère personnel, une réglementation à la fois au niveau fédéral (dans le cadre de la loi sur la protection des renseignements personnels et les documents électroniques, plus communément connue sous son abréviation anglaise de PIPEDA, pour le traitements de données dans le secteur privé, et dans le cadre du Federal Privacy Act s’agissant des traitements par les organismes du secteur public) et au niveau de chacune des 10 provinces du Canada.

Le RGPD et l’approche réglementaire européenne dans le domaine des données personnelles ont eu, et continuent d’avoir, un impact considérable à travers le monde, forçant les législateurs à repenser voire réécrire leur propre législation nationale en la matière, comme c’est le cas outre Atlantique, avec la mise en œuvre depuis le 1er janvier 2020 du California Consumer Privacy Act (ou CCPA) de 2018, lequel a également influencé la refonte d’une quinzaine d’autres réglementations étatiques aux Etats-Unis.

Le Canada ne fait pas exception, avec un certain nombre d’avenants récents à la loi sur la protection des données personnelles au Québec, PIPEDA. C’est également le cas au Québec qui, cette année, a entrepris une refonte de son arsenal législatif concernant la protection des renseignements personnels, au travers d’un Projet de loi sur la protection des données personnelles au Québec dite Loi n°64, dans des termes finalement très proches de l’esprit du texte européen.

Le présent article présente le nouveau Projet de loi sur la protection des données personnelles au Québec, et dresse un certain nombre de comparaisons avec le RGPD.

L’esprit du Projet de loi sur la protection des données personnelles au Québec.

La volonté affichée du Projet de loi n°64 est de moderniser l’encadrement législatif applicable à la protection des renseignements personnels au Québec.

Cette volonté se traduit par un certain nombre d’actions concrètes. Ainsi, le projet de loi sur la protection des données personnelles au Québec :
- introduit des règles concernant le traitement des incidents affectant la confidentialité des renseignements personnels (à l’instar de ce qui est déjà prévu dans PIPEDA ou dans la législation de l’Alberta), avec notamment l’obligation pour les entreprises de tenir un registre des incidents qui devra être transmis sur demande à la Commission d’accès à l’information (CAI) ;
- oblige les organismes publics et entreprises du secteur privé à publier des règles encadrant la gouvernance des traitements et, s’agissant de la collecte en ligne des renseignements, à publier et diffuser une politique de confidentialité ;
- introduit l’exigence de réaliser une analyse d’impact dans certaines circonstances, notamment en cas de traitement automatisé ;
- précise diverses exigences et exceptions au consentement des utilisateurs préalablement à la mise en œuvre de certains traitements ;
- encadre les traitements automatisés au moyen d’une technologie permettant l’identification, la localisation, ou le profilage, en imposant certaines obligations en matière d’information des personnes concernées, laquelle information devra offrir à la personne concernée la possibilité de désactiver les fonctions permettant ladite identification, localisation, ou profilage ;
- instaure le droit des personnes concernées à la portabilité de leurs renseignements personnels informatisés, ainsi qu’un droit d’opposition à un traitement automatisé de leurs données ;
- crée, à l’instar de ce qui est déjà prévu dans PIPEDA ou dans certaines autres législations provinciales, comme dans l’Alberta et en Colombie Britannique, une exception permettant la communication des renseignements personnels dans le cadre d’une transaction commerciale sans le consentement préalable des personnes concernées, sous réserve de certaines modalités ;
- précise les obligations des organismes publics et des entreprises en matière de conservation des renseignements personnels ;
- révise les fonctions et les pouvoirs de la CAI, qui pourra désormais imposer des sanctions administratives pécuniaires ;
- modifie les dispositions pénales applicables en cas de contravention à la loi sur la protection des données personnelles au Québec, notamment en augmentant le montant des amendes ;
- crée la fonction de responsable de la protection des renseignements personnels au sein des entreprises ;
- retire aux entreprises la possibilité de communiquer, sans le consentement des personnes concernées, des listes nominatives, et révise les règles encadrant l’utilisation des renseignements personnels à des fins de prospection commerciale ;
- octroie de nouveaux droits aux personnes concernées s’agissant de leurs renseignements personnels, dont celui d’exiger que cesse leur diffusion ou d’imposer la désindexation ou la ré-indexation d’un hyperlien rattaché à son nom permettant d’accéder à ce renseignement ;
- prévoit que, lorsqu’une entreprise recueille des renseignements personnels en offrant un produit ou un service technologique, celle-ci devra s’assurer que les paramètres de ce produit ou de ce service assurent le plus haut degré de confidentialité ;
- prévoit de nouvelles règles en matière de transfert de renseignements personnels hors Québec.

A travers ces différentes mesures législatives, l’intention du législateur est d’augmenter le niveau de protection des renseignements personnels, de renforcer le consentement des utilisateurs en responsabilisant les acteurs économiques, notamment par la mise en œuvre d’une obligation renforcée de transparence. A noter que ces nouvelles obligations s’appliqueraient non seulement à l’entreprise qui traite directement des renseignements personnels, mais aussi aux tiers lorsque cette entreprise fait appel à des sous-traitants, comme par exemple en cas d’hébergement externalisé des données sur un serveur de tiers.

Ce Projet de loi sur la protection des données personnelles au Québec intervient dans un contexte où cette province canadienne, qui était pourtant la première à réglementer sur le sujet il y a maintenant plus de 25 ans, n’est aujourd’hui plus en adéquation avec le contexte international actuel, les avancées technologiques des dernières années, et les autres lois canadiennes prises ou mises à jour au niveau fédéral et provincial comme avec les différentes lois nationales et supranationales, dont le RGPD, adoptées depuis.

On rappellera que si PIPEDA a reçu en 2001 une décision d’adéquation de la Commission Européenne, validant en cela les transferts de données à caractère personnel depuis l’Europe vers le Canada, tel n’est pas le cas s’agissant de la Loi québécoise actuelle sur le secteur privé. L’espoir est que les nouvelles modifications introduites par le Projet de loi n°64 contribueront à terme à aboutir à une telle décision d’adéquation pour les transferts de données personnelles européennes vers le Québec.

On notera que le Projet de loi sur la protection des données personnelles au Québec prévoit des sanctions administratives conséquentes pour les entreprises qui ne se plieraient pas aux règles, allant jusqu’à 10 millions de dollars ou 2% de leur chiffre d’affaires mondial, si ce montant est plus élevé, tout en offrant la possibilité en parallèle d’intenter des actions en responsabilité pour l’obtention de dommages et intérêts. Au niveau pénal, le Projet de loi sur la protection des données personnelles au Québec prévoit des sanctions pouvant aller jusqu’à 25 millions de dollars ou 4% du chiffre d’affaires de l’entreprise si ce montant est plus élevé, l’amende minimale étant de 15 000 dollars (contre, actuellement, des amendes de 1 000 dollars à 10 000 dollars, et jusqu’à 20 000 dollars en cas de récidive).

H2 - Analogie avec le RGPD.

Les entreprises ayant entrepris un processus de mise en conformité avec le RGPD auront moins de difficultés à absorber les nouveautés apportées par la réglementation québécoise. En effet, cette dernière empreinte de nombreuses similitudes avec le modèle européen.

Premièrement, les entreprises du secteur privé devront créer la fonction de responsable de la protection des renseignements personnels en charge de l’application et du contrôle des règles sur la protection des renseignements personnels, missions qui s’apparentent de près à celles du DPO (délégué à la protection des données) instituées par le RGPD.

Le recueil du consentement, sur sa forme, devra être formulé en des termes simples, clairs et distinct de toute autre information communiquée à la personne qui le recueille, reprenant les mêmes conditions que celles posées à l’article 7 du RGPD, et un droit à l’oubli (article 17 du RGPD) sera désormais garanti permettant d’exiger le retrait ou l’utilisation d’une donnée recueillie.

La notion de « haut niveau de confidentialité par défaut », équivaut à la protection de la vie privée dès la conception inscrite au RGPD, et est instaurée afin de réglementer les services et produits des entreprises québécoises, en posant un minima de paramètres visant à garantir en matière de protection des données.

Sur les données en tant que telles, ne peuvent être récoltées que celles nécessaires, et leur usage devra être déterminé et précisé avant la collecte, se rapprochant en cela des principes énoncés par le RGPD en matière de finalités déterminées, explicites et légitimes, sans traitement ultérieur (article 5).

De même, le terme de « renseignement personnel sensible » qui nécessite un traitement spécifique, notamment par un consentement express, reprend l’idée de traitement de « données sensibles » du RGPD, tout comme la création d’un registre des incidents de confidentialité, cousin du registre des violations de données au niveau européen.

Les conséquences techniques dans la gestion des relations contractuelles.

Les données recueillies sans consentement ne pourront être traitées que si elles ont une finalité en lien directe avec l’exécution du contrat, il s’agit d’une exception à l’obtention du consentement dans un contexte de transaction commerciale.
Mais toutes les activités qui sortent de ce cadre devront garantir sécurité, protection et information concernant l’utilisation et la conservation des renseignements personnels.

Cette réglementation impacte considérablement les relations contractuelles, notamment avec des sous-traitants, dont il devra être vérifié qu’ils répondent aux mêmes exigences et garanties, nécessitant intrinsèquement la conclusion d’un acte juridique.

D’autre part, en cas de communication hors Québec, lorsque les données personnelles seront concernées, l’entreprise, notamment en matière de prospection commerciale, devra s’assurer que la législation étrangère est équivalente en matière de protection, et la communication faire l’objet d’une entente écrite, ou les données ne pourront pas être communiquées.

Au-delà des relations contractuelles.

Bien que la plupart des dispositions transitoires et finales du Projet de loi sur la protection des données personnelles au Québec disposeront d’un délai d’un an après leur adoption avant d’entrer en vigueur, il est recommandé aux entreprises qui collectent des données de résidents Québécois dans le cadre de leur activité de prendre dès à présent un certain nombre d’initiatives en amont de l’entrée en vigueur du nouveau texte, parmi lesquelles :
- passer leur politique de protection des renseignements personnels au crible afin de s’assurer qu’elle répondra aux nouvelles exigences de transparence du Projet de loi sur la protection des données personnelles au Québec ;
- revoir leurs formulaires de consentement à la collecte et au traitement des renseignements personnels ;
- effectuer un audit des renseignements personnels qu’elles détiennent afin de déterminer leur degré de sensibilité et le niveau de protection requis ;
- mettre en place ou réviser leurs protocoles internes en cas de survenance d’un incident de confidentialité ;
- s’assurer de recourir - et de vérifier que ses sous-traitants recourent - à des moyens technologiques répondant aux plus hauts standards de sécurité.

A cet effet on ne saura bien sûr insister assez sur l’importance de se faire accompagner par un avocat spécialisé dans ces questions tant en droit français qu’en droit canadien.

Stéphane Grynwajc Avocat aux barreaux de Paris, de New-York, et du Québec Solicitor (England and Wales) Cabinet S. Grynwajc www.transatlantic-lawyer.com/fr [->stephane@avocat-transatlantique.com]