Avec le Projet de loi 64[1], le Québec devient le chef de file du Canada dans la réforme des lois relatives à la protection des renseignements personnels[2] et tend à se rapprocher du Règlement Général sur la Protection des Données ("RGPD")[3]. En effet, l'analyse du projet de loi révèle de nombreuses similitudes avec le RGPD tant en ce qui concerne les droits des individus qu'en ce qui concerne les obligations des entreprises.
Nouveaux droits pour les individus
Actuellement, en vertu de la Loi sur le secteur privé du Québec, les individus ont le droit d'être informés afin d'obtenir leur consentement, d'accéder à leurs renseignements personnels et de les corriger. Le projet de loi 64 leur accorde des droits supplémentaires, tendant ainsi à se rapprocher de ceux prévus par le RGPD.
Le consentement de l'individu
Comme nous l'avions écrit dans un précédent bulletin[4], l'individu, pour donner son consentement, doit être informé. Pour obtenir un tel consentement, les informations à communiquer à la personne doivent être rédigées dans un langage clair et simple, et contiennent notamment les fins et les moyens par lesquels les renseignements sont recueillis, les droits des individus ainsi que, le cas échéant, le nom du tiers pour qui la collecte est faite et la possibilité que les renseignements soient communiqués à l'extérieur du Québec.
Ensuite, dans un second temps, le projet de loi prévoit que, sur « demande de sa part », l'individu doit être informé du type de renseignements collectés, des catégories de personnes ayant accès à ces renseignements au sein de l'organisation, de leur durée de conservation ainsi que des coordonnées du responsable de la protection des renseignements personnels[5].
Cette façon de rédiger en deux temps (informations principales et informations supplémentaires) se rapproche de l'article 13 du RGPD.
En outre, comme dans le RGPD, le consentement à la collecte, l'utilisation ou la divulgation de renseignements personnels doit être demandé séparément de toute autre information fournie à l'individu.
Concernant le consentement, un autre parallèle peut être réalisé avec le RGPD, notamment ses articles 9 et 89, celui des exceptions au consentement et notamment lorsque l'utilisation des renseignements personnels est nécessaire à des fins d'étude, de recherche ou de production de statistiques et qu'il est dépersonnalisé, à savoir qu'il ne permet plus d'identifier directement la personne concernée (PL 64, art. 102).
Droits additionnels conférés par le PL 64
Le projet de loi 64 introduit également de nouveaux droits pour les individus, qui sont similaires à ceux prévus par le RGPD:
- le droit à l'oubli (droit de déréférencement, PL 64, art. 113). Le PL 64 permet à une personne d'exiger d'une organisation de cesser de publier des informations personnelles ou de désindexer un hyperlien donnant accès à ces informations lorsque leur diffusion porte gravement atteinte à la réputation ou à la vie privée de la personne et lorsque ce préjudice l'emporte clairement sur l'intérêt du public à connaître ces informations. Ce nouveau droit est similaire à celui prévu par l'article 17 du RGPD, expliqué par les jurisprudences européennes telles Google Spain[6] et Google c. CNIL[7];
- le droit à la portabilité des données, c'est-à-dire le droit d'un individu de recevoir les informations personnelles qu'il a fournies à une organisation dans un format technologique structuré et couramment utilisé. À la demande de cette personne, ces informations doivent être transmises à toute autre personne ou organisation (projet de loi 64, article 112).
- les droits liés à l'utilisation des technologies : Dans ce cas, la personne doit, en plus des éléments énoncés ci-dessus, être informée de l'utilisation d'une technologie particulière et, le cas échéant, des moyens disponibles pour désactiver les fonctions utilisées pour l'identification, la localisation ou le profilage (PL 64, art. 8.1; à noter que le profilage est défini à l'article 8.1 paragraphe 2, de façon assez proche avec le RGPD). Toutefois, contrairement au RGPD, le PL 64 n'accorde pas le droit de ne pas être soumis à une décision automatisée.
Nouvelles obligations imposées aux organisations
Le projet de loi 64 prévoit également des obligations supplémentaires pour les organisations qui s'alignent avec celles prévues par le RGPD.
Par exemple, à l'instar du délégué à la protection des données du RGPD, l'obligation de nommer une personne qui sera responsable de la protection des renseignements personnels au sein des organisations a été ajoutée (projet de loi 64, art. 95)[8].
Le projet de loi 64 introduit également le concept de "privacy by default" ou "confidentialité par défaut" qui sont des paramètres par défaut selon lesquels les entreprises qui offrent des biens ou des services technologiques et qui recueillent des informations personnelles doivent s'assurer que les paramètres des biens ou des services fournissent le "plus haut niveau de confidentialité par défaut", sans aucune intervention de la personne concernée (projet de loi 64, art. 100). Ce n'est rien d'autre que la notion de la protection de la vie privée dès la conception et par défaut du RGPD (art. 25).
En matière de divulgation à l'extérieur du Québec, l'article 103 du PL 64 introduit un nouveau régime. En effet, avant de transférer des renseignements personnels à l'extérieur du Québec, une étude d'impact devra être réalisée afin de démontrer que l'information bénéficierait d'une protection équivalente à celle prévue par la Loi sur le secteur privé du Québec. Par ailleurs, comme dans l'Union Européenne, le ministre publiera une liste des pays où les lois sur la protection de la vie privée offrent une protection équivalente à celle offerte au Québec. Cette liste peut s'assimiler aux décisions d'adéquation prévues par le droit européen qui permettent le transfert de renseignements personnels depuis l'Union européenne vers un pays tiers (voir, notamment, RGPD, art. 45).
En outre, en cas d'incidents de sécurité[9], le PL 64 prévoit une obligation de notification de la Commission d'accès à l'information et, le cas échéant des individus concernés, ainsi que la tenue d'un registre, se rapprochant ainsi des articles 33 et 34 du RGPD.
Enfin, concernant les sanctions, le projet de loi 64 augmentera considérablement les amendes qui peuvent être imposées aux entités des secteurs privé et public qui ne respectent pas la législation provinciale sur la protection de la vie privée[10].
Les entités du secteur privé seront soumises à des amendes allant de 15 000 à 25 000 000 $, ou à un montant correspondant à 4 % du chiffre d'affaires mondial de l'exercice financier précédent, selon le montant le plus élevé. Cela représente une augmentation considérable par rapport à la pénalité maximale actuelle de 50 000 dollars, et ferait de la Loi sur le secteur privé la loi sur la protection de la vie privée la plus punitive au Canada - avec une amende potentielle dépassant celles prévues par la loi sur la concurrence, ou la loi anti-pourriel, CASL.
De plus, le projet de loi 64 accorderait à la Commission d'accès à l'information, le pouvoir d'imposer des sanctions administratives pécuniaires pour certaines infractions à la suite d'un avis de non-conformité - avec un maximum de 10 000 000 $ ou, si ce montant est plus élevé, un montant correspondant à 2 % du chiffre d'affaires mondial de l'exercice financier précédent.
Là encore, la similitude avec le système d'amendes du RGPD est évidente. En effet, il convient de rappeler que l'article 83 du RGPD prévoit des amendes pouvant aller, en fonction du type de violations au RGPD, jusqu'à 20 000 000 d'euros ou 4 % du chiffre d'affaires annuel mondial.
Il résulte de ce panorama que le PL 64 tend, dans une certaine mesure, à se rapprocher du RGPD. Est-ce à dire qu'une décision de la Commission européenne qui reconnaîtrait le Québec comme territoire adéquat est à envisager? Cela permettrait un transfert de renseignements personnels de l'Union Européenne vers le Québec sans aucune autre formalité.
|
CENTRE DE RESSOURCES PL64 - Découvrez notre centre de ressources dédié au Projet de Loi 64regroupant toutes les informations que vous devez savoir pour faire face aux changements qui pourraient être apportés à la législation. INSTITUT FASKEN - Inscrivez-vous à notre formation qui fera la lumière sur les principales modifications à la loi 64 et les impacts à prévoir dans la gestion de vos affaires. LISTE DE DISTRIBUTION - Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution. |
[1] Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
[2] Jennifer Stoddard, "Quebec takes the lead in privacy law but overreaches", Financial Post, 15 July 2020.
[3] Règlement Général sur la Protection des Données, 2016/679.
[4] Aya Barbach & Julie Uzan-Naulin, "PL 64 – C comme Consentement - Une simplification complexe?», Bulletin Fasken.
[5] Aya Barbach, Nouveau personnage au sein des entreprises du secteur privé : le Responsable à la protection des renseignements personnels, Bulletin Fasken.
[6] CJUE, 13 mai 2014, C-131/12, Google Spain SL et Google Inc. c. Agencia Española de Protección de Datos (AEPD) et Mario Costeja González.
[7] CJUE, 24 septembre 2019, C-507/17, Google LLC c. Commission nationale de l'informatique et des libertés (CNIL).
[8] Aya Barbach, Nouveau personnage au sein des entreprises du secteur privé : le Responsable à la protection des renseignements personnels, Bulletin Fasken.
[9] Pour plus de détails, voir Kateri-Anne Grenier, William Deneault-Rouillard et Geneviève Laliberté, « Nouvelles obligations de signalement d'incidents de confidentialité en cette période de cybertension », Bulletin Fasken.
[10] Guillaume Pelegrin, « La Commission d'accès à l'information pourra sanctionner les entreprises sur simple décision administrative d'un montant allant jusqu'à 10 millions de dollars», Fasken bulletin.
