Le Projet de loi n°64[1] apporte son lot de nouveautés[2] en donnant de nouveaux droits aux individus et, corrélativement, en imposant de nouvelles obligations aux organisations. Dans ce bulletin, pour les entreprises du secteur privé, il sera question des obligations relatives à la durée de conservation et à l'anonymisation des renseignements personnels, d'une part, ainsi qu'aux obligations résultant de la désindexation, d'autre part.
La durée de conservation des renseignements personnels : des questions encore en suspens
L'article 111 du Projet de Loi n°64 crée un nouvel article 23 selon lequel :
« 23. Lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise doit le détruire ou l'anonymiser, sous réserve d'un délai de conservation prévu par une loi.
Pour l'application de la présente loi, un renseignement concernant une personne physique est anonymisé lorsqu'il ne permet plus, de façon irréversible, d'identifier directement ou indirectement cette personne.
Les renseignements anonymisés en vertu de la présente loi doivent l'être selon les meilleures pratiques généralement reconnues. ».
À ce jour, la Loi sur la protection des renseignements personnels dans le secteur privé[3] (« Loi sur le secteur privé ») dispose que les renseignements personnels ne peuvent être conservés que pendant le temps nécessaire aux fins identifiées (Loi sur le secteur privé, article 10) ou pour permettre à la personne concernée d'épuiser les recours prévus par la loi (Loi sur le secteur privé, art. 36) étant précisé que « l'utilisation des renseignements contenus dans un dossier n'est permise, une fois l'objet du dossier accompli, qu'avec le consentement de la personne concernée, sous réserve du délai prévu par la loi ou par un calendrier de conservation établi par règlement du gouvernement » (Loi sur le secteur privé, article 12), calendrier qui n'a jamais été établi concernant la durée de conservation à laquelle se réfère l'article 10 ci-dessus mentionné.
Le Projet de Loi n°64 va plus loin au chapitre de la conservation des renseignements personnels : une fois que la finalité pour laquelle le renseignements personnel aura été accomplie, et sous réserve d'un délai de conservation prévu par la loi (qui reste toujours à prévoir), il convient soit de détruire le renseignement en question, soit de l'anonymiser.
Si la notion de destruction ne pose pas de problème en soi, celle d'anonymisation peut être plus difficile à appréhender. C'est pourquoi, le nouvel article 23 introduit par Projet de Loi n°64 en donne des critères :
- Le procédé d'anonymisation doit être irréversible : « un renseignement concernant une personne physique est anonymisé lorsqu'il ne permet plus, de façon irréversible, d'identifier directement ou indirectement cette personne » [souligné par nos soins];
- Il doit être impossible d'identifier directement ou indirectement l'individu concerné : « un renseignement concernant une personne physique est anonymisé lorsqu'il ne permet plus, de façon irréversible, d'identifier directement ou indirectement cette personne » [souligné par nos soins].
Ainsi, ce faisant, le Projet de Loi n°64 vient expliquer la distinction entre « anonymisation » et « dépersonnalisation ». Alors que l'anonymisation est un procédé qui ne permet plus d'identifier directement ou indirectement un individu, la dépersonnalisation (à laquelle réfère notamment le nouvel article 12) est un procédé qui « ne permet plus d'identifier directement la personne concernée » et qui permet, notamment, de conserver des renseignements « 3° lorsque [l']utilisation est nécessaire à des fins d'étude, de recherche ou de production de statistiques »[4]. L'expression « indirectement » est donc au cœur de la distinction entre anonymisation et dépersonnalisation.
En tout état de cause, et comme l'affirme très clairement l'alinéa 3 du nouvel article 23, l'anonymisation devra être considérée comme une meilleure pratique et appliquée à large échelle selon le Projet de Loi n°64.
En pratique, cela signifie que les entreprises du secteur privé devront déterminer, dans des politiques accessibles au public, les durées de conservation dans les limites prévues par la loi ainsi que la façon dont les renseignements seront détruits, voire anonymisés ou dépersonnalisés[5].
Les entreprises délinquantes au chapitre de la détention ou de l'utilisation de renseignements personnels pourront se voir imposer des sanctions pécuniaires[6] ou faire face à des accusations de nature pénale (Projet de Loi n°64, nouvel article 91)[7], selon le cas et selon le type de contravention[8].
Dans ce contexte, nous recommandons fortement aux organisations de se préparer en amont à cet égard, notamment en identifiant les renseignements collectés, leurs durées de conservation et, à l'échéance de cette durée, les procédés mis en œuvre pour les détruire ou les anonymiser. Une révision des politiques est à cet égard fortement recommandée.
Un réel droit à l'oubli ou un simple droit à la désindexation?
Le Projet de Loi n°64 introduit un nouveau droit pour les individus, qui s'apparente à un « droit à l'oubli » (Projet de Loi n° 64, art. 113, créant un nouvel article 28.1). Il s'agit d'un droit double, dès lors qu'il permet à une personne d'exiger d'une organisation de (i) cesser de publier des informations personnelles ou (ii) de désindexer un hyperlien donnant accès à ces informations, et ce lorsque les critères suivants sont réunis:
- la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire; ou,
- la diffusion de ce renseignement lui cause un préjudice grave relatif au droit au respect de sa réputation ou de sa vie privée.
Ce droit à la désindexation n'implique donc pas la suppression du contenu en ligne qui fait l'objet de la recherche, mais seulement la suppression des résultats de la recherche. Mais il va plus loin car il permet d'obtenir que l'entreprise privée cesse la diffusion de ce renseignement.
Le Projet de Loi n°64 encadre ce nouveau droit de façon stricte :
- le préjudice grave que la personne concernée subit doit être « manifestement supérieur à l'intérêt du public de connaître ce renseignement ou à l'intérêt de toute personne de s'exprimer librement ».
Pour savoir si le préjudice grave est manifestement supérieur à l'intérêt du public, le Projet de Loi n°64 propose de prendre en compte les critères suivants :
- le fait que la personne concernée est une personnalité publique;
- le fait que la personne concernée est mineure;
- le fait que le renseignement est à jour et exact;
- la sensibilité du renseignement;
- le contexte dans lequel s'effectue la diffusion du renseignement;
- le délai écoulé entre la diffusion du renseignement et la demande de désindexation;
- si le renseignement concerne une procédure criminelle ou pénale, de l'obtention d'un pardon ou de l'application d'une restriction à l'accessibilité des registres des tribunaux judiciaires;
- la cessation de la diffusion, la réindexation ou la désindexation demandée n'excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice.
En tout état de cause, ce nouveau droit double se rapproche de celui, également à visages multiples, prévu par le droit de l'Union Européenne[9].
Rappelons en effet que le droit à l'oubli prévu par l'article 17 (intitulé « droit à l'effacement » et sous-intitulé « droit à l'oubli ») du Règlement Général sur la Protection des Données (« RGPD »)[10] consiste tout d'abord dans le droit qu'a toute personne concernée d'obtenir de l'entité qui détient ses renseignements personnels « l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais », lorsque, notamment (i) les renseignements personnels ne sont plus nécessaires au regard des finalités pour lesquelles ils ont été collectés ou traités ; (ii) la personne concernée retire son consentement; (iii) la personne concernée s'oppose au traitement et il n'existe pas de motif légitime impérieux pour le traitement; (iv) les renseignements personnels ont fait l'objet d'un traitement illicite; (v) les renseignements personnels doivent être effacées pour respecter une obligation légale.
Il consiste également, selon la jurisprudence de la Cour de Justice de l'Union Européenne, dans le « droit au déréférencement » (similaire au droit à la désindexation du Projet de Loi n°64), selon lequel l'individu concerné peut demander à un exploitant d'un moteur de recherche de supprimer tous les résultats d'une recherche effectuée avec le nom d'une personne, droit consacré dès 2014[11]. C'est à cet égard que le Projet de Loi n°64 tend à se rapprocher du RGPD.
En conclusion, avec ces nouvelles dispositions, le Projet de Loi n°64 semble vouloir combler une faille qui existe avec la Loi sur le secteur privé et s'inscrire dans une tendance plus globale d'harmonisation avec le RGPD.
|
CENTRE DE RESSOURCES PL64 - Découvrez notre centre de ressources dédié au Projet de Loi 64regroupant toutes les informations que vous devez savoir pour faire face aux changements qui pourraient être apportés à la législation. INSTITUT FASKEN - Inscrivez-vous à notre formation qui fera la lumière sur les principales modifications à la loi 64 et les impacts à prévoir dans la gestion de vos affaires. LISTE DE DISTRIBUTION - Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution. |
[1] Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
[2] Pour d'autres commentaires sur différents aspects du Projet de loi n°64, visiter le site du Centre de ressources de Fasken dédié au Projet de loi n°64.
[3] Loi sur la protection des renseignements personnels dans le secteur privé, P-39.1.
[4] Projet de Loi n°64, nouvel article 12, 3°. Voir notamment J. Stoddart, J.-R. Champagne et A. Barbach, Études et recherches : des changements significatifs apportés au milieu de la recherche, Bulletin Fasken.
[5] Projet de Loi n°64, nouvel article 3.2.
[6] Projet de Loi n°64, nouvel article 90.12 : la sanction admnistrative pécunaire pourrait aller jusqu'à 10 000 000 $ (ou montant correspondant à 2 % du chiffre d'affaires mondial de l'exercice financier précédent si ce dernier montant est plus élevé)
[7] Projet de Loi n°64, nouvel article 91 : les entreprises privées pourraient également se voir imposer une amende pouvant aller jusqu'à 25 000 000 $ (ou 4 % du chiffre d'affaires mondial de l'exercice financier précédent si ce dernier montant est plus élevé) en cas de collecte, détention, communication ou utilisation de renseignements personnels en contravention à la loi
[8] Voir notamment G. Pelegrin, La Commission d'accès à l'information pourra sanctionner les entreprises sur simple décision administrative d'un montant allant jusqu'à 10 millions de dollars, Bulletin Fasken.
[9] J. Uzan-Naulin, Le PL 64: à la recherche du RGPD?, Bulletin Fasken
[10] Règlement Général sur la Protection des données, 2016/679, 27 avril 2016. Voir notamment, concernant le droit à l'oubli : J. Uzan-Naulin, La portée (extra) territoriale du RGPD : le droit à l'oubli, Bulletin Fasken.
[11] CJUE, 13 mai 2014, C-131/12, Google Spain SL et Google Inc. c. Agencia Española de Protección de Datos (AEPD) et Mario Costeja González.
