Projet de loi 64, ou Redonner aux Québécois le plein contrôle de leurs données personnelles

25 juin 2020

Dans le but de protéger les renseignements personnels des citoyens québécois, la ministre de la Justice et ministre responsable des Institutions démocratiques, de la Réforme électorale et de l’Accès à l’information a déposé, le 12 juin dernier, le projet de loi 64 introduisant la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, qui vise à renforcer significativement la législation en matière de protection renseignements personnels actuellement en vigueur au Québec. Ce projet de loi vise à responsabiliser les divers organismes publics, les entreprises privées et, pour la première fois dans l’histoire du Québec, les partis politiques.

« La protection de nos renseignements personnels est un droit fondamental. Par ce dépôt, nous souhaitons doter le Québec d’une législation en phase avec le contexte numérique dans lequel évoluent dorénavant les données personnelles. Redonner aux citoyens le plein contrôle de leurs renseignements personnels, c’est leur redonner confiance. »

- Sonia Lebel, ministre de la Justice et ministre responsable des Institutions démocratiques, de la Réforme électorale et de l’Accès à l’information

 Le Projet de loi 64 propose des modifications législatives d’envergure qui auront des impacts notables sur les entreprises et les organismes publics assujettis :

  • Il exige de toute organisation privée ou publique qui œuvre au Québec qu’elle détruise l’information personnelle recueillie après utilisation aux fins prévues et légales. Deux façons de procéder s’offrent alors aux entreprises : supprimer complètement la donnée recueillie ou la rendre anonyme;
  • Toute organisation privée assujettie doit procéder à la nomination d’une personne responsable de la protection des renseignements personnels et se doter de politiques et de pratiques encadrant sa gouvernance à l’égard des renseignements personnels qu’elle recueille et détient de manière à en assurer la protection;
  • Le projet de loi exige des entreprises privées que les paramètres des produits ou des services technologiques utilisés pour recueillir les données personnelles assurent, par défaut, le plus haut niveau de confidentialité;
  • En cas d’incident de confidentialité impliquant un renseignement personnel, les organisations privées et publiques assujetties doivent prendre des mesures afin d’aviser la Commission d’accès à l’information et les personnes affectées, en plus de veiller à réduire les risques de préjudices pour ces dernières. Elles doivent de plus agir afin de s’assurer que des incidents similaires ne se reproduisent plus;
  • Le projet de loi exige un consentement libre, éclairé et spécifique de la part de la personne concernée. Dans le même esprit, les organisations privées et publiques assujetties doivent obtenir le consentement recherché dans une communication distincte de toute autre transmission d’information;
  • Les termes juridiques utilisés dans les communications aux particuliers devront être adéquatement vulgarisés;
  • Les organisations privées et publiques assujetties doivent obtenir le consentement du titulaire de l’autorité parentale pour une collecte, une utilisation ou une communication de renseignements personnels concernant un mineur de moins de 14 ans;
  • Le Projet retire aux entreprises le droit de communiquer des listes nominatives sans le consentement des particuliers.

De nouveaux droits conférés aux particuliers

 Le Projet de loi 64 garantit d’importants nouveaux droits aux particuliers :

  • Le Projet prévoit le droit à l’effacement, qui permet aux individus d’exiger la fin de la diffusion d’un renseignement personnel. Toute personne peut également demander à ce que soit désindexé ou réindexé un hyperlien rattaché à son nom qui permet d’avoir accès à un renseignement personnel par moyen technologique;
  • Le Projet instaure le droit d’une personne d’accéder aux renseignements personnels la concernant dans un format technologique structuré, ou d’en exiger la communication à un tiers;
  • L’accès aux renseignements personnels d’une personne décédée est élargi aux conjoints et proches parents si la connaissance du renseignement personnel détenu par l’organisation est susceptible de les aider dans leur processus de deuil, sous réserve d’un refus préalable consigné par écrit par la personne décédée.

 Qu’en est-il de l’impact dit « historique » sur les partis politiques ?

 Les partis politiques ne sont présentement assujettis à aucune des deux lois particulières qui encadrent la protection des renseignements personnels, et ne sont soumis à cet égard qu’aux dispositions de la Loi électorale.

 Le projet de loi corrige cette lacune en assujétissant les entités autorisées par la Loi électorale aux dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé. Il définit également les fins pour lesquelles les renseignements personnels d’électeurs peuvent être recueillis et utilisés, ce que la Loi électorale ne précise pas dans sa forme actuelle.

 Un projet de loi avec du mordant, prévoyant des amendes salées

La plus grande modification envisagée par le Projet de loi 64 constitue une petite révolution dans le domaine de la protection des renseignements personnels au Québec. Les organisations privées assujetties pourront en effet se voir imposer de nouvelles sanctions pénales monétaires en cas de violation des règles de collecte, d’utilisation et de protection des renseignements personnels.

À l’heure actuelle, une organisation privée s’expose à une amende maximale de 10 000 $ (et de 50 000 $, en cas de récidive). Or, le projet augmente de manière notable les pénalités applicables. Si le projet de loi est adopté dans sa forme actuelle :

  • Les entreprises assujetties s’exposeront à des amendes de 15 000 $ à 25 millions de dollars ou de 4 % de leur chiffre d’affaires mondial (si ce dernier montant est plus élevé);
  • Dans le cas d’une personne physique, les amendes prévues iront de 5000 $ à 50 000 $;
  • Ces amendes pourront notamment être imposées lorsqu’une organisation ou ses représentants omettent de déclarer à la Commission un incident de confidentialité.

Des pouvoirs accrus pour la Commission

 Le Projet de loi 64 donne à la Commission d’accès à l’information des pouvoirs de surveillance et d’intervention accrus, qui vont de pair avec l’approche de responsabilisation des organisations et de sauvegarde effective des droits des particuliers qui est à la base du Projet :

  • La Commission peut exiger d’une organisation privée ou publique, par demande péremptoire, la production de tout renseignement ou document permettant de vérifier l’application des lois auxquelles elle est assujettie;
  • Suivant un incident de confidentialité, la Commission peut rendre des ordonnances visant l’application de toute mesure jugée appropriée pour protéger les droits des personnes concernées;
  • La Commission peut également imposer des sanctions pécuniaires administratives pouvant atteindre jusqu’à 10 millions de dollars, ou 2 % du chiffre d’affaires mondial de l’entreprise si ce dernier montant est plus élevé.

Nous suivrons avec attention l’étude de ce projet de loi alors qu’il sera soumis aux prochaines étapes dès l’automne 2020. Restez connectés!