Depuis quelques années, la tendance législative dans les pays du G20 est de renforcer la protection de la vie privée. L’entrée en vigueur, en 2018, du Règlement général sur la protection de données (RGPD), une mesure législative de l’Union européenne, a aussi contribué à mettre de la pression sur nos gouvernements. « Sans compter qu’il y a une expectative par le grand public québécois, surtout à la suite des scandales de fuites », souligne Me Elisa Henry. Déposé le 12 juin 2020 à l’Assemblée nationale du Québec, le projet de loi 64 proposant de moderniser la Loi sur la protection des renseignements personnels comporte de nouvelles exigences pour les organisations et les entreprises.

Survol des principales nouveautés présentement à l’étude

● Les sanctions. La Commission d’accès à l’information (CAI) aura le pouvoir d’imposer des amendes allant jusqu’à 10 millions de dollars ou 2% du chiffre d’affaires de l’année fiscale de l’année précédente. En cas de récidive, l’amende s’élèvera à 25 M$ ou à 4%.

● Obligation de notifier les incidents de sécurité. En cas d’incident de sécurité créant un « risque de préjudice sérieux », l’entreprise devra aviser les personnes concernées et notifier la Commission d’accès à l’information.

● Obligation d’adopter le principe de confidentialité dès la conception (privacy by default). « Cette approche serait lourde à implanter pour l’industrie. Une personne qui voudrait développer un nouvel outil informatique ou logiciel devra prouver son bien-fondé en traitant le moins possible de données personnelles. En outre, pour chaque nouveau projet informatique, il faudra effectuer une évaluation des facteurs relatifs à la vie privée.»

● Un responsable de la conformité par entreprise. Par défaut, le président de l’entreprise est reconnu comme le responsable de la protection de la vie privée. Il peut cependant déléguer cette fonction à un membre de son personnel.

● Évaluation des facteurs relatifs à la vie privée à l’extérieur du Québec. « Avant de pouvoir transférer des renseignements personnels hors de la province, par exemple pour héberger des données sur les serveurs d’une entreprise offrant une solution de cloud basée en Ontario, ou confier son système de payroll à un fournisseur de services basé en Californie, l’entreprise devra faire une évaluation des facteurs de la vie privée en prenant notamment en considération le niveau de protection offert par la juridiction étrangère, explique Me Henry. L’entreprise devra tenir compte non seulement du droit écrit, mais aussi des pratiques administratives, la façon dont la loi est appliquée et établir son équivalence avant de pouvoir transférer les données. Je vois mal comment les entreprises pourront évaluer le droit étranger. Il s’agit là d’une tâche herculéenne qui requiert des mois de travail à la Commission européenne lorsqu’elle se lance dans cet exercice pour accorder le statut de juridiction adéquate à un État. Le projet de loi indique qu’une liste d’états au système juridique équivalent sera publiée par le gouvernement. Je pense que, là aussi, le gouvernement québécois ne s’est ni rendu compte de la tâche ardue qui l’attend, ni des conséquences néfastes qu’une telle mesure pourrait avoir sur l’économie québécoise.»

Nouveaux droits conférés à l’individu

● Droit à l’oubli. L’individu pourra par exemple demander à une organisation de déréférencer ou de désindexer le contenu en ligne rattaché à son nom. Ce droit est encadré dans le projet de loi. Il faut qu’il y ait un équilibre entre la liberté fondamentale et la liberté d’expression pour éviter qu’un homme politique par exemple puisse enjoindre aux moteurs de recherche de désindexer tous les articles de presse négatifs à son sujet. »

● Droit de s’opposer à un traitement automatique de données. Cette nouvelle disposition confère aux individus un droit (limité) à la transparence algorithmique c’est-à-dire d’être informé d’un tel traitement, des renseignements utilisés, des facteurs et paramètres pris en compte, de faire corriger les erreurs et de présenter des observations à un employé de l’entreprise. « On souhaite ainsi éviter le phénomène de “boîte noire” où les entreprises pourraient prendre des décisions sur la base d’un algorithme, sans intervention humaine,  à l’insu des Québécois », explique Me. Henry.

● Droit à la portabilité des données. « Si par exemple, on souhaite changer de réseau social, ce droit permettra de transporter nos données vers une autre entité facilement, de manière structurée. »

Quatre gestes pour s’y préparer

Le projet de loi est encore débattu, mais, chose certaine, les entreprises devront s’ajuster à plusieurs niveaux. Voici quatre actions à entreprendre dès maintenant pour préparer le terrain.

1. Cartographier ses données, internes et externes. « Si je suis une petite entreprise et que j’ai juste deux sous-traitants, ça ira vite, mais parfois, c’est plus compliqué, observe Me Henry. Il faut savoir où sont mes données et savoir ce que nos sous-traitants font avec nos données. » Cette cartographie permettra d’avoir un bon portrait d’ensemble du traitement des renseignements personnels dans son entreprise avant la mise en place de nouvelles mesures.

2. Évaluer la sécurité de l’information. Comment je me protège lorsqu’un tiers s’occupe de mes données? Ai-je des sauvegardes? Qui héberge mes données et qui a accès à celles-ci? Si j’archive des copies physiques dans des classeurs, comment je les sécurise? « Cet exercice permet de voir où sont les brèches de sécurité et permet de les boucher avec les bons outils ou ressources, mentionne Me Henry. C’est une étape essentielle qui peut prendre plusieurs semaines, mais qui permettra de se retourner rapidement une fois que le projet de loi sera adopté. »

3. Viser l’harmonisation informatique. S’assurer que les outils informatiques utilisés sont flexibles et interconnectés. « Pour répondre aux demandes de désindexation ou de portabilité des données, il faudra s’assurer que les systèmes de l’entreprise se parlent entre eux. Idéalement, harmoniser les  systèmes de gestion des données des employés et ceux des données des clients afin de ne pas avoir à aller jouer dans une multitude de systèmes différents. »

4. Suivre l’évolution du projet de loi afin de rester informés. « Et s’il y a une nouvelle vague de consultations publiques, les entrepreneurs peuvent soumettre leur opinion. C’est un exercice démocratique, il est important de faire entendre votre voix, car cette loi aura un impact important sur l’ensemble des entreprises. »