La protection des renseignements personnels: survol d’un paysage québécois en construction

Écrit par Sébastien Meeùs, Auxiliaire de recherche au Laboratoire de cyberjustice

La réforme de la protection des renseignements personnels a été au cœur des débats (du moins de spécialistes) ces dernières années au Québec. Celle-ci opère un système de poulies en reliant un ensemble de droits revus pour les individus à un renforcement des obligations et responsabilités des entreprises. Les discussions se poursuivent désormais sur la forme que doit prendre cette mise en conformité des entreprises aux nouvelles règles, ainsi que sur l’exercice de nouveaux droits par les individus, à la croisée de la sensibilisation du public et de la gouvernance des entreprises. Dans le cadre de ce billet, nous nous intéresserons à ces enjeux à travers le prisme des objectifs poursuivis et de la facilité de s’informer sur ces nouveautés avant d’examiner les pistes de réflexions en cours de développement.

Projet de Loi 64, Loi 25 et Amendements en pagaille

L’engouement autour de la réforme a débuté dès l’élaboration du texte du Projet de Loi 64 – ainsi nommé en raison de l’ordre de son dépôt dans la 42ème législature – avec des débats (de l’industrie mais également académiques) conduisant à quelques modifications, et perdure en raison de l’application par paliers des nouvelles dispositions de la Loi 25 (là-aussi suivant l’ordre de promulgation), et ce, jusqu’en 2024.

Maintenant que nous sommes entrés dans une nouvelle législature, il est préférable de nommer ces nouvelles dispositions concernant le secteur privé en tant qu’amendements apportés à la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « Loi amendée »). À ce titre, quelles sont les objectifs de ces nouvelles dispositions et comment s’informer sur celles-ci?

La Loi 25 en 1 minute, pour rapidement saisir les changements apportés

Accessibilité et encapacitation

Disponibilité (relative) au grand public et ressources complémentaires

De fait, les dispositions les plus pertinentes à la base de ces (nouveaux) défis sont dispersées à différents endroits de la Loi amendée, encore faut-il parvenir à la consulter !

Pendant longtemps, il fallait consulter le volumineux texte du Projet de Loi 64 (qui concerne à la fois le secteur privé et public) ou les comptes-rendus des débats pour s’informer de la substance des modifications à venir.

Suite à l’adoption de la Loi 25, la Commission d’Accès à l’Information a lancé l’Espace Évolutif, qui inclut la version administrative de la Loi amendée (à valeur non officielle) ainsi que des pages dédiées pour les nouveautés apportées par la Loi amendée.

Au surplus, des guides de conformité étaient proposés par des cabinets d’avocats, plutôt destinés aux organisations soucieuses de se mettre en conformité qu’au grand public.

Enfin, le texte officiel est désormais disponible, du moins les dispositions déjà entrées en application en septembre 2022. Pour le reste, il faut encore se référer aux précédentes ressources citées.

Les contours de la réforme de la protection des renseignements personnels au Québec

Sensibiliser les individus au(x) nouveau(x) droit(s)

La Loi amendée, dans son application de 2024, réarticule les droits existants des individus et en consacre également de nouveaux s’inspirant des avancées déjà acquises dans d’autres régulations. Ce faisant, les individus disposent désormais d’un droit d’accès et de modification revus ainsi qu’un droit à la désindexation (le « droit à l’oubli » de la jurisprudence de la Cour de Justice de l’Union Européenne) et du droit à la portabilité des renseignements personnels (semblable à celui du Règlement Général sur la Protection des Données de l’Union Européenne).

Au-delà de la faisabilité technique de certains d’entre eux – dont les équivalents européens rencontrent les mêmes difficultés – qui concerne plutôt le volet gouvernance des entreprises, les individus ont-ils connaissance de ces droits et les exercent-ils?

Dans ce cadre, l’encapacitation, ou empowerement, est fondamentale pour que les droits conférés aux individus aient un réel impact sur les activités de traitement de renseignements personnels de la part des entreprises. Des individus qui ont connaissance de leurs droits et qui souhaitent les exercer, ayant été sensibilisés à cette matière, peuvent contribuer à l’effort de mise en conformité des entreprises, ainsi qu’étendre la couverture de la Commission d’Accès à l’Information sur l’évaluation des pratiques en matière de collecte et d’utilisation de renseignements personnels.

La portabilité, obligatoire en 2024, pose des difficultés liées au manque d’interopérabilité des réseaux sociaux

Responsabilité démontrable des entreprises

De l’autre côté de l’appareil législatif amendé, les entreprises doivent se conformer à de nombreuses nouvelles obligations, consolidant in fine leur responsabilité démontrable, alors que les sanctions en cas de manquement sont désormais bien plus élevées que sous l’ancienne Loi.

D’abord, les droits des individus précédemment évoqués supposent forcément un effort parallèle des entreprises pour permettre leur exercice: des politiques de gouvernance doivent être identifiées et respectées pour permettre l’accès aux renseignements personnels et leur modification dans les cas prévus ainsi que pour répondre dans un délai suffisant aux demandes de désindexation et fournir dans un format lisible par machine les renseignements personnels permettant leur portabilité.

Ces politiques de gouvernance doivent également inclure la conservation et la destruction des renseignements personnels, le nom de la personne responsable au sein de l’entreprise, les rôles et devoirs des employés pendant le cycle d’un renseignement personnel puis ces politiques doivent être publiées sur le site internet de l’entreprise, le cas échéant, pour être mis à disposition des individus.

Les dispositions de la Loi amendée obligent également les entreprises à procéder à des évaluations des facteurs relatifs à la vie privée lorsque les conditions sont réunies, à respecter certaines règles lors de traitements automatisés, à planifier la procédure à suivre lors d’incidents de confidentialité, etc.

De cette liste, non exhaustive, il faut retenir que la protection des renseignements personnels a été prise au sérieux par le législateur en imposant de nombreuses nouvelles obligations et procédant de facto à une mise à niveau de l’arsenal normatif dans cette matière à l’instar d’autres régulateurs: le Canada au niveau fédéral, la Californie et bien évidemment l’Union Européenne.

Néanmoins, cette mise en conformité soudaine peut poser difficulté aux petites et moyennes entreprises qui ne possèdent pas le même service juridique et organisationnel que les plus grands acteurs du marché, alors que les nouvelles obligations s’adressent également à ce type de structure. Des outils d’aide à la conformité, dans un souci d’accessibilité à la justice, leur serait alors d’une grande utilité.

La recherche à la rescousse

Tout est en ordre ? Pas tout à fait car, comme c’était déjà le cas auparavant, des obligations additionnelles vont s’heurter à une protection des renseignements personnels accessible par une seule loi. Par exemple, la Loi sur les agents de crédits ou la Loi sur l’assurance maladie qui peuvent justifier certaines collectes de renseignements personnels. Pour un individu, s’informer sur le traitement de ses renseignements personnels nécessite de jongler entre plusieurs textes pour peu qu’il en ait connaissance (puis la motivation).

Surtout, la Loi 25 fait référence aux « meilleures pratiques » en diverses occasions, sans les définir, renvoyant dans le camp des entreprises la lourde tâche de déterminer ces bonnes pratiques, et d’être sanctionnées si celles-ci ne sont pas suffisantes par rapport à l’objectif poursuivi. Par exemple, l’Article 23 de la Loi amendée dispose qu’en matière d’anonymisation de renseignements personnels, celle-ci doit s’effectuer « selon les meilleures pratiques généralement reconnues ».

Face à cette délégation de déterminer le contour de ces dispositions, ainsi que les enjeux présentés tout au long de ce billet, plusieurs recherches sont conduites avec un champ de recherche similaire et des objectifs communs.

Projet JusticeBot

Un outil granulaire et versatile

JusticeBot est un outil développé par le Laboratoire de cyberjustice et dont la version actuellement disponible publiquement concerne le logement et les conflits entre bailleur et locataire. Ses champs d’action sont amenés à se diversifier, avec de nouvelles versions couvrant la protection du consommateur et la protection des renseignements personnels en cours de développement.

Dans le domaine des renseignements personnels, JusticeBot propose à la fois un outil de sensibilisation au public, l’informant sur ces nouveaux droits et le guidant dans les démarches à suivre pour les exercer. Il permet également à ces utilisateurs d’obtenir une information sur des cas spécifiques de collectes et d’utilisations problématiques de renseignement personnels.

JusticeBot couvre également l’autre volet de la protection des renseignements personnels: les entreprises et leur responsabilité démontrable. Agissant, entre autres, de liste de vérification des politiques de gouvernance, JusticeBot assiste la mise en conformité des entreprises dans de nombreux pans de la Loi amendée: quelle marche à suivre en cas d’incident de confidentialité, quel contenu à inclure dans la politique de confidentialité, comment faire une évaluation des facteurs relatifs à la vie privée, etc.

Grâce à sa versatilité, JusticeBot couvre l’ensemble du domaine de la protection des renseignements personnels, au-delà de la Loi 25, tant sur les dispositions qu’il traite que sur les utilisateurs qu’il peut assister, et se place comme un puissant outil apte à proposer des solutions aux enjeux évoqués tout le long de son billet.

Projet Accès au Droit et à la Justice (ADAJ)

Déterminer les bonnes pratiques par une approche participative

Le chantier 27 de l’ADAJ se focalise sur la détermination des « bonnes pratiques » mentionnées – sans plus de précisions – dans les normes reliées au numérique, notamment certaines dispositions de la Loi 25. Suivant une approche participative, l’objectif du chantier 27 est de réfléchir au contenu de ces pratiques en faisant discuter conjointement le monde académique, industriel et les individus.

Conclusion

La réforme de la protection des renseignements personnels a déjà apporté son lot de nouveautés et a rempli son objectif de replacer cette protection au centre des débats. Loin d’être achevée, son futur s’annonce passionnant tout en étant riche en défis à relever, notamment par le milieu académique.

Ce contenu a été mis à jour le 14 décembre 2023 à 11 h 15 min.