Projet de loi 64 | Demande de l’avis des détaillants

---

Contexte général

Le projet de loi 64 s’inspire largement du Règlement général sur la protection des données (RGPD) adopté par le parlement européen il y a quelques années. En effet, l’analyse du projet de loi révèle de nombreuses similitudes avec le RGPD tant en ce qui concerne les droits des individus qu’en ce qui concerne les obligations des entreprises.

Nouveaux droits pour les individus

Actuellement, en vertu de la Loi sur le secteur privé du Québec, les individus ont le droit d’être informés afin d’obtenir leur consentement, d’accéder à leurs renseignements personnels et de les corriger. Le projet de loi 64 leur accorde des droits supplémentaires, tendant ainsi à se rapprocher de ceux prévus par le RGPD.

Le consentement de l’individu

Comme prémisse de base, pour donner son consentement, il doit être informé. Pour obtenir un tel consentement, les informations à communiquer à la personne doivent être rédigées dans un langage clair et simple, et contenir notamment les fins et les moyens par lesquels les renseignements sont recueillis, les droits des individus ainsi que, le cas échéant, le nom du tiers (ex. : Air Miles, Aeroplan, etc.) pour qui la collecte est faite et la possibilité que les renseignements soient communiqués à l’extérieur du Québec.

Ensuite, dans un second temps, le projet de loi prévoit que, sur « demande de sa part », l’individu doit être informé du type de renseignements collectés, des catégories de personnes ayant accès à ces renseignements au sein de l’organisation, de leur durée de conservation ainsi que des coordonnées du responsable de la protection des renseignements personnels.

En outre, comme dans le RGPD, le consentement à la collecte, l’utilisation ou la divulgation de renseignements personnels doit être demandé séparément de toute autre information fournie à l’individu. Autrement dit, les différents formulaires d’adhésion ont des programmes de fidélité ne peut plus comporter un paragraphe avec une case à cocher pour le consentement, cet élément devra faire l’objet d’un formulaire séparé.

Il existe cependant des exceptions au nouveau régime de consentement notamment lorsque l’utilisation des renseignements personnels est nécessaire à des fins d’études, de recherche ou de production de statistiques et qu’il est dépersonnalisé, à savoir qu’il ne permet plus d’identifier directement la personne concernée.

Droits additionnels conférés par le PL 64

Le projet de loi 64 introduit également de nouveaux droits pour les individus

• Le droit à l’oubli (droit de déréférencement, PL 64, art. 113). Le PL 64 permet à une personne d’exiger d’une organisation de cesser de publier des informations personnelles ou de désindexer un hyperlien donnant accès à ces informations lorsque leur diffusion porte gravement atteinte à la réputation ou à la vie privée de la personne et lorsque ce préjudice l’emporte clairement sur l’intérêt du public à connaître ces informations.
• Le droit à la portabilité des données, c’est-à-dire le droit d’un individu de recevoir les informations personnelles qu’il a fournies à une organisation dans un format technologique structuré et couramment utilisé. À la demande de cette personne, ces informations doivent être transmises à toute autre personne ou organisation.
• Les droits liés à l’utilisation des technologies : Dans ce cas, la personne doit, en plus des éléments énoncés ci-dessus, être informée de l’utilisation d’une technologie particulière et, le cas échéant, des moyens disponibles pour désactiver les fonctions utilisées pour l’identification, la localisation ou le profilage.

Nouvelles obligations imposées aux entreprises

Le projet de loi 64 prévoit également des obligations supplémentaires pour les organisations qui s’alignent avec celles prévues par le RGPD.

• Les entreprises auront l’obligation de nommer une personne qui sera responsable de la protection des renseignements personnels au sein des organisations.
• Le projet de loi 64 introduit également le concept de « privacy by default » ou « confidentialité par défaut » qui sont des paramètres par défaut selon lesquels les entreprises qui offrent des biens ou des services technologiques et qui recueillent des informations personnelles doivent s’assurer que les paramètres des biens ou des services fournissent le « plus haut niveau de confidentialité par défaut ». Par exemple, tous les appareils vendus devront être livrés avec tous les paramètres de localisation, de transmission de données d’utilisation à « off ».
• En matière de divulgation à l’extérieur du Québec (exemple : partage de données avec Air Miles, Aeroplan, etc.), l’article 103 du PL 64 introduit un nouveau régime. En effet, avant de transférer des renseignements personnels à l’extérieur du Québec, incluant les renseignements en matière de ressources humaines, une étude d’impact devra être réalisée afin de démontrer que l’information bénéficierait d’une protection équivalente à celle prévue par le nouveau régime. Afin de simplifier ce processus, le ministre publiera une liste des pays où les lois sur la protection de la vie privée offrent une protection équivalente à celle offerte au Québec. Dorénavant, en cas d’incidents de sécurité, le PL 64 prévoit une obligation de notification de la Commission d’accès à l’information et, le cas échéant des individus concernés, ainsi que la tenue d’un registre, se rapprochant ainsi des articles 33 et 34 du RGPD.

Nouveau régime de sanctions judiciaires et/ou administratives

• Le projet de loi 64 augmentera considérablement les amendes qui peuvent être imposées aux entités des secteurs privé et public qui ne respectent pas la législation provinciale sur la protection de la vie privée.
• Les entités du secteur privé pourraient être soumises à des amendes allant de 15 000 à 25 000 000 $, ou à un montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent, selon le montant le plus élevé. Cela représente une augmentation considérable par rapport à la pénalité maximale actuelle de 50 000 dollars, et ferait de la Loi sur le secteur privé la loi sur la protection de la vie privée la plus punitive au Canada.
• De plus, le projet de loi 64 accorderait à la Commission d’accès à l’information, le pouvoir d’imposer des sanctions administratives pécuniaires pour certaines infractions à la suite d’un avis de non-conformité — avec un maximum de 10 000 000 $ ou, si ce montant est plus élevé, un montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent.

Éléments de consultation

Il est évident que l’ensemble des mesures proposées viennent modifier profondément l’environnement légal et réglementaire qui encadre la gestion des données personnelles que vous recueillez dans le cadre de vos opérations quotidiennes. Outre la question des sanctions qui à notre avis sont démesurées, nous avons tenté de regrouper les mesures du projet de loi en six questions.

Nouveaux droits des consommateurs

1. Est-ce que la nouvelle obligation de créer un formulaire séparé pour les consentements pose un enjeu pour votre organisation, si oui décrivez brièvement.
2. Est-ce que le droit à l’oubli et à la portabilité des données tel que décrit plus haut constitue un enjeu, si oui veuillez en préciser la nature.
3. Comment percevez-vous le fait de devoir informer le consommateur de l’utilisation d’une technologie particulière et, le cas échéant, des moyens dont ils disposent pour désactiver les fonctions utilisées pour l’identification, la localisation ou le profilage ? (Par exemple, lors de la vente d’un téléphone intelligent)
4. Nous pouvons imaginer que la question de la confidentialité par défaut posera des enjeux auprès des détaillants en électronique notamment ceux qui vendent des téléphones intelligents, selon cette disposition les appareils devraient être vendus avec les réglages de confidentialité préréglée au maximum. Il s’agit d’un exemple. Voyez-vous d’autres impacts ?
5. L’obligation de réaliser une étude d’impact avant de conclure quelques contrats de migration de données à l’extérieur du Québec afin de démontrer que la législation pour la protection des données est égale ou supérieure à celle proposée au Québec est un gros morceau de cette réforme. Pour le CCCD, il est facile d’imaginer l’impact global d’une telle mesure, mais nous aurions besoin de connaitre la position ainsi que les impacts que l’adoption de cette mesure aura sur votre organisation.
6. Le projet de réforme comporte deux types de sanctions, des sanctions judiciaires pouvant aller jusqu’à 25 M$ et des sanctions administratives pouvant atteindre 10 M$. Outre l’excentricité des montants en cause, ce type de sanction pose l’enjeu de la « frontière » des responsabilités en matière de collecte et d’entreposage de données. En effet, dans le cas d’un marchand qui a une entente contractuelle avec un fournisseur externe (Air Miles, Aeroplan, etc.), où s’arrête la responsabilité du détaillant et où commence celle du fournisseur, le projet de loi est flou sur cette question. Donc, nous souhaitons savoir si de manière générale, vos contrats de service tracent la responsabilité des parties dans la gestion des données.
   

SVP, veuillez répondre sur un document distinct, si vous le souhaitez il n’est pas nécessaire d’identifier vos organisations, mais vous pouvez être assuré que l’ensemble de vos réponses particulières seront traitées confidentiellement et serviront seulement à préparer les orientations du CCCD pour la commission parlementaire.

---

Merci de participer afin d’enrichir nos discussions avec le gouvernement en faisant parvenir votre avis à:

Jean-François Belleau
jfbelleau@cccd-rcc.org