Québec a choisi de moderniser sa Loi sur la protection des renseignements personnels dans le secteur privé, qui date de 1994. Dire qu’il était temps … ce ne serait pas une exagération, disons. Bien que le Québec ait été la première province à se doter d’une Loi sur la protection des données, il est plus que temps que celle-ci soit ajustée aux nouvelles réalités technologiques. Les dernières 25 années ont vu plus d’avancées technologiques que les 75 précédentes, et nous en verrons probablement tout autant dans les 10 prochaines.
Il est donc tout à fait approprié que le gouvernement du Québec ait décidé d’apporter des améliorations. Puisque le projet vient d’être déposé, nous pouvons déjà remarquer que celui-ci aura un impact important sur les entreprises.
Explorons ensemble ces mesures auxquelles vous devriez déjà réfléchir pour vous préparer à sa mise en vigueur (il est peu probable que la loi reste comme elle est actuellement, même si le projet doit retourner à la table à dessin s’il n’est pas accepté à l’automne).
Utilisation des données, un problème?
Dans une entrevue donnée pour La Presse, la ministre Sonia Lebel mentionne ceci: « Je pense que le plus gros irritant du citoyen, ce n’est pas l’utilisation de la donnée, parce que, dans la majorité des cas, ça ne lui dérange pas, même que ça peut faire son affaire, mais c’est plutôt le fait qu’il n’est pas au courant de l’ampleur de cet usage, de ce qu’on fait avec. […] C’est là où le bât blesse ».
Ceci semble être tout à fait vrai. Pour ne citer qu’un exemple des dernières années, peut-être que le scandale de Facebook et de Cambrigde Analytica vous reviendra, celui qui a mis en lumière l’utilisation de données Facebook dans le but de faire des analyses et influencer des tactiques politiques. Peu de gens ont identifié ce problème au niveau de la collecte de leurs informations, mais plutôt sur l’utilisation faite de celle-ci. Notons d’ailleurs que le Québec devrait, si tout va bien, se doter prochainement de régulations entourant l’utilisation des données aux niveaux des partis politiques et du gouvernement, ce qui est une bonne chose!
De l’autre côté, si on se tourne vers les consommateurs eux-mêmes, beaucoup de sondages tendent à conclure que ces derniers n’ont pas de réel problème à ce que les entreprises utilisent des informations sur eux, seulement si celles-ci sont utilisées pour des raisons valables. La personnalisation des expériences avec les clients est un bon exemple:
- Plus de la moitié des consommateurs (57 %) sont d’accord pour fournir des informations personnelles (sur un site web) à condition que ce soit dans leur intérêt et que ces informations soient utilisées de manière responsable;
- 79 % des consommateurs déclarent qu’ils ne sont pas susceptibles de s’engager avec une offre, à moins que celle-ci soit personnalisée pour refléter les interactions antérieures du consommateur avec la marque;
- S’ils obtiennent des offres ou des rabais personnalisés, 63 % des millénaux, 58 % de la génération X et 46 % des baby-boomers sont prêts à partager des informations personnelles avec des entreprises;
- En moyenne, 71 % des consommateurs expriment un certain niveau de frustration lorsque leur expérience d’achats est impersonnelle.
https://instapage.com/blog/personalization-statistics
La collecte de l’information n’est alors pas le problème majeur. Comme l’indique l’incident Facebook, c’est plutôt la protection des informations personnelles, et son utilisation, qui sont au coeur des changements du projet de Loi 64, et par intérim tous les projets de loi sur le sujet. C’est d’ailleurs ce que nous montre l’image ici-bas (ce qui suit les conclusions de plusieurs autres sondages sur la protection des données personnelles).
Le modèle européen, l’inspiration de tous
La ministre mentionne aussi que son équipe assure s’être inspirée des « meilleurs standards » au monde en matière de protection des données. « Le Québec va être, à tout le moins, dans le peloton de tête, naturellement dans notre juridiction ». « On s’en va vers les modèles européens, et c’est ce qui est reconnu comme le plus avancé. » (La Presse)
Il est vrai que la mise en place du règlement européen sur la protection des données (RGPD) a fait beaucoup de vague lors de son annonce en 2017. Il faut dire que c’était la première fois qu’un règlement de ce genre prenait à coeur la question de la protection des données, et l’encadrait d’une telle façon que peu (y lire pas) d’entreprises pouvaient en échapper ou être exempté.
Rappel: Une donnée à caractère personnel est définie comme toute information, quels que soient sa nature et son support, se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (nom, prénom, historique de navigation). Même les adresses IP ou les cookies (témoins de connexion) sont concernés. En fait, ce sont des informations que presque toutes les entreprises récoltent dès qu’elles ont un site Web.
Faisons un tour des principes novateurs sur la protection des données introduits dans la RGPD (expliqué à l’article 3 de la Loi), dont plusieurs se retrouvent dans le projet de Loi 64.
- Les entreprises doivent expliquer comment l’organisation traite les données «sous une forme concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple». Elle doit aussi permettre aux personnes d’adresser facilement des demandes (par exemple, une demande de droit d’effacement, etc.) et répondre à ces demandes rapidement et de manière adéquate.
- Les personnes concernées ont le droit de connaître certaines informations sur les activités de traitement de leurs données. Ces informations comprennent, entre autres, la source de leurs données personnelles, la finalité du traitement et la durée de conservation des données. Plus important encore, elles ont le droit de recevoir les données à caractère personnel les concernant que vous traitez.
- Également connu sous le nom de «droit à l’oubli», les personnes concernées ont le droit de vous demander de supprimer toute information dont vous disposez à leur sujet. Il existe cinq exceptions à ce droit, notamment lorsque le traitement de leurs données est nécessaire pour exercer votre droit à la liberté d’expression. Vous devez faire en sorte qu’il soit facile pour les personnes concernées de déposer des demandes de droit d’effacement.
- À moins de vous demander d’effacer leurs données, les personnes concernées peuvent vous demander de modifier temporairement la façon dont vous traitez leurs données si elles estiment que les informations sont inexactes, qu’elles sont utilisées illégalement ou que le responsable du traitement n’en a plus besoin pour les finalités déclarées. La personne concernée a également le droit de s’opposer simplement au traitement de ses données par vous.
- Dans la mesure que la confidentialité des données est la mesure du contrôle que les gens ont sur les personnes qui peuvent accéder à leurs informations personnelles, la RGPD contient une nouvelle exigence en matière de protection des données, appelée portabilité des données. Fondamentalement, vous devez stocker les données personnelles de vos utilisateurs dans un format qui peut être facilement partagé avec d’autres. De plus, si quelqu’un vous demande d’envoyer ses données à un tiers désigné, vous devez le faire (si cela est techniquement possible), même s’il s’agit d’un de vos concurrents.
La notion de tiers
Un autre principe introduit pour la première fois avec la RGPD vient du fait que la loi va au-delà des frontières entre pays. En effet, le règlement s’applique aux données à caractère personnel relatives à des individus qui se trouvent sur le territoire de l’Union européenne. Cela peut s’appliquer à une société qui n’a pas de siège physique en Europe, mais qui offre des biens ou services à des personnes dans l’Union ou qui suit le comportement de ces personnes (par exemple, profilage en ligne des sites Web consultés dans ces zones).
Donc, même si vous n’avez pas de bureau dans un pays de l’Union européenne, mais que vous y vendez des services ou produits, vous êtes concernés!
En ce qui a trait au projet de Loi 64, une notion semblable s’y retrouve puisqu’il prévoit que la Loi s’appliquerait non seulement à l’entreprise qui conserve des renseignements personnels, mais aussi lorsque la conservation de ces renseignements est assurée par des tiers. Ainsi, l’obligation qui incombe à l’entreprise s’étend également à ses tiers contractants, peu importe où cette entreprise se trouve.
De nouvelles approches au consentement
Au Canada, le consentement est la pierre angulaire du régime juridique entourant la protection des données. Dans le domaine du marketing, nous avons été introduit au concept du consentement avec l’arrivée de la Loi C-28 qui parle de consentement exprès versus tacite. Si vous êtes familier avec le jargon Dialog Insight, cela fait référence au consentement explicite versus implicite. Ce concept s’est depuis introduit dans la plupart des lois sur les envois électroniques, et maintenant sur la gestion des données personnelles.
Le projet de Loi 64 rappelle également l’obligation d’obtenir un consentement manifeste, libre et éclairé. Simplement interprété, celui-ci impose aux entreprises d’expliquer, dans un langage clair, comment les données seront utilisées, de quelle manière et à quelles fins. Cette portion fait aussi partie de la RGPD, telle que mentionnée plus haut. Fini les textes rédigés dont la longueur interminable et la complexité font en sorte qu’ils sont peu accessibles aux consommateurs. L’information devra être beaucoup plus transparente autant pour la forme que le fond, afin de s’assurer qu’un consentement est donné en connaissance de cause.
La ministre Lebel précise aussi le « consentement spécifique » qui permet à un consommateur de donner ou non son autorisation à chacun des usages de ses données personnelles. Il pourrait, par exemple, accepter que ses informations soient utilisées pour des fins internes, mais pas partagées à de tierces parties ou encore vendues. C’est un degré technique assez complexe à réaliser du côté des entreprises, mais une nécessité qui pourrait vite arriver si le projet de loi est accepté. Fini l’époque où le consentement générique et indéfini l’emportait sur tout. Il ne sera plus possible d’avoir un consentement très large, utilisé pour toutes les utilisations des données personnelles. Il faudra que les organisations soient beaucoup plus diligentes sur l’utilisation de cette information, en fonction des consentements spécifiques donnés.
Finalement, et c’est évident, tout comme pour la RGPD, il sera attendu que tout consommateur puisse retirer quand bon lui semblera son consentement.
La gouvernance des données, la responsabilité de qui?
Une bonne gestion des données personnelles n’est possible que si sa responsabilité est tributaire à un individu ou un groupe de personnes. C’est exactement ce qu’a mis en lumière l’une des dispositions de la RGPD, qui exige la nomination d’un DPO au sein des entreprises.
Le DPO, pour « Data Protection Officer », est une personne en charge de la protection des données personnelles traitées par un organisme (administration, entreprise, etc.). Ces missions sont d’informer, conseiller et former le responsable du traitement de données (ou une entreprise contractante) ainsi que ses employés. Il leur précise les obligations qu’ils doivent respecter au regard de la réglementation européenne, dont il contrôle la bonne application. Ainsi, le DPO permet à une entité effectuant des traitements de données personnelles de s’assurer qu’il respecte bien la réglementation applicable à leur protection.
Si on se tourne vers le Projet de Loi 64, au sein d’une entreprise, le plus haut dirigeant sera automatiquement responsable de la protection des renseignements personnels. Toutefois, celui-ci aura la possibilité de déléguer cette fonction à un membre du personnel dont les coordonnés et le titre devront être publiés sur le site Internet de l’entreprise. Le Projet de Loi prévoit aussi un encadrement précis pour leur destruction et leur conservation. Ces politiques et pratiques mises en place devront être approuvées par le responsable de la protection des renseignements personnels et publiées sur le site Internet de l’entreprise.
Des amendes plus salées
Lors de l’annonce du règlement européen, et pourquoi celui-ci s’est largement différencié des autres lois du même genre, est lié aux amendes données aux entreprises. C’était la première fois que les amendes étaient assez élevées, et relatives à l’ampleur de l’entreprise, pour réellement créer un impact sur le fait de la respecter ou non. Les amendes peuvent équivaloir à 4% du chiffre d’affaires, ou un maximum de 20 millions d’euros (le montant le plus élevé est retenu).
En 2019, la RGPD a donné plusieurs sanctions aux entreprises (179 amendes pour plus de 143 millions d’euros), une hausse importante comparée à 2018. Dans les plus marquantes, relevons:
- France : Google a été condamné à 50 millions d’euros, car les informations mises à disposition des utilisateurs étaient difficilement accessibles et compréhensibles.
- Royaume-Uni : 110 millions d’euros pour les hôtels Marriott suite à une violation de données de plus de 330 millions de personnes.
- Royaume-Uni: La compagnie British Airways avec une condamnation de plus de 204 millions d’euros pour avoir révélé a posteriori une violation des données de ses clients.
Au Québec, à l’heure actuelle, les amendes prévues par la loi sont d’à peine 10 000 $ et de 50 000 $ en cas de récidive. Le Projet de Loi 64 prévoit un rehaussement de ces sanctions jusqu’à 25 millions $ ou 4 % du chiffre d’affaires mondial, en prenant là aussi le montant le plus élevé selon la gravité de la faute. Dans le cas d’un particulier, les contrevenants seraient passibles d’une amende pouvant varier entre 5000 $ et 50 000 $.
En se fiant au modèle européen, les sanctions sont de plus en plus élevées et fréquentes, ce qui pourrait aussi être une tendance éventuelle au Québec. Les entreprises n’auront donc pas le choix de s’y conformer.
De nouvelles notions applicables à la donnée
De nouvelles notions pour le Québec sont aussi introduites dans le Projet de Loi 64, notamment l’obligation pour les entreprises et les organismes publics de déclarer les incidents de sécurité, comme les fuites ou le vol de données. De ceci découle l’obligation de signaler à la CAI lorsque l’incident en question présente un sérieux préjudice pour les individus touchés.
Toutes entreprises auront donc la responsabilité clairement indiquée dans la Loi de mettre en place des mesures raisonnables pour diminuer les risques de préjudice et éviter que de tels incidents se reproduisent. Les entreprises devront aussi tenir un registre des incidents de confidentialité qui devra être transmis sur demande à la CAI.
Finalement, et c’est du jamais vu dans la province, le Projet de Loi introduit la possibilité pour une personne d’intenter un recours en dommages-intérêts fondé sur l’atteinte à sa vie privée, énoncée dans le Code civil du Québec. En cas d’atteinte intentionnelle ou de faute lourde, le Projet de Loi prévoit des dommages-intérêts punitifs d’au moins 1 000$.
En conclusion
Voici ce que vous devez retenir du Projet de Loi 64 pour mieux vous y préparer:
- Des sanctions administratives importantes pourront être imposées par la Commission d’accès à l’information (la CAI) pouvant aller jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial si ce montant est plus élevé et, des sanctions pénales pouvant aller jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial;
- La possibilité pour une entreprise d’être poursuivie en dommages-intérêts;
- L’obligation de nommer un responsable de la protection des renseignements personnels et d’établir des règles de gouvernance;
- De nouvelles obligations de transparence lorsque survient un incident de confidentialité;
- De nouveaux droits pour les individus quant à la portabilité des données, au droit à l’oubli et au droit de s’objecter au traitement automatisé de leurs renseignements personnels;
- Le retrait de communiquer sans le consentement des personnes concernées;
- L’obligation d’utiliser des produits et des services technologiques qui respectent les plus hauts niveaux de confidentialité et de qualité sur la protection des données.
Puisque la loi en est encore à l’étape du projet, nous pourrons seulement savoir si elle est adoptée tel quelle lorsque les rencontres parlementaires reprendront leur cours à l’automne. D’ici là, il faut se rappeler que la loi actuelle ne gardera pas son format pour encore bien longtemps. Nous conseillons donc à toutes entreprises de réfléchir aux améliorations qu’elles doivent, et éventuellement devront, prendre afin de garantir une meilleure protection des informations des individus.
Du côté de Dialog Insight, nous en sommes à réviser certaines fonctionnalités afin qu’elles répondent aux exigences de la Loi. Cependant, notons que nous avons des procédures en place pour la protection des données avancées depuis quelques années déjà. Celui-ci répond déjà à plusieurs exigences et nous continuerons d’être à l’avant-garde pour mieux servir nos clients.
Pour comprendre les aspects juridiques de la loi, je vous conseille cet article du cabinet d’avocat McCarty Tétrault.