Loi 25 (anciennement projet de loi 64) : une initiative qui aura un impact sur la conduite de vos affaires
Le droit à la vie privée n’est pas un concept nouveau.
En effet, deux anciens juges de la Cour suprême des États-Unis publiaient, en 1890, un article intitulé « The Right to have Privacy » [1]. Ceux-ci soulignaient déjà que face à l’accroissement de la capacité de la presse, du gouvernement et d’autres agences à envahir l’activité personnelle de tout individu, le législateur devrait évoluer en fonction de ces changements, en mettant en place des recours juridiques pour faire respecter les frontières entre la vie publique et la vie privée.
Depuis cette période, les recherches, les travaux et les lois entourant le respect de la vie privée n’ont cessé d’évoluer pour suivre les changements technologiques et la croissance des menaces qui mettent en danger la vie privée.
De nos jours, les coûts liés à la protection de la vie privée des consommateurs ne cessent d’augmenter au fur et à mesure de l’essor des technologies de pointe comme l’intelligence artificielle. Environ neuf internautes américains sur dix se disent préoccupés par la confidentialité et la sécurité de leurs informations personnelles en ligne et 67 % d’entre eux préconisent désormais des lois nationales strictes en matière de protection de la vie privée[2].
L’ère de la technologie et de l’informatique a conduit à une augmentation exponentielle des données. Plus de 1,7 Mo de nouvelles données sont créées chaque seconde.[3] À titre d’exemple, il s’effectue 40 000 recherches par seconde sur Google uniquement, ce qui représente 3,5 milliards de recherches par jour et 1,2 trillion de recherches par an mondialement.[4]
Ce changement drastique sur le plan de la création, du partage, de la circulation et du stockage de données amène les professionnels, les individus, les chercheurs et les législateurs à demander que des gestes sérieux soient posés en matière de respect de la vie privée. Ce qui explique que la réglementation entourant ce sujet ne cesse d’évoluer.
En mai 2018, l’Union européenne a mis en place le règlement général sur la protection des données (RGPD). À l’heure actuelle, il s’agit de la loi la plus stricte au monde en matière de protection de la vie privée et de sécurité.[5] Les sanctions s’avèrent coûteuses pour les entreprises et peuvent atteindre jusqu’à 10 millions d’euros.
Loi 25 (anciennement projet de loi 64) au Québec
Le 12 juin 2020, la ministre de la Justice au Québec, Mme Sonia Lebel, a présenté un projet de loi (dorénavant connu sous le nom de Loi 25) visant la modernisation de la Loi sur la protection des renseignements personnels qui s’appliquera aux organismes publics et entreprises privées établies au Québec.
Les entreprises doivent dès maintenant :
- Revoir leurs politiques de protection de la vie privée et leurs contrats avec leurs tiers et leurs clients.
- Examiner leurs formulaires de consentement.
- Effectuer une analyse des renseignements personnels détenus afin de déterminer leur degré de sensibilité et le niveau de protection requis.
- Mettre en place des protocoles en cas d’incident de confidentialité.
- S’assurer d’utiliser des moyens technologiques qui répondent aux normes de sécurité les plus élevées.
Voici les principales dispositions de la Loi 25 (anciennement projet de loi 64)[6] :
- La Commission d’accès à l’information (CAI) a le pouvoir d’imposer des sanctions administratives pouvant atteindre 10 M$ ou jusqu’à 2 % du chiffre d’affaires mondial de l’année précédente d’une entreprise.
- Des amendes en cas de poursuites pénales pouvant atteindre 25 M$ ou 4 % du chiffre d’affaires mondial de l’exercice précédent de l’entreprise.
- L’établissement d’un nouveau rôle de responsable de la protection de la vie privée au sein des entreprises. Ces responsabilités comprennent notamment :
- la mise en œuvre et la publication de politiques et de pratiques relatives à la protection des renseignements personnels;
- une obligation d’effectuer des évaluations des incidences sur la vie privée;
- des exigences en matière de respect de la vie privée dès la conception. Ce rôle est, par défaut, attribué au premier dirigeant d’une entreprise, qui a la possibilité de déléguer partiellement ou en totalité ses responsabilités au responsable de la protection des renseignements personnels (« Data Privacy Officer » un nouveau rôle créé par le projet de loi).
- L’introduction d’une obligation pour les entreprises de traiter de manière transparente les « incidents de confidentialité » impliquant des informations personnelles et de signaler à la CAI tout incident présentant un « risque de préjudice grave ». Le risque de préjudice grave est évalué en tenant compte de « la sensibilité des informations concernées, des conséquences prévues de leur utilisation et de la probabilité que ces informations soient utilisées à des fins préjudiciables ». Des mesures raisonnables pour limiter le risque de préjudice doivent être mises en place pour prévenir la répétition de tels incidents
- Certaines informations spécifiques doivent être rendues disponibles au public lors de la collecte de renseignements personnels. Cela comprend les objectifs de la collecte, les moyens de collecte, les droits d’accès et de rectification et le droit de la personne de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis. Le projet de loi 64 ne prévoit pas d’exception pour le consentement des employés.
- Trois nouveaux droits sont octroyés aux individus concernant leurs informations personnelles, inspirés du RGPD :
- Droit à la portabilité des données,
- Le droit à l’oubli,
- Droit d’opposition au traitement automatisé.
- Les fournisseurs de services (tiers) doivent être capables de fournir :
- Une description des mesures prises pour garantir la confidentialité des informations personnelles (par exemple, une description des mesures de sécurité) obtenues ;
- Une certification de n’utiliser les informations obtenues qu’aux fins de la prestation de services et de ne pas conserver ces informations après l’expiration du contrat ;
- L’obligation d’informer sans délai le responsable de la protection de la vie privée de toute violation ou tentative de violation de la confidentialité des informations et de permettre au responsable de la protection de la vie privée d’effectuer toute vérification relative aux exigences de confidentialité.
L’Ontario va dans la même direction
Au Canada, il n’y a pas que le Québec qui a entamé la modernisation de son cadre légal entourant la protection des données. La province de l’Ontario a commencé un projet visant à renforcer la protection de la vie privée dans le secteur privé par la modernisation de ses lois actuelles. Les Ontariens ne disposent pas actuellement d’une réglementation relative à la protection de la vie privée dans le secteur privé. Ils s’appuient sur la loi fédérale sur la protection des renseignements personnels et les documents électroniques.
Les entreprises doivent déterminer leur niveau de maturité sociale, de contrôles internes, des pratiques et de la sensibilisation des employés en ce qui concerne la protection de données personnelles y compris les défis et les menaces. Peu importe le résultat de ce débat, les entreprises devront prendre une responsabilité en matière de protection des données personnelles. En tant que propriétaire ou dirigeant d’entreprise, il est primordial de commencer à penser aux implications de la loi 64 sur les opérations de votre entreprise.
Comment Richter peut-il vous aider ?
Nous pouvons vous accompagner dans toutes les étapes menant à la conformité à cette nouvelle loi :
- Dresser un inventaire des données collectées, traitées et stockées par votre entreprise.
- Mettre en place un plan stratégique et opérationnel visant la mise en conformité.
- Identifier les actifs informatiques, le matériel et les logiciels essentiels.
- Évaluer les risques informatiques et les mesures d’atténuation.
- Concevoir et mettre en œuvre des plans d’action durables.
- Contrôler l’exécution des plans d’action.
[1] Susan E. Gallagher, Introduction to « The Right to Privacy » by Louis D. Brandeis and Samuel Warren: A Digital Critical Edition, University of Massachusetts Press, forthcoming.
[2]GDPR, AI and Machine Learning in the Age of Data Privacy
[3] Statistique de recherche Google (https://www.internetlivestats.com/google-search-statistics/)
[4] Ibid 4
[5] RGPD Le règlement nᵒ 2016/679
[6] Loi modernisant des dispositions législatives en matière de protection des renseignements personnels