La « Loi 25 » de modernisation des dispositions législatives en matière de protection des renseignements personnels introduit des modifications qui rapprochent le régime de protection québécois de la réglementation européenne. Une série de dispositions est entrée en vigueur le 22 septembre 2022.
Le 13 avril 2000, le Canada a adopté une loi fédérale ayant pour objet d’encadrer les traitements de données à caractère personnel mis en œuvre par des organisations du secteur privé qui collectent, utilisent ou communiquent des données personnelles dans le cadre de leurs activités commerciales.
La Commission européenne a adopté une décision d’adéquation partielle le 20 décembre 2021 constatant que cette loi fédérale, dénommée loi sur la protection des renseignements personnels[1] et les documents électroniques (LPRPDE), assurait un niveau de protection adéquat des données personnelles.
Cette décision d’adéquation n’est que partielle, compte tenu du champ d’application de cette loi limitée aux entités privées. Seules les personnes assujetties à cette loi bénéficient donc de cette décision d’adéquation[2].
Le Québec a pris l’initiative d’aller plus loin en adoptant le 22 septembre 2021 la loi provinciale n°25 de modernisation des dispositions législatives en matière de protection des renseignements personnels, applicables aux entreprises, aux organismes publics et aux partis politiques.
Cette loi modifie en profondeur le cadre législatif jusque-là en vigueur, en particulier concernant les lois provinciales sur la protection des renseignements personnels dans le secteur privé et sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.
S’inspirant à plusieurs égards du Règlement général sur la protection des données (RGPD), la réforme a pour objectif d’améliorer le contrôle exercé par les personnes concernées sur leurs données personnelles et de renforcer les obligations à la charge des entreprises, des organismes publics ainsi que des partis politiques.
À l’instar du RGPD dont l’entrée en vigueur a été fixée deux ans après l’adoption du règlement, le législateur québécois a prévu une entrée en vigueur échelonnée des obligations prévues par cette loi.
L’entrée en vigueur est ainsi étalée sur une période de trois ans, entre le 22 septembre 2022 et le 22 septembre 2024.
Le renforcement des obligations à la charge du responsable du traitement
La loi québécoise renforce ou créée des obligations à la charge du responsable du traitement, parmi lesquelles :
- L’obligation de désigner un responsable de la protection des données personnelles
À l’image du RGPD qui a institué la fonction de délégué à la protection des données personnelles (DPO), la loi québécoise prévoit la désignation d’un « responsable de la protection des renseignements personnels » (RPR).
Alors que le DPO tel que conçu par le RGPD prévoit une obligation d’indépendance à l’égard du responsable du traitement, le RPR désigné par défaut sera la personne qui a la plus haute autorité au sein d’une entreprise. Il aura la faculté de déléguer cette fonction par écrit.
Le titre et les coordonnées du RPR devront être publiés sur le site Internet de l’entreprise ou, si elle n’a pas de site, rendus accessibles par tout autre moyen approprié.
- De nouvelles exigences relatives au consentement et à l’information des personnes concernées
Le cadre légal québécois impose également de nouvelles exigences en matière de consentement des personnes concernées au traitement de leurs données personnelles, qu’il s’agisse de leur collecte, leur communication ou leur utilisation.
Elle précise que pour être valide le consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques.
Lorsque la demande de consentement est faite par écrit, elle devra être présentée distinctement de l’information communiquée à la personne concernée. Un consentement donné en ne respectant pas ce formalisme sera dépourvu d’effet.
Toute personne qui recueille des renseignements personnels auprès d’une personne concernée, sur la base de son consentement ou non, devra ainsi l’informer des finalités du traitement, des moyens par lesquels les données personnelles sont recueillies, et de la possibilité d’exercer son droit d’accès, de rectification et de retirer son consentement à tout moment.
Le traitement de données sensibles est également soumis à la collecte d’un consentement exprès.
- L’obligation de notifier les violations de données à l’autorité de contrôle québécoise
Les entreprises québécoises devront aviser l’autorité de protection des données québécoise (la Commission d’accès à l’information ou CAI) ainsi que les personnes concernées de toute violation de données qui présenterait un risque de « préjudice sérieux » pour les personnes concernées.
Contrairement au RGPD, la loi québécoise ne prévoit aucun délai pour notifier la violation à l’autorité de contrôle, mais impose qu’il soit effectué « avec diligence ».
Cette notification devra par ailleurs être répertoriée dans un registre, dont l’autorité de contrôle locale peut demander copie.
Ce mécanisme de notification est similaire à celui instauré par le RGPD.
- L’obligation d’adopter une politique de gouvernance et de la rendre publique
Le responsable du traitement doit définir une politique de gouvernance contenant notamment des informations relatives à la conservation et la suppression des données personnelles, les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des données et le processus de traitement des plaintes.
À la différence de la réglementation européenne, la politique de gouvernance devra être rendue publique, et diffusée sur le site Internet du responsable de traitement ou mise à disposition du public par tout autre moyen permettant aux personnes concernées d’en prendre connaissance.
Par ailleurs, les entreprises recueillant des données personnelles via un « moyen technologique », c’est-à-dire par voie électronique, devront rédiger une politique de confidentialité rédigée en termes simples et clairs, qui sera diffusée sur leur site internet, ou par tout autre moyen approprié.
Le renforcement des droits des personnes concernées
L’un des objectifs de la loi est également de permettre aux personnes concernées d’exercer un meilleur contrôle sur leurs données personnelles. À cette fin, la loi prévoit la création ou le renforcement des droits des personnes concernées.
Notons par exemple la création d’un droit à la désindexation, équivalent au droit à l’oubli consacré par la Cour de justice de l’Union européenne.
Il permet à toute personne concernée de demander au responsable de traitement de cesser la diffusion ou désindexer un lien qui renverrait vers des données personnelles le concernant et dont la diffusion lui cause un préjudice, contrevient à la loi ou à une décision de justice. Pour accéder à la demande de la personne concernée, l’entreprise traitant des données devra prendre en compte l’exactitude de l’information, sa sensibilité, le contexte dans lequel il s’inscrit, etc.
Le législateur québécois introduit également le droit, pour les personnes concernées, à être informées en cas de prise de décision fondée exclusivement sur un traitement de données automatisé et le cas échéant, à solliciter une intervention humaine.
La loi consacre également un droit à la portabilité qui entrera en vigueur en septembre 2024.
Des sanctions dissuasives en cas de manquement
En cas de manquement, l’autorité de contrôle québécoise pourra prononcer des sanctions administratives pécuniaires pouvant aller jusqu’à 50 000 dollars canadiens pour une personne physique, et jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial de l’exercice précédent, selon le montant le plus élevé, pour les personnes morales.
Elle pourra également intenter des poursuites pénales, assorties d’amendes en cas de condamnation dont les montants maximums sont doublés.
Lire la loi québécoise n°25 modernisant des dispositions législatives en matière de protection des renseignements personnels du 21 septembre 2021.
[1] Terminologie canadienne désignant les données personnelles
[2] Décision du 20 décembre 2001 de la Commission européenne constatant l’adéquation de la loi Canadienne