Le 12 juin 2020, Sonia LeBel, qui était alors ministre de la Justice du Québec, a présenté à l’Assemblée nationale le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
Le projet de loi no 64 vise à moderniser diverses dispositions législatives québécoises en matière de protection des renseignements personnels, tant dans le secteur public que dans le secteur privé. Ce nouveau projet de loi imposerait des obligations plus strictes aux employeurs sur le territoire québécois et conférerait des pouvoirs accrus à la Commission d’accès à l’information.
La Commission d’accès à l’information est notamment chargée de surveiller l’application de la Loi sur la protection des renseignements personnels dans le secteur privé. À l’heure actuelle, la Commission d’accès à l’information est uniquement habilitée à mener des enquêtes et des inspections et à ordonner les mesures correctives qu’elle juge nécessaires. En d’autres termes, la Commission d’accès à l’information ne peut pas imposer de sanctions pécuniaires en cas de non-respect de la loi. Il convient de signaler que bien que la Commission d’accès à l’information ne soit pas en mesure d’infliger de sanctions, le Directeur des poursuites criminelles et pénales peut, en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé, intenter des poursuites pénales contre quiconque y contrevient. Ce pouvoir est toutefois très rarement exercé.
En vertu du projet de loi no 64, la Commission d’accès à l’information disposerait de nouveaux pouvoirs en matière de poursuites qui lui permettraient d’intenter une poursuite pénale contre tout employeur ayant contrevenu à la Loi sur la protection des renseignements personnels dans le secteur privé. Ces nouveaux pouvoirs sont assortis de nouvelles amendes pénales maximales de 25 millions de dollars ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent de l’entreprise si ce dernier montant est plus élevé.
En clair, l’employeur ayant réalisé un chiffre d’affaires mondial d’un milliard de dollars au cours de l’exercice financier précédent serait passible d’une amende de 40 millions de dollars pour avoir contrevenu à la Loi sur la protection des renseignements personnels dans le secteur privé.
De plus, le projet de loi no 64 prévoit un nouveau régime de sanctions administratives pécuniaires. Ce type de régime existe déjà dans d’autres lois, notamment celles relatives au droit de l’environnement. Il permet aux organismes de réglementation d’infliger des sanctions sans avoir à respecter tous les droits fondamentaux que la Charte canadienne des droits et libertés reconnaît à l’entité accusée. Selon la version actuelle du projet de loi no 64, la personne morale qui contrevient à la Loi sur la protection des renseignements personnels dans le secteur privé serait passible, en vertu du régime de sanctions administratives pécuniaires, d’une amende maximale de 10 millions de dollars ou du montant correspondant à 2 % de son chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé.
Le projet de loi no 64 imposerait par ailleurs de nouvelles obligations aux employeurs, telles que :
- l’obligation de détruire ou d’anonymiser les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies;
- l’obligation de supprimer les renseignements personnels permettant d’identifier une personne, à la demande de cette dernière;
- l’obligation de nommer une personne chargée de la protection des renseignements personnels.
Les employeurs québécois voudront sans doute demeurer à l’affût et suivre l’évolution du projet de loi no 64 au fur et à mesure qu’il franchit les étapes du processus législatif, car les changements proposés sont majeurs et auront d’importantes répercussions.
Ontario
Le 13 août 2020, le ministère des Services gouvernementaux et des Services aux consommateurs de l’Ontario a publié un document de discussion intitulé « Réforme de la protection de la vie privée dans le secteur privé en Ontario »
Ce document de discussion reconnaît d’emblée que l’Ontario ne possède pas de lois encadrant la collecte de renseignements par les organisations du secteur privé. Il signale notamment que la collecte de « renseignements personnels des employés » n’est à l’heure actuelle soumise à aucune réglementation et à aucun contrôle. La province a fait connaître sa volonté de proposer ses propres mesures législatives pour permettre aux Ontariens d’exercer un plus grand contrôle sur leurs renseignements personnels lorsqu’ils traitent avec des organismes privés.
Le document de discussion propose des réformes dans les principaux domaines suivants:
Exigences plus strictes en matière de consentement et de transparence
À l’heure actuelle, les entreprises privées obtiennent le consentement des particuliers pour la collecte, l’utilisation et la divulgation de leurs renseignements personnels au moyen de politiques sur les services et de déclarations de confidentialité. Le document de discussion reconnaît toutefois que ces politiques sont rédigées dans un « jargon juridique très dense » qui fait en sorte que certaines personnes ne sont pas certaines de ce à quoi elles viennent de consentir. Les auteurs du document de discussion se disent également d’avis que le modèle axé sur le consentement n’est ni réaliste ni efficace, compte tenu de la fréquence à laquelle les renseignements personnels sont recueillis, utilisés ou divulgués.
Le document de discussion propose de mettre au rancart le modèle traditionnel en matière de protection de la vie privée. Les entreprises seraient plutôt désormais tenues d’indiquer en langage clair et de façon précise quels sont les renseignements personnels recueillis, comment ils sont recueillis et à qui ils sont communiqués. Les entreprises seraient également tenues d’indiquer les cas où le consentement n’est pas nécessaire. Pour la collecte, l’utilisation et la divulgation des renseignements personnels n’entrant pas dans le champ d’application des pratiques décrites par l’entreprise, le consentement « à option d’adhésion » du particulier serait nécessaire. Le modèle « à option d’adhésion » empêcherait les entreprises de continuer à recueillir indéfiniment des renseignements personnels.
Effacement et portabilité des données
L’Ontario réfléchit également à la possibilité de reconnaître deux nouveaux droits, à savoir le droit à l’effacement des données et le droit à la portabilité des données. Le droit à l’effacement des données permettrait aux particuliers de demander à leur employeur de supprimer de façon permanente ou de « désindexer » leurs renseignements personnels qui ont été recueillis. Le droit à la portabilité des données obligerait les employeurs à fournir sur demande aux particuliers leurs renseignements personnels dans un format ouvert et accessible.
Surveillance, application de la loi et amendes
Le document de discussion envisage la possibilité de permettre au commissaire à l’information et à la protection de la vie privée de rendre des ordonnances exécutoires et d’infliger des amendes aux organisations qui ne respectent pas la réglementation en matière de protection de la vie privée.
Renseignements personnels dépersonnalisés et données tirées de renseignements personnels
Le document de discussion propose de définir et d’encadrer les données « dépersonnalisées » et les données « tirées de renseignements personnels ».
Les données « dépersonnalisées » sont des données personnelles qui ont été recueillies et modifiées de manière à supprimer toute information permettant d’identifier une personne.
L’Ontario envisage la possibilité d’offrir des mesures pour aider et inciter les entreprises privées à utiliser ce type de méthode de conservation des données, qui a l’avantage de réduire les effets néfastes des atteintes à la vie privée.
Les données « tirées » de renseignements personnels sont des données que les entreprises privées obtiennent indirectement (par exemple, à partir des habitudes de navigation sur le Web). L’Ontario envisage d’établir des lignes directrices pour guider les entreprises sur la façon d’utiliser ce type de données.
Partage de données
Le gouvernement de l’Ontario examine comment le modèle de gouvernance des données pourrait être révisé pour favoriser l’échange de données entre les organisations afin de promouvoir le développement économique et social.
Ogletree Deakins continuera à suivre les changements de politique proposés au Québec et en Ontario et publiera des mises à jour sur les blogs Transfrontalier et Cybersécurité et vie privée dès que des informations supplémentaires seront disponibles.
Michael C. Comartin est associé au bureau de Toronto du cabinet Ogletree Deakins.
Ryan Martin est un avocat au bureau de Montréal du cabinet Ogletree Deakins.
Caroline M. DeBruin est diplômée de la faculté de droit de l’université Queens (2020) et stagiaire au bureau de Toronto d’Ogletree Deakins.
