La protection des renseignements personnels a marqué l’actualité financière au cours des derniers mois. Tant le gouvernement fédéral que celui du Québec entendent en faire une de leurs priorités en 2020, et mieux conjuguer leurs actions à ce chapitre.
À la fin de 2019, le premier ministre Justin Trudeau a fait part de ses attentes à propos de la mise en place de la Charte canadienne du numérique.
À Québec, la ministre de la Justice, Sonia LeBel, a confirmé récemment son intention de présenter un projet de loi afin de moderniser la Loi sur la protection des renseignements personnels du Québec. Celle-ci date des années 1980 et 1990, et n’a pas été modifiée de façon sensible depuis 2006.
«L’année 2020 devrait donc constituer une année charnière en matière de protection des renseignements personnels, tant au fédéral qu’au provincial», peut-on lire dans un texte de réflexion publié sur le site de Langlois avocats.
Davantage de transparence
Depuis novembre 2018, la plupart des intervenants de l’industrie financière doivent déjà notifier toute atteinte à la sécurité qui entraînerait une brèche de la confidentialité des renseignements personnels à l’Autorité des marchés financiers (AMF), au Bureau du surintendant des institutions financières ou à l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM).
Cette obligation est inscrite à la loi fédérale, sauf que celle-ci ne s’applique pas au Québec (ni en Alberta et en Colombie-Britannique). Toutefois, le Québec a déjà annoncé que cette disposition serait intégrée à la loi québécoise, précise Jean-François De Rico, associé chez Langlois avocats, en entrevue avec Finance et Investissement.
La loi devrait également exiger de notifier ces brèches aux principaux intéressés, soit les consommateurs, ce qui est nouveau.
Exigences plus précises
En ce moment, la loi existante prévoit qu’il faut obtenir le consentement de la personne concernée pour utiliser ses données sans préciser la teneur de celui-ci, sauf pour certaines décisions. Les nouvelles lois pourraient changer cela.
Par exemple, on peut s’attendre à davantage d’indications concernant la durée de conservation des données. Actuellement, celle-ci n’est pas déterminée, mais déterminable en fonction d’un critère, celui de la durée de l’utilisation qui est énoncée au moment de la collecte.
La question de la suppression des données devrait également être considérée. Ainsi, les consommateurs auront possiblement le droit de demander qu’une entreprise supprime les données qu’elle a sur eux.
Jean-François De Rico espère qu’il y aura des précisions concernant les données anonymisées, afin qu’elles ne soient plus considérées comme des renseignements personnels. Cela serait avantageux pour l’analytique de données.
Sanctions plus sévères
«On s’attend également à ce que des pouvoirs accrus d’enquête et de sanction soient accordés à la Commission d’accès à l’information du Québec», affirme Jean-François De Rico.
Actuellement, la Loi sur la protection des renseignements personnels dans le secteur privé prévoit des sanctions en cas d’infraction, mais la ministre a annoncé qu’elle étudiait la possibilité d’appliquer des sanctions plus «significatives», précise l’avocat.
Difficile d’en envisager la teneur. Est-ce qu’elles pourraient s’inspirer de certaines dispositions de la Commission européenne ? En Europe, on peut imposer des sanctions financières établies en fonction d’un pourcentage du chiffre d’affaires de l’organisation touchée par la brèche.
«C’est intelligent, car ça permet d’avoir une mesure qui a un caractère proportionnel. La proportionnalité, ça peut vouloir dire ne pas écraser une fourmi avec un bulldozer, mais ça veut aussi dire de ne pas donner une pichenette à un géant», souligne Jean-François De Rico.
Il n’est pas dit que le provincial ou le fédéral ira dans ce sens, mais la loi devrait faire preuve de plus de mordant, afin de forcer les organisations à mettre en place de meilleures mesures de sécurité.
Selon Jean-François De Rico, ces sanctions devraient contribuer à limiter le nombre de fraudes, comme celle dont a été victime le Mouvement Desjardins.
«En ce moment, il y a une obligation qui tient sur une ligne ou deux dans la loi : déployer des mesures de sécurité appropriées. On peut s’attendre à ce qu’il y ait certaines précisions par voie réglementaire», dit l’avocat.
«Et le meilleur moyen de discipliner une industrie ou une activité, c’est la peur des sanctions financières, ajoute-t-il. Ça va certainement inciter les organisations à déployer plus de moyens ou à s’assurer qu’elles déploient des moyens adéquats.»
Transfert de données
La modernisation législative serait également importante pour le transfert de données personnelles hors juridiction. Selon le principe du transfert, une organisation devrait pouvoir faire affaire avec une organisation d’une autre juridiction du moment qu’il y a une forme d’adéquation des lois.
Entre le Canada et l’Europe, il existe une certaine adéquation. Toutefois, entre l’Europe et le Québec, certains principes sont manquants.
«Il peut tout de même y avoir des échanges avec l’Europe s’il n’y a pas d’adéquation, mais ça met du sable dans l’engrenage, car il faut prévoir des dispositions contractuelles supplémentaires ou utiliser ce qu’on appelle des clauses standards», précise Jean-François De Rico.
En s’alignant sur certains éléments du règlement général, cela favorise les échanges commerciaux.
Si nombre d’institutions financières sont assujetties à certaines obligations légales de protection de l’information, cela n’est pas forcément le cas de leurs fournisseurs de services ou de technologies, ou même des consultants qui les aident à gérer les bases de données, souligne Jean-François De Rico.
«Il y a beaucoup d’organisations dans l’écosystème qui manquent de maturité et de robustesse sur le plan de la protection des renseignements personnels», ajoute-t-il.
Une nouvelle loi devrait prévoir que les obligations des intermédiaires soient alignées sur celles des institutions financières.
Mise à niveau complexe
La mise à niveau ne se fera pas aisément. Beaucoup d’organisations ne savent pas exactement ce qu’elles contrôlent en matière de données personnelles, car entreposer des données n’est pas très complexe ni coûteux.
Il y a fort à parier que si des lois plus strictes sont adoptées, nombre d’organisations réduiront la collecte de renseignements personnels afin de diminuer leurs risques, estime Jean-François De Rico.
Certaines organisations peineront à se mettre à niveau, de sorte que certaines pourraient même être forcées de se retirer du marché. Toutefois, la question de la sécurité n’est pas nouvelle ; de nombreux acteurs exigent déjà des engagements plus spécifiques en matière de protection des renseignements personnels.
«Chose certaine, ça va requérir davantage d’hygiène organisationnelle en matière de conservation des données qui comportent des renseignements personnels», conclut Jean-François De Rico.