Le 22 septembre dernier, le deuxième volet de la Loi 25 sur les renseignements personnels est entré en vigueur. Les sanctions pourraient être salées en cas de non-respect.
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, aussi appelée Loi 25, apporte des modifications importantes à la Loi sur la protection des renseignements personnels dans le secteur privé, signale la Commission d’accès à l’information (CAI), chargée de faire appliquer la loi.
Selon la loi, un renseignement personnel est un renseignement qui permet d’identifier une personne physique, directement ou indirectement. Il est confidentiel et ne peut être communiqué sans le consentement de la personne concernée.
Cependant, en vertu du second volet de la loi, « le nom, le poste et les coordonnées à titre de représentant d’une entreprise sont des renseignements personnels, mais ils ne sont pas confidentiels en vertu de la loi. Donc, il n’y a pas obligation de les sécuriser », indique Me Antoine Aylwin cochef, vie privée et cybersécurité, chez Fasken.
Une application par volet
Dans le premier volet entré en vigueur en septembre 2022, les entreprises faisant affaire au Québec et collectant des données personnelles devaient entre autres désigner un responsable de la protection des renseignements personnels et tenir un registre des incidents.
« Par défaut, le plus haut dirigeant d’une entreprise va être le responsable de la protection des renseignements personnels, c’est ce que la loi prévoit, tant qu’il n’y a pas de délégation […] », mentionne Me Antoine Aylwin.
Le second volet entré en vigueur en septembre 2023 comporte une série de responsabilités et d’obligations pour les entreprises.
Mentionnons, entre autres, l’établissement de politiques et de pratiques de gouvernance en matière de protection des renseignements personnels, l’obligation de transparence, l’anonymisation et la destruction des renseignements personnels lorsque la finalité de leur collecte est accomplie, l’évaluation de risque en matière de vie privée en certaines circonstances et le respect des nouvelles obligations relatives au consentement.
En cas de non-conformité, une entreprise peut écoper d’une sanction pouvant aller jusqu’à 25 000 000 $ ou 4 % du chiffre d’affaires mondial, et des sanctions administratives pécuniaires jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial.
Le cas des banques à charte fédérale
Or, en ce qui a trait à l’assujettissement des banques à charte fédérale à la loi québécoise, « la question n’a pas encore été tranchée », souligne Me Antoine Aylwin.
« Ce qu’on constate en pratique, c’est qu’il y a beaucoup de banques à charte fédérale qui choisissent d’appliquer la loi sans faire le débat constitutionnel, à savoir que puisqu’elles sont une institution de juridiction fédérale, est-ce qu’elles peuvent se soustraire à l’application de cette loi provinciale ? […] »
Cela étant dit, « la question va devenir un peu académique », estime l’avocat, avec le projet de loi C-27 qui vise à modifier la loi fédérale sur la protection des renseignements personnels. « Puis, la loi fédérale, qui s’applique sans aucun doute aux banques à charte fédérale, va prévoir un régime de sanctions qui est très similaire au régime québécois. »
Une obligation quand on fait affaire au Québec
En revanche, pour les entreprises dont le siège social est à l’extérieur du Québec mais qui ont des activités dans la province, la situation est claire.
« À partir du moment où elles font des affaires au Québec qui impliquent la collecte de renseignements personnels, la loi va s’appliquer », dit l’expert.
En fait, précise-t-il, « la protection des renseignements personnels, c’est vraiment une double juridiction, c’est-à-dire que la loi où les individus sont présents s’applique à eux, à leurs bénéfices, plus la loi où se trouve le siège social ou l’endroit où les données sont traitées. »
Le télétravail ne fait pas exception
Pour ce qui est du travail à distance, les exigences de la loi s’appliquent également.
« Il faut les appliquer dans le contexte où on exerce nos activités. Donc, si on permet aux employés de travailler à l’extérieur de l’endroit physique du bureau, il faut qu’on ait une infrastructure qui leur permet de rencontrer les exigences de confidentialité qui sont prévues en vertu de la loi », explique l’avocat.
Quant au télétravail de l’étranger, c’est-à-dire à l’extérieur du Québec, il souligne que « la loi a une portée territoriale limitée au Québec ». La question de l’application de la loi se pose cependant lorsque les données sont hébergées à l’extérieur du Québec.
« Il y a une disposition spécifique dans la loi qui prévoit des obligations quand on veut héberger à l’extérieur du Québec des données de Québécois. Ça veut dire qu’il faut faire une analyse d’impact et prendre des mesures de protection. C’est vrai pour chacune des provinces et chacun des États américains. Ce sont toutes des juridictions qui sont différentes. Il faut donc refaire l’analyse à chaque fois. […] »
Les travailleurs indépendants aussi
Tout travailleur indépendant ou pigiste a aussi l’obligation d’appliquer la loi, s’agissant d’une entreprise solo.
« S’il recueille des renseignements personnels, il doit les sécuriser et les garder confidentiels. Depuis vendredi [Ndlr : le 22 septembre], il a une nouvelle obligation d’avoir des calendriers de rétention et de détruire les renseignements à l’issue du délai. Il doit pouvoir informer les individus sur la gouvernance des renseignements personnels. »
« La seule distinction entre les plus petites et les plus grandes organisations, précise l’avocat, c’est que quand une personne n’a pas de site Web, elle n’a pas besoin de mettre en ligne l’information sur comment elle gère les renseignements personnels. »
La loi 25 s’applique, par exemple, à un conseiller indépendant qui fait affaire avec un courtier.
« Dans la mesure où vous avez votre propre entreprise, eh bien, chaque entreprise a l’obligation de voir à la conformité de la loi. Il y a toute une interaction entre différents maillons dans l’industrie. Celui qui recueille les données et qui les confie à un autre doit s’assurer d’avoir un environnement contractuel adéquat pour protéger les renseignements. Depuis vendredi, la loi prévoit un minimum de ce qui doit être conclu dans les contrats de service, par exemple. […] »
Par ailleurs, l’avocat signale qu’avec l’entrée en vigueur du second volet, les entreprises qui ont des activités de sollicitation commerciale sans consentement des personnes, à partir de listes nominatives, ne peuvent plus le faire et doivent revoir tout de suite leurs processus.
Des éléments à considérer avec l’IA
Pour les entreprises qui utilisent des logiciels d’intelligence artificielle (IA), notamment les banques, « la loi s’applique peu importe la finalité, prévient Me Antoine Aylwin. Donc, à partir du moment où on puise dans une base de données qui contient des renseignements personnels, la règle du consentement s’applique. […] C’est soit un consentement, soit une exception au consentement ».
« Dans la mesure où on a un consentement, il faut qu’il soit libre et éclairé, ajoute-t-il. Il faut que les finalités qu’on recherche soient suffisamment bien exprimées pour que le consentement soit valide, ce qui pose un sérieux défi en matière de recherche avec des outils d’intelligence artificielle, parce que, parfois, on ne sait pas exactement ce qu’on cherche et ce qu’on va en faire comme utilisation. »
De plus, les renseignements inférés générés par l’IA sont considérés par la Commission d’accès à l’information comme des renseignements personnels.
« En partant d’un profil X, illustre Me Antoine Aylwin, on va vouloir, à l’aide d’un modèle d’intelligence artificielle, aller accoler un indice de risque à quelqu’un et ces données-là sont en soi des renseignements personnels. »
« Si on projette ça au milieu financier, on peut penser à tout ce qui est l’analyse de risque qui viendrait avec des outils d’intelligence artificielle. Ça veut dire qu’il faut avoir des consentements qui sont très élaborés pour pouvoir utiliser ces données […]. »
Un dernier volet à venir
En septembre 2024, le dernier volet de la loi entrera en vigueur. Les entreprises devront alors répondre aux demandes de portabilité des renseignements personnels, c’est-à-dire communiquer, à la demande d’une personne concernée, un renseignement personnel sous forme écrite ou dans un format technologique couramment utilisé.
Selon Me Antoine Aylwin, « les modalités et les exigences spécifiques de la loi, […] ce sont juste de moyens pour atteindre l’objectif qui est d’avoir un bon contrôle de ce qu’on fait avec les renseignements, ce qui implique de recueillir le moins de renseignements possible, de limiter l’accès au plus petit nombre d’employés possible, d’utiliser les données aux fins pour lesquelles elles ont été recueillies et de les détruire dans un délai raisonnable en fonction des utilisations ».
L’autre finalité de la loi, termine-t-il, « c’est d’être capable de renseigner les individus sur ce qu’on fait [avec les données recueillies] et de leur consentir le contrôle de leurs données − Est-ce qu’ils veulent nous fournir leurs données ? Est-ce qu’ils peuvent avoir accès à une copie de leurs données ? −, pour qu’ils puissent faire des choix éclairés sur leurs relations contractuelles ».