Québec n’entend plus badiner avec les entreprises qui négligent la protection des renseignements personnels de leurs clients.
La ministre de la Justice, Sonia LeBel, a déposé vendredi un projet de loi qui permettra d’imposer des amendes pouvant aller jusqu’à 25 millions de dollars (M$) ou jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise si le montant est plus élevé.
« Nos lois actuelles manquent de mordant », a tranché la ministre en présentant la pièce législative qui vise à imposer des « sanctions dissuasives » pour les contrevenants.
À l’heure actuelle, les amendes vont de 1000 $ à 10 000 $, alors que Québec vise à fixer désormais l’amende minimale à 15 000 $.
« Ceux qui ont vécu un vol d’identité le savent: les conséquences peuvent être très lourdes et vous suivre pendant de nombreuses années », a noté la ministre LeBel en conférence de presse.
Le projet de loi 64, que la ministre a qualifié d’« extrêmement costaud », vise à redonner aux citoyens le plein contrôle de leurs renseignements personnels et responsabiliser les organisations qui utilisent ces renseignements, a-t-elle expliqué.
Sonia LeBel a donné un exemple que tous les internautes ont vécu pour illustrer un des moyens de défense prévus.
« Vous êtes allés magasiner un barbecue. Tout d’un coup sur votre Facebook et sur votre Instagram on vous offre des barbecues à répétition. Avec le projet de loi, je vais pouvoir désactiver cette fonction-là et de dire moi je veux magasiner un barbecue sans après ça me faire bombarder. »
Le citoyen devra donner un consentement « éclairé » et « distinct » à l’utilisation de ses renseignements personnels. Autrement dit, l’entreprise devra lui expliquer clairement ce à quoi son client s’apprête à consentir et le faire à chaque étape.
Les entreprises auront aussi l’obligation de détruire ou anonymiser les renseignements personnels quand l’utilisation prévue sera terminée. Quoi qu’il en soit, un citoyen pourra exiger à tout moment que ses renseignements soient détruits.
Toutes les entreprises faisant des affaires au Québec devront également informer la Commission d’accès à l’information et les citoyens d’une fuite de données, de même que tenir un registre de toutes les brèches de confidentialité.
Le projet de loi, qui est inspiré d’une législation européenne, s’applique aux renseignements personnels des clients québécois de toutes les entreprises qui font des affaires dans la province, y compris les entreprises à charte fédérale. Les partis politiques seront également soumis à certaines dispositions.
Un juge déterminera le montant de l’amende en fonction de la gravité de l’incident, notamment le nombre de personnes touchées, s’il s’agit d’une première condamnation, si l’entreprise a reçu des avertissements, si elle a respecté les balises, etc.
Les renseignements de millions de Québécois ont été compromis lors de plusieurs fuites de données au cours des dernières années, dont un vol qui a touché 4,4 millions de membres du Mouvement Desjardins.
La ministre a été incapable de dire à ce stade-ci si son projet de loi aurait permis d’éviter la fuite de données chez Desjardins. Elle estime cependant que son projet de loi s’ajoute à la Politique gouvernementale de cybersécurité et au projet de loi sur les agences de crédit pour former un « trio » qui contribuera à « minimiser le risque ».
L’étude du projet de loi commencera à l’automne.