Un cadenas posé sur une carte informatique.
phive2015 / 123rf

Cette loi accroît la responsabilité des dirigeants, impose des sanctions en cas de manquements graves, introduit la notion de consentement explicite des individus par rapport à l’utilisation de leurs données personnelles, préconise une plus grande anonymisation des données personnelles et accroît les droits des individus.

Un récent webinaire de l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) a débroussaillé ce terrain glissant pour les entreprises, comme le rappelle l’affaire du vol de données chez Desjardins en 2019.

Animé par Claudyne Bienvenu, vice-présidente pour le Québec et l’Atlantique chez l’OCRCVM, le webinaire réunissait deux avocates du cabinet Borden Ladner Gervais, soit Éloïse Gratton, associée et cochef nationale, Respect de la vie privée et protection des renseignements personnels, et Elisa Henry, associée et cochef nationale, Respect de la vie privée et protection des renseignements personnels.

Voici un aperçu des éléments soulevés par les avocates du cabinet Borden Ladner Gervais.

Responsabilisation accrue

Dès septembre 2021, la personne ayant la plus haute autorité au sein de l’entreprise devra veiller à la mise en œuvre de la loi 64, signale Éloïse Gratton. Cette exigence, incarnée par le PDG mais qui peut aussi être déléguée, inclut l’obligation de rapporter les incidents ou bris de confidentialité auprès de la Commission d’accès à l’information (CAI), l’organisme qui appliquera la loi.

Le Québec devient ainsi, précise Éloïse Gratton, la troisième juridiction au Canada avec le gouvernement fédéral et l’Alberta « à se doter d’un régime de notification obligatoire des incidents de confidentialité dans le secteur privé. »

Sanctions

La CAI pourra imposer des sanctions administratives pécuniaires pouvant atteindre 10 M$ ou 2 % du chiffre d’affaires mondial dans divers cas de figure dont celui d’avoir négligé de prendre les mesures de sécurité propres à assurer la protection des renseignements personnels.

Borden Ladner Gervais signale que la loi stipule que des infractions pénales seront passibles d’amendes pouvant aller jusqu’à 25 M$ ou 4 % du chiffre d’affaires mondial.

Étant donné la responsabilité de dirigeants à l’égard d’action ou d’omission constituant une infraction pénale, Elisa Henry recommande « de vérifier les polices d’assurance pour les dirigeants pour vérifier si le cas échéant vous avez des exclusions qui traitent à la vie privée ».

Consentement

Les entreprises qui offrent des produits ou services technologiques avec paramètres de confidentialité « devront désormais s’assurer que par défaut ces paramètres assurent le plus haut niveau de confidentialité sans aucune intervention de la personne concernée », dit Elisa Henry.

Les exigences de consentements devront « être obtenus de façon expresse lorsqu’on gère des renseignements de nature sensible », précise Éloïse Gratton.

Anonymisation

L’anonymisation, tel qu’entendu dans la loi, implique l’élimination des identifiants directs (les coordonnées) et indirects (par exemple, le genre), ce qui constitue un seuil « élevé », affirme Elisa Henry.

Nouveaux droits

La loi 64 donne de nouveaux droits aux individus.

En 2023, les individus touchés par une prise de décision automatisée auront le droit de demander des informations additionnelles concernant la décision rendue « et de s’y opposer le cas échéant. » Ces informations, explique Elisa Henry, sont relatives au type de renseignement utilisé, aux raisons, facteurs sous-jacents et paramètres ayant mené à la décision. « Ce n’est pas un droit de rectification mais c’est un droit de présenter des observations », précise l’avocate.

En septembre 2024, s’imposera le droit à la « portabilité des données ». Les individus pourront recevoir leurs renseignements informatisés dans un « format technologique structuré couramment utilisé. »

Selon Elisa Henry, cette disposition vise « à permettre la réutilisation des données et favoriser la concurrence entre les acteurs à l’heure numérique. Alors on pense évidemment aux entreprises de télécom ou aux banques dans un contexte d’open banking. »