À l’ère du numérique : le droit québécois en adaptation
Rédactrice: Gabrielle Rodrigue
Une « culture de négligence »[1]
D’emblée, sachez que vous faites probablement partie des 9,7 millions d’individus exposés par le vol de données chez Desjardins, ce scandale au bout des lèvres depuis le printemps 2019 [2]. Au-dessus du brouhaha causé par la rupture du lien de confiance entre 4,2 millions de membres et leur institution financière, on croyait entrevoir, au loin, un changement grandement attendu en ce qui concerne la protection des données et le droit à la vie privée [3]. En effet, cet événement, lorsque combiné à la fuite de données au ministère de la Justice du Québec en septembre 2020, pour ne nommer que cet exemple, a permis à un sujet dont on parle trop peu de se tailler une place dans le discours public : celui de l’insuffisance du régime de protection des renseignements personnels des citoyens et citoyennes du Québec [4].
Réalisant qu’une mise à jour de ce domaine du droit est plus que nécessaire, le gouvernement provincial a annoncé le dépôt d’un projet de loi sur le sujet [5]. À vrai dire, le présent article se veut un bref regard sur le régime actuel de protection des renseignements personnels, ainsi que sur la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après « projet de loi 64 »), sanctionnée le 22 septembre dernier et qui entrera en vigueur, sauf exception, le 22 septembre 2023 [6]. Nous soulignerons d’abord les lacunes de l’actuel régime québécois de protection des renseignements personnels, pour ensuite présenter les modifications les plus pertinentes du projet de loi 64. Enfin, nous tenterons de déterminer si ces dernières sauront répondre aux failles législatives, depuis trop longtemps tolérées dans ce domaine du droit.
Un vent de fraîcheur
Le projet de loi 64 modifie principalement deux lois, soit la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « Loi sur le secteur privé ») et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels [7]. Les modifications proposées, et depuis longtemps réclamées, visent essentiellement à accroître la transparence et le niveau de confidentialité des données et de leur communication, en plus de rehausser les exigences en matière de consentement [8].
Mais qu’est-ce qu’un renseignement personnel au sens des lois citées ci-haut? Brièvement, il s’agit de « tout renseignement qui concerne une personne physique et qui permet de l’identifier » [9]. A priori, il peut paraître surprenant de constater que le projet de loi 64 ne propose pas de modification à cette définition, pourtant très large et sujette à diverses interprétations [10]. Cependant, ce choix est justifié par le fait que de nombreuses lacunes observées au niveau du régime de protection des renseignements personnels ne sont pas directement liées à la définition même de ces derniers, mais plutôt à l’incompatibilité de leur gestion avec les pratiques contemporaines de traitement de l’information [11]. Effectivement, la collecte massive de données, opérée par les entreprises privées et certains organismes publics à l’aide de l’intelligence artificielle, met à mal certains principes législatifs pourtant essentiels au régime [12]. C’est le cas, notamment, du principe de nécessité, qui renvoie à la limitation de la collecte, afin de freiner la récolte superflue ou excessive de données en conférant aux individus le droit de ne divulguer que le minimum nécessaire de renseignements personnels aux organisations avec lesquelles elles interagissent [13].
La récente décision Intact Assurance c. Commission d'accès à l'information du Québec nous éclaire quant aux conditions à remplir afin de respecter le critère de nécessité [14]. D’abord, les objectifs de la collecte de renseignements doivent être légitimes, importants et réels, puis, l’atteinte au droit à la vie privée, par ailleurs consacré à l’article 5 de la Charte des droits et libertés de la personne [15], doit être proportionnelle à la réalisation de ces objectifs [16]. Ce principe doit, toutefois, être étudié de pair avec la pierre angulaire du régime québécois de protection des renseignements personnels : le consentement [17].
Consentir en un simple « clic »
Le modèle de consentement qui a, d’ici l’entrée en vigueur du projet de loi 64, force exécutoire, repose en grande partie sur l’autonomie individuelle [18]. En principe, toute collecte, utilisation ou divulgation d’informations à caractère personnel doit être approuvée par le consentement libre et éclairé de l’individu dont les renseignements sont convoités [19]. Il importe de souligner que la Loi sur le secteur privé confère actuellement cette protection, tel que l’illustre la décision FLS Transportation Services Limited c. Fuze Logistics Services inc., dans laquelle la Cour supérieure a refusé d’ordonner la divulgation d’informations personnelles de tiers au litige, soit la date et les raisons de leur congédiement, puisque ces derniers n’y avaient pas consenti et qu’il n’était pas justifié d’outrepasser cette absence de volonté [20].
Un consentement sera considéré comme valide s’il est donné dans des circonstances qui permettent clairement à la personne sur laquelle portent les renseignements demandés d’en connaître les fins d’utilisation ou de communication, et ce, préalablement à la collecte [21]. D’autant plus que ces fins doivent être considérées comme acceptables au sens de la Loi sur le secteur privé, nous constatons que le régime actuel de protection n’est pas complètement impertinent; il est plutôt désuet.
À vrai dire, le hic, c’est que compte tenu du développement rapide et continu des technologies de l’information, de l’émergence de nouveaux modèles d’affaires et de la circulation de plus en plus affluente de grandes quantités d’informations, cette notion d’autonomie individuelle en matière de consentement ne permet plus un contrôle efficace, par les individus, de leurs renseignements personnels [22]. D’abord, comment peut-on qualifier de « libre et éclairé » un consentement donné sans en comprendre les conséquences, ou encore dans le but de bénéficier d’un service, où le consentement est alors « extorqué » [23]? Plusieurs critiques soulignent que cette notion en est une de façade, qui constitue davantage une formalité qu’un mode de protection contre les collectes illicites de données [24].
Les remèdes proposés par le projet de loi 64
Le projet de loi 64 imposera de nouvelles obligations tant aux sociétés faisant affaire au Québec qu’à celles qui traitent des renseignements de ceux et celles qui y résident [25]. Plus précisément, un organisme public désirant communiquer un renseignement personnel à l’extérieur du Québec devra considérer des éléments tels que la sensibilité du renseignement, la finalité de son utilisation, les mesures de protection auxquelles il sera soumis, ainsi que le régime juridique applicable dans l’État où les informations seront communiquées, qui doit prévoir une protection adéquate [26]. Au niveau du secteur privé, d’ici le 22 septembre 2023, les entreprises devront établir et mettre en œuvre des politiques qui ont pour but d’encadrer leur gouvernance des renseignements personnels [27]. Cela signifie notamment que les individus auront accès, sur le site Internet des entreprises, à des informations détaillées à propos de ces politiques ou encore à un mécanisme qui leur permettra de déposer une plainte s’ils jugent la protection de leurs renseignements personnels fragile ou défaillante [28].
Le projet de loi 64 introduit, au niveau de l’utilisation de technologies permettant l’identification, la localisation et le profilage, de nouvelles exigences de transparence [29]. En fait, il oblige à toute personne d’informer, avant de procéder à la collecte et au traitement des renseignements, de l’utilisation de ces technologies ainsi que des moyens offerts pour désactiver les fonctions qui permettent l’identification, la localisation et le profilage [30].
Un autre bon coup se retrouve dans l’imposition de sanctions et de pénalités beaucoup plus sévères que celles prévues par le présent régime [31]. En effet, les sanctions de nature administrative et pécuniaire seront octroyées par une personne désignée par la Commission d’accès à l’information (ci-après « la Commission »), ce qui, du même coup, accentue les pouvoirs de cet organisme afin d’améliorer la mise en œuvre des sanctions et de réduire l’impunité qui a cours en matière de violation du droit à la vie privée [32]. Il importe également de noter à quel point les sanctions pécuniaires sont considérables : selon l’infraction, pour les personnes physiques, elles se situent entre 5000$ et 50 000$, alors que pour tous les autres cas, notamment pour les personnes morales, elles se situent entre 15 000$ et 25 000 000$, ou du montant correspondant à 4% du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé [33].
Le projet de loi 64 prévoit aussi des sanctions pénales en cas de manquements répétés ou en cas de violation à une ordonnance de la Commission [34]. En outre, quiconque communique, utilise ou recueille des informations personnelles et n’en informe pas les personnes concernées ou ne déclare pas un incident de confidentialité à la Commission recevra d’abord un avis de non-conformité, qui peut toutefois mener à l’imposition des sanctions mentionnées ci-haut [35].
Il s’agit d’une nette hausse dans les pénalités applicables au régime, puisqu’actuellement, les dispositions pénales prévues en cas de violation générale de la Loi sur le secteur privé se situent entre 1000$ et 10 000$ et peuvent atteindre un maximum de 20 000$ en cas de récidive [36]. L’amende la plus salée que peut possiblement recevoir une personne physique ou une personne morale s’élève à 50 000$, et ce, uniquement lors d’une violation de l’article 17, qui prévoit les conditions à respecter en cas de communication de renseignements personnels hors-Québec [37].
Mettre un prix sur les données personnelles
Nous venons de mentionner certaines modifications qui seront apportées par le projet de loi 64 et qui nous semblent les plus pertinentes. Toutefois, il reste à savoir si cette mise à jour législative en matière de protection des renseignements personnels vise juste, ou au contraire, si elle rate la cible.
Le projet de loi affirme vouloir « redonner aux citoyens le plein contrôle de leurs renseignements personnels » [38]. Or, nous constatons qu’il ne fait qu’effleurer le cœur du problème : la valorisation des données [39]. Effectivement, en octroyant plus d’exceptions aux entreprises privées que ne le prévoyait initialement la Loi sur le secteur privé, le projet de loi 64 libéralise davantage l’utilisation et la communication de données personnelles qui ne nécessitent pas le consentement de l’individu [40]. Ainsi, pour des fins de recherche, de commerce ou de compilation de statistiques, les entreprises pourront réutiliser les renseignements personnels déjà recensés sans devoir solliciter le consentement des personnes concernées, ou encore les anonymiser afin de profiter d’un flou juridique payant [41].
Il importe de comprendre l’ampleur de cette situation et son message politique : si un renseignement personnel est nécessaire à la conclusion d’une transaction commerciale, les entreprises se voient exemptées de l’obligation de consentement [42]. Cependant, venant d’un gouvernement qui défend un ministre - condamné à de maintes reprises par la Commissaire à l’éthique - qui affirme que les données médicales des Québécois et Québécoises sont de véritables « mines d’or » pour les compagnies pharmaceutiques, est-ce vraiment surprenant de voir la commercialisation de nos renseignements personnels atteindre un tel sommet [43]?
En somme, bien que le projet de loi 64 constitue une mise à jour nécessaire du régime de protection de nos données personnelles, nous hésitons à l’applaudir. Nous craignons qu’il ne constitue, lorsque considéré dans la société globalisée et surconnectée dans laquelle nous évoluons, qu’une autre réforme superficielle qui, au fond, ne change pas le système juridique dysfonctionnel auquel nous devons pallier [44]. Le droit doit s’adapter à la société qu’il régule et innover lorsque les droits fondamentaux des justiciables sont soumis à un système dépassé par la réalité virtuelle, de plus en plus concrète dans nos vies. Pierre Trudel résume parfaitement cette idée en matière de protection des renseignements personnels, et ses mots ne sauraient être plus justes après cette brève étude du projet de loi 64 :
« Les pratiques fondées sur la valorisation des données concernent au premier chef la collectivité. On ne peut encadrer ces pratiques par les seules formalités de consentement individuel. Le temps n’est plus à encombrer les lois de ces obligations insignifiantes censées assurer un fictif « contrôle » individuel. L’enjeu est plutôt d’assurer la responsabilisation et la transparence de ceux qui valorisent les données émanant désormais de tout ce qui est connecté [45] »
Sources
(1) Stéphane ROLLAND, « La négligence des entreprises ne sera plus tolérée, prévient Québec », La Presse, 27 septembre 2021, en ligne : < https://www.lapresse.ca/actualites/politique/2021-09-27/protection-des-donnees/la-negligence-des-entreprises-ne-sera-plus-toleree-previent-quebec.php > (consulté le 4 novembre 2021).
(2) Éric DESROSIERS, « Vols de données : Desjardins sévèrement critiqué », Le Devoir, 15 décembre 2020, en ligne : < https://www.ledevoir.com/economie/591720/vol-de-donnees-personnelles-desjardins-severement-critique > (consulté le 4 novembre 2021).
(3) Hugo JONCAS, « Le nom d’un nouveau suspect révélé en cour », La Presse, 3 août 2021, en ligne : < https://www.lapresse.ca/actualites/justice-et-faits-divers/2021-08-03/vol-de-donnees-chez-desjardins/le-nom-d-un-nouveau-suspect-revele-en-cour.php > (consulté le 4 novembre 2021).
(4) AGENCE QMI, « Le ministère de la Justice reconnaît une fuite de données », Le Journal de Montréal, 10 septembre 2020, en ligne : < https://www.journaldemontreal.com/2020/09/10/le-ministere-de-la-justice-reconnait-avoir-ete-victime-de-tentatives-dhameconnage-1 > (consulté le 4 novembre 2021).
(5) Antoine GUILMAIN et Éloïse GRATTON, « La protection des renseignements personnels dans le secteur privé du Québec : rétrospectives et perspectives », dans S.F.C.B.Q., vol. 465, Développements récents en droit à la vie privée, Montréal, Éditions Yvon Blais, 2019, p. 67, à la p. 69, en ligne : <
https://edoctrine.caij.qc.ca/developpements-recents/465/369051331 > (consulté le 3 novembre 2021)
(6) Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, projet de loi no64, (sanctionné le 22 septembre 2021), 1ère sess., 42e légis. (Qc) ; ASSEMBLÉE NATIONALE DU QUÉBEC, « Projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, dans Travaux parlementaires – Assemblée nationale du Québec, 2021, en ligne : < http://assnat.qc.ca/fr/travaux-parlementaires/projets-loi/projet-loi-64-42-1.html > (consultés le 3 novembre 2021).
(7) Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1 (ci-après « Loi sur le secteur privé »); Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c. A-2.1.
(8) Charles S. MORGAN, Karine JOIZIL et al., « Examen par la Commission parlementaire terminé pour le projet de loi 64 : un pas de plus vers une réforme importante du régime québécois de protection des renseignements », (septembre 2021), dans Articles, Mc Carthy Tétrault, en ligne : <
https://edoctrine.caij.qc.ca/publications-cabinets/mccarthy/2021/a121816/fr/i84ee9e70-8161-4506-9cb7-e4e78e2d2e7c > (consulté le 3 novembre 2021).
(9) Loi sur la protection des renseignements personnels dans le secteur privé, préc., note 6, article. 2; Intact Assurance c. Landry, QCCQ 428, par. 17.
(10) Simon DU PERRON, « Projet de loi no64 : échos de commission parlementaire », 15 octobre 2020, Laboratoire de Cyberjustice, en ligne : < https://www.cyberjustice.ca/2020/10/15/projet-de-loi-n-64-echos-de-commission-parlementaire/> (consulté le 4 novembre 2021).
(11) Pierre-Luc DÉZIEL, « Est-ce bien nécessaire ? Le principe de limitation de la collecte face aux défis de l’intelligence artificielle et des données massives », dans S.F.C.B.Q., vol. 465, Développements récents en droit à la vie privée, Montréal, Éditions Yvon Blais, 2019, p. 1, à la p. 3, en ligne : <
https://edoctrine.caij.qc.ca/developpements-recents/465/369051329 > (consulté le 3 novembre 2021).
(12) Id., p. 3 et 4.
(13) Id., p. 4 et 5; Code civil du Québec, RLRQ, c. CCQ-1991, art. 37.
(14) Intact Assurance c. Commission d'accès à l'information du Québec, 2021 QCCQ 1971, par. 50.
(15) Charte des droits et libertés de la personne, RLRQ, c. C-12.
(16) Intact Assurance, préc., note 14., par. 50.
(17) Antoine GUILMAIN et Éloïse GRATTON, préc., note 5, p. 82.
(18) Id., p. 83.
(19) Id., p. 83.
(20) FLS Transportation Services Limited c. Fuze Logistics Services inc., 2021 QCCS 849, par. 16,17 et 19.
(21) Pierre-Luc DÉZIEL, préc., note 11, p. 6.
(22) Antoine GUILMAIN et Éloïse GRATTON, préc., note 17, p. 83.
(23) LIGUE DES DROITS ET LIBERTÉS, « Consultations particulières et auditions publiques au sujet du projet de loi 64 : loi modernisant des dispositions législatives en matière de protection des renseignements personnels », Mémoires et représentations, 23 septembre 2020, en ligne : < https://liguedesdroits.ca/wp-content/fichiers/2020/09/memoire_projet_loi_64_renseignement_personnel_20200923.pdf > (consulté le 5 novembre 2021).
(24) Pierre-Luc DÉZIEL, préc., note 11, p. 3 ; Pierre TRUDEL, « Renseignements personnels : les vraies urgences », Le Devoir, 18 février 2020, en ligne : < https://www.ledevoir.com/opinion/chroniques/573151/renseignements-personnels-les-vraies-urgences > (consulté le 6 novembre 2021).
(25) Simon DU PERRON, préc., note 10.
(26) Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, préc., note 6, art. 27.
(27) COMMISSION D’ACCÈS À L’INFORMATION, Politiques et pratiques de gouvernance, Espace évolutif – Projet de loi 64, Québec, CAI, 2021, en ligne : < https://www.cai.gouv.qc.ca/espace-evolutif-modernisation-lois/thematiques/politiques-pratiques-gouvernance/ > (consulté le 4 novembre 2021).
(28) Id.
(29) Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, préc., note 6, art. 18 et 99.
(30) Id.
(31) Id., note explicative.
(32) Id., art. 150.
(33) Id., art. 151.
(34) Id., note explicative, arts. 150 et 151.
(35) Id., art. 151.
(36) Loi sur le secteur privé, préc., note 7, arts. 91-92.
(37) Id., arts. 17, 91-92.
(38) CABINET DU MINISTRE DE LA JUSTICE ET PROCUREUR GÉNÉRAL DU QUÉBEC, « Projet de loi 64 - Le gouvernement du Québec redonne aux citoyens le plein contrôle de leurs renseignements personnels », Communiqué du 12 juin 2020, en ligne : < https://www.quebec.ca/nouvelles/actualites/details/projet-de-loi-64-le-gouvernement-du-quebec-redonne-aux-citoyens-le-plein-controle-de-leurs-renseigne/ > (consulté le 5 novembre 2021).
(39) Pierre TRUDEL, préc., note 24.
(40) Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, préc., note 6, art. 102; Charles S. MORGAN, Karine JOIZIL et al., préc., note 8.
(41) LIGUE DES DROITS ET LIBERTÉS, préc., note 23.
(42) Charles S. MORGAN, Karine JOIZIL et al., préc., note 8.
(43) Marie-Michèle SIOUI, « Québec veut attirer les pharmaceutiques avec les données de la RAMQ », Le Devoir, 21 août 2020, en ligne : < https://www.ledevoir.com/politique/quebec/584542/quebec-veut-attirer-les-pharmaceutiques-avec-les-donnees-de-la-ramq > (consulté le 6 novembre 2021).
(44) Pierre TRUDEL, préc., note 24.
(45) Id.