top of page
cookies.png

La Loi 25 : désirez-vous des « cookies »?

Rédigé par Francesca Robitaille

Les données personnelles sont un élément important et précieux. Nous savons tous et toutes qu’il faut prendre un soin particulier de notre carte d’assurance sociale et des autres documents essentiels qui forment la base de notre identité légale. Pourtant, lorsqu’il est question des renseignements personnels que nous utilisons dans un environnement technologique, nous ne semblons pas leur accorder la même attention. C’est comparable à la situation où l’on conserve des documents dans un tiroir de cuisine, accompagnés de vieux chargeurs et d’autres items « qui seront peut-être utiles un jour », malgré la conscience qu’il serait plus judicieux de les ranger dans un lieu plus sûr.

 

Le contexte

L’impact des nouvelles technologies sur le quotidien de la population et la numérisation croissante des biens et des services font en sorte qu’il est presque impossible d’échapper aux enjeux qui relient les questions de vie privée et de protection des renseignements personnels. Selon une étude du Commissariat à la protection de la vie privée du Canada, c’est une préoccupation se trouvant sur le radar d’au moins 87% des Canadiens et Canadiennes [1]. Une autre statistique intéressante de cette même étude peut accrocher l’œil : le Québec semble être plus préoccupé par cette question que les autres provinces [2]. Pourquoi? Malgré une divergence d’hypothèses formulées pour répondre à ce questionnement, le gouvernement québécois a décidé d’agir en adoptant la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après « Loi 25 ») [3]. Cette loi a pour objectif de réformer les obligations tant des entreprises privées que des organismes publics afin de mieux aligner la législation sur la protection du droit à la vie privée des individus avec la réalité informatique qui forme leur quotidien [4]. Vous avez probablement remarqué les nouvelles fenêtres contextuelles, plus communément appelées « pop-ups », sur les sites Web que vous utilisez et qui vous demandent vos préférences de paramètres (les fameux « cookies ») : ils découlent directement de l’entrée en vigueur de la Loi 25 [5]. Si vous pensez que le texte législatif ne s’attaque qu’à cet enjeu, détrompez-vous, les impacts de cette loi sur les droits des Québécois et des Québécoises sont beaucoup plus vastes et méritent d’être décortiqués. Par ailleurs, il est intéressant de remarquer que la Loi 25 présente certaines distinctions avec le Règlement général sur la protection des données [6] (ci-après « RGPD »), législation adoptée par le Parlement européen, duquel elle s’est grandement inspirée [7].

 

La question du consentement au traitement des renseignements personnels

Le changement le plus marquant, celui que les internautes reconnaitront le mieux, c’est la notion de « opt-in » par opposition à celle du « opt-out » quant à l’utilisation des données personnelles d’une personne. Un régime « opt-out » permet la collecte des données personnelles par défaut à moins que la personne n’ait expressément indiqué qu’elle le refuse [8]. Un régime « opt-in » oblige toute personne qui désire collecter des données personnelles d’obtenir le consentement explicite de la personne visée avant de pouvoir procéder à ladite collecte [9]. Vous devez l’avoir constaté si vous portez une attention aux fameuses fenêtres contextuelles : la Loi 25 exige maintenant l’application des règles « opt-in » par le biais des nouvelles dispositions régissant le consentement [10]. De plus, ce consentement doit être demandé en utilisant un langage simple et clair et être donné de manière libre et manifeste [11]. Cette demande destinée à recueillir le consentement ne peut pas se faire parmi un amalgame d’autres informations et doit contenir certains autres éléments pertinents pour l’individu [12].

 

Le législateur a gardé à l’esprit, lors de la rédaction de la Loi 25, l’enjeu de la compréhension du public. Pour la majorité des individus, les nouvelles obligations découlant de cette législation sont d’autant plus visibles lors d’interactions avec des entreprises privées. La Loi sur la protection des renseignements personnels dans le secteur privé prévoit, à son article 8, que lorsqu’une personne de droit privé procède à la collecte de renseignements personnels, elle doit aviser la personne propriétaire de ces renseignements (1) des fins auxquelles ils sont collectés, (2) des moyens par lesquels ils sont collectés, (3) des droits d’accès et de rectification prévus par la loi et (4) de son droit de retirer son consentement à la communication ou à l’utilisation des renseignements [13].

 

L’article 12 de cette même loi restreint l’utilisation d’un renseignement collecté aux seules fins explicitées lors de l’obtention du consentement, sauf quelques exceptions reliées à la prévention ou l’investigation d’infractions criminelles, à une utilisation nettement au bénéfice de la personne qui a fourni le renseignement (par exemple, pour lui fournir un service) ou à des fins d’études si le renseignement est dépersonnalisé, à savoir un renseignement qui ne permet plus d’identifier la personne à qui il réfère [14]. Selon notre analyse, la seule exception qui risque d’exiger des clarifications supplémentaires est celle qui permet l’utilisation à des fins compatibles avec celles pour lesquelles le renseignement a été recueilli. Une circonscription de ce qui est « compatible » sera possiblement requise des tribunaux ou de la Commission d’accès à l’information du Québec (ci-après « CAI ») dans le futur, surtout lorsqu’il pourrait être question de l’utilisation de renseignements par un algorithme ou par un module d’intelligence artificielle [15].

 

Par la suite, en ce qui concerne les entreprises privées, les articles 13 et 14 établissent les modalités de forme de la demande de consentement, soit qu’elle doit être présentée séparément de toute autre information lorsqu’elle est demandée par écrit [16]. Les mêmes obligations s’appliquent pour les organismes publics, avec l’ajout de l’article 53.1 à la Loi sur l’accès aux documents des organismes publics et la protection des renseignements personnels par l’entremise de l’article 9 de la Loi 25 [17].

 

Le consentement dans le cadre des droits fondamentaux

Lorsque les dispositions encadrant le consentement requis sont considérées dans leur ensemble, l’importance qu’accorde le législateur à ce que les personnes prennent des décisions libres et éclairées sur l’utilisation de leurs renseignements personnels devient évidente. Il y a un parallèle intéressant à faire : le souci qu’il y prête fait écho aux dispositions encadrant le consentement requis pour une atteinte à l’intégrité corporelle, ce que nous faisons plutôt régulièrement dans un contexte médical. Les dispositions de la Loi 25 ressemblent à l’exigence d’un consentement par écrit pour les soins médicaux qui ne sont pas requis, tant en ce qui concerne le consentement donné par un adulte que celui donné par un mineur [18]. Bien que souvent très différents, les renseignements personnels relatifs à la santé et ceux recueillis par les sites Internet sont tous deux hautement sensibles. Dans ce cas, l’écart entre l’attention que nous leur portons et leur traitement est consternant. Pourquoi l’un est-il si bien protégé alors que l’autre semble presque délaissé?

 

À la lumière de ce qui précède, l’absence d’une disposition sur le consentement donné par un majeur inapte pourrait même nous préoccuper. La collecte et le traitement de renseignements personnels entraînent des obligations à exécution successive [19]. Comment allons-nous traiter la question d’un consentement qui a été donné validement par une personne qui devient inapte à consentir par la suite, mais qui ne fait pas connaitre sa position? Révoquer son consentement par défaut? Présumer qu’elle continue à consentir? La situation est d’autant plus délicate vu qu’il n’y a souvent pas d’interaction humaine au moment de donner le consentement, surtout lorsqu’il est question d’accéder à des services par des moyens technologiques. Les lignes directrices de la CAI n’offrent pas de pistes concrètes pour répondre à ces questions [20]. D’autant plus que le fait que le consentement soit temporaire ne permet pas de régler ces situations lorsque la finalité pour laquelle le renseignement a été recueilli s’échelonne sur une longue durée.  

 

De plus, le consentement est un sujet traditionnellement associé aux situations qui impliquent le corps d’une personne, où il est alors facile de ressentir directement une atteinte. Malheureusement, il peut être plus difficile d’être conscient.e d’une telle atteinte lorsqu’un écran nous sépare et que des données intangibles sont en jeu. Pour faire court, la majorité des Canadiens et Canadiennes n’ont pas les mêmes réflexes à l’égard de la protection de leurs renseignements personnels qu’en ce qui concerne leur autonomie corporelle. Il peut être facile de comprendre pourquoi les gens sont plus prompts à protéger leur autonomie corporelle que leurs renseignements personnels. Toutefois, il peut également être déstabilisant de se rappeler que tous deux sont pourtant le reflet de droits fondamentaux.

 

Pour la majorité des personnes, les renseignements médicaux d’un individu ont une connotation plus sensible que les renseignements qui sont recueillis par les sites Internet sur lesquels cette personne navigue. Cependant, la quantité et la précision de l’information générée par la présence d’une personne permettent de construire un profil très précis de celle-ci [21], parfois avec des informations qu’elle ne voudrait pas connues.

 

En outre, seulement la moitié (52%) de la population s’autodéclare comme ayant une connaissance des technologies émergentes suffisante pour protéger leur droit à la vie privée [22]. Évidemment, cela semble problématique, surtout en tenant compte du fait qu’il est quasiment impossible de vérifier la compréhension de la personne qui se tient derrière son écran et qui lit (probablement en diagonale) les conditions d’utilisation du site Internet qu’elle désire consulter. Nous espérons que les changements apportés par la Loi 25 aux exigences de consentement sensibilisent la population au fait que les atteintes à leurs droits fondamentaux peuvent se faire, et ce, sans nécessairement qu’il y ait un contact direct entre deux personnes.

 

L’inspiration européenne du législateur québécois : le RGPD

Bien que la Loi 25 resserre la vis envers les organismes publics et les entreprises privées, le public ne témoigne pas de la même confiance envers les deux groupes. Seulement 45% des Canadiens et Canadiennes considèrent que les entreprises privées respectent leur droit à la vie privée, mais 63% ont cette opinion du gouvernement fédéral [23]. Selon nous, le choix d’attaquer en même temps les organismes publics et les entreprises privées démontre que le législateur tient à ce que la population québécoise puisse avoir confiance envers toutes les entreprises et envers les diverses branches du gouvernement en ce qui concerne le traitement de leurs renseignements personnels. Pour cela, il s’est inspiré des démarches entreprises par le Parlement européen dans le RGPD [24].

 

Le RGPD établit les normes à suivre pour la protection des renseignements personnels en Europe. C’est cette norme juridique qui a inspiré le législateur québécois pour la Loi 25, ce qui en fait un cas d’étude intéressant pour son application et sa mise en œuvre au Québec. Par exemple, sur la question du consentement, le RGPD impose des exigences similairement sévères à celles de la Loi 25 [25]. Bien que les termes utilisés soient parfois différents, les objectifs et les finalités se rejoignent [26]. En effet, le RGPD insiste aussi sur la qualité libre, spécifique et éclairée du consentement donné sur la foi d’informations compréhensibles [27]. Tout comme le consentement donné sous la Loi sur la protection des renseignements personnels dans le secteur privé, le consentement sous le RGPD peut être retiré par l’individu qui le donne, et ce, à tout moment [28]. Il ne doit être explicite que pour certains types de traitements de données. Par exemple, le consentement doit être exprès dès lors qu’il s’agit d’un renseignement personnel sensible (soit un renseignement qui – par sa nature, par le contexte de son utilisation ou par sa communication – suscite un degré élevé d’attentes raisonnables en matière de vie privée) donné à une entreprise privée [29].

 

Le RGPD et la Loi 25 distinguent également tous deux les renseignements selon l’utilisation qui en est faite. La décision de procéder ainsi, au lieu d’utiliser une distinction selon la nature du renseignement, nous apparait comme un simple choix. Ce ne sera que l’écoulement du temps qui nous permettra d’en évaluer les différentes conséquences. Réglementer les renseignements en fonction de leur utilisation entraîne certains risques, car cela exclut des renseignements de la même nature qui ne sont pas utilisés aux mêmes fins. Réglementer les renseignements selon leur type crée des risques différents. Bien entendu, il est impossible de prévenir tous les risques. Ainsi, les différents législateurs ont dû choisir quels risques ils sont prêts à assumer, et ceux pour lesquels ils cherchent en priorité à en atténuer les conséquences.

 

La gouvernance : un point de divergence

Sous la Loi 25, les organismes publics et les entreprises privées ont maintenant de nouvelles obligations concernant leur gestion des renseignements personnels. Il est désormais obligatoire d’avoir une personne désignée responsable de la protection des renseignements personnels [30]. De plus, les politiques et les pratiques de gouvernance à l’égard du traitement des renseignements personnels doivent être facilement accessibles aux personnes concernées [31]. Ces obligations agissent sur deux plans pour tenter de mieux protéger les droits des individus. Premièrement, en obligeant les organisations et les entreprises à établir un programme, elles seront mieux outillées pour répondre à un risque et mieux informées des sanctions en cas de manquement à leurs obligations [32]. Deuxièmement, les individus dont les renseignements sont recueillis bénéficient d’une transparence accrue qui leur permet de prendre une décision plus éclairée quant au consentement qu’ils fournissent et qui leur permet indirectement d’être mieux informés de leurs droits à l’égard de leurs informations personnelles [33]. Cette combinaison d’éléments ajoute inévitablement un poids supplémentaire sur les épaules des organismes et des entreprises : il leur faut dorénavant prendre au sérieux les droits des individus.

 

Sous le RGPD, l’accent est moins mis sur la transparence des politiques internes. Ce ne sont pas toutes les entreprises qui ont une personne désignée responsable pour les renseignements personnels, ce qui est le cas au Québec, comme nous l’avons vu. Au sein de l’Union européenne, une personne sera désignée « déléguée à la protection des données » dans trois cas : (1) s’il s’agit d’une autorité publique ou d’un organisme public, (2) si les opérations de traitement font, de leur nature, de leur portée ou de leur finalité, qu’il est nécessaire d’assurer un suivi régulier et systématique à grande échelle, ou (3) s’il y a traitement à grande échelle de certaines catégories particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des infractions [34]. C’est une divergence intéressante, puisqu’il est vrai que certains organismes ou entreprises collectent beaucoup plus de renseignements personnels que d’autres dans le cadre des services offerts. En effet, une entreprise qui fournit des logiciels de gestion des dossiers de patients au système de santé et qui héberge elle-même les données dans des centres de données ne fait pas face aux mêmes risques dans le cas d’un incident qu’une entreprise qui vend, disons, des plaques de béton, et l’approche préconisée par le RGPD le reconnait. En outre, la mise en place de mesures pour protéger les renseignements personnels et les assurances de cybersécurité ne sont pas des coûts négligeables pour les entreprises [35]. Cependant, toutes les entreprises conservent un minimum de renseignements personnels, même si ce n’est que dans leurs dossiers d’employé.e.s. Ces derniers contiennent souvent des informations très sensibles, reliées à l’identité et au compte bancaire.

 

Par ailleurs, les exigences de notification en cas d’incident sont similaires entre la Loi 25 et le RGPD. Tous deux exigent que la communication et la réaction à un incident soient promptes [36]. Au Québec, la notification d’un incident potentiel est faite au responsable de la protection des renseignements personnels, qui effectue une première analyse de la situation [37]. Dès la conclusion d’une atteinte aux renseignements personnels, un avis doit être envoyé aux autorités de contrôle pertinentes [38]. Ce délai est de 72 heures sous le RGPD [39]. La Loi 25 n’impose aucun délai de rigueur aux entreprises privées, mais la notification doit être faite sans délai et avec diligence [40]. Ensuite, dans les deux cas, une analyse plus approfondie de la situation est faite pour établir si le risque relatif aux renseignements personnels se qualifie comme « élevé », en quel cas un avis de l’incident est communiqué aux personnes concernées, c’est-à-dire les personnes dont les renseignements personnels sont affectés [41].

 

L’avenir de la réglementation des renseignements personnels

La Loi 25 et le RGPD reflètent bien les enjeux actuels entourant les renseignements personnels. Dans la réalité informatique actuelle, il est impossible d’échapper au traitement de nos données personnelles, que ce soit au sein des dossiers scolaires, fiscaux, d’emploi ou de santé. Le simple fait d’exister engendre un certain niveau de traitement de nos données et, souvent dans un désir de simplifier notre quotidien, nous y adhérons de plein gré. Tant les individus fournissant leurs renseignements que les personnes les recueillant ont des intérêts légitimes dans l’utilisation des renseignements. Cependant, plus la population mondiale adopte le monde numérique, plus il y aura d’individus qui verront des possibilités de profiter de l’existence de ces renseignements pour leur propre bénéfice. Le cas de Cambridge Analytica l’illustre de manière assez extrême [42].

 

L’explosion de la technologie et du « cloud » fait en sorte que nous sommes témoin de la création et de la mise en place, en quelque sorte, d’une structure sociale qui gouverne les utilisations autorisées de l’information et qui encadre les droits et les obligations entourant les utilisateurs et utilisatrices de ces nouvelles technologies. Il faut également reconnaitre que lorsque l’on met en place un premier système, comme la Loi 25 le fait, il s’agit rarement d’un système parfait. Les systèmes de régulation sont en évolution constante afin de pouvoir continuer de répondre aux besoins de la société. C’est un phénomène qui s’observe au fil de l’histoire et qui est ponctué de moments de crise, par exemple avec les évolutions législatives et normatives au début du XXIe siècle dans la sphère des vérifications financières suivant les scandales de Enron et WorldCom [43], qui ont entraîné l’entrée en vigueur de normes comptables telles que le Sarbanes-Oxley Act (mieux connue sous l’abréviation SOX) aux États-Unis [44] et C-SOX (ou « Bill 198 ») au Canada [45]. Comme toute législation qui est une réponse rapide à un enjeu juridique se manifestant dans un domaine qui change rapidement, il est évident qu’il faut s’attendre à ce que le système de gouvernance des renseignements personnels évolue lui aussi.

 

 

 

Sources

  1. COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Sondage auprès des Canadiens sur les enjeux liés à la protection de la vie privée de 2020-2021, Ottawa, Commissariat à la protection de la vie privée du Canada, 2021, en ligne :  <https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/recherche/consulter-les-travaux-de-recherche-sur-la-protection-de-la-vie-privee/2021/por_2020-21_ca/> (consulté le 11 novembre 2023).

  2. Id.

  3. Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, projet de loi no 64 (2021, chapitre 25) (sanctionnée - 22 septembre 2021), 1ère sess., 42e légis. (Qc) (ci-après « Loi 25 »).

  4. Id., p. 2-4.

  5. Michael SCHERMAN et Wendes KEUNG, « Quebec’s Law 25 and Cookies : Not So Cookie Cutter », McCarthy Tétrault, 11 octobre 2023, en ligne : <https://www.mccarthy.ca/en/insights/blogs/techlex/quebecs-law-25-and-cookies-not-so-cookie-cutter> (consulté le 11 novembre 2023).

  6. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE), (2016) Journal officiel de l’Union européenne, L119/1 – L119/88 (ci-après « RGPD »).

  7. Julie UZAN-NOLIN, « Le PL 64 : à la recherche du RGPD ? », Fasken Martineau DuMoulin LLP, 10 août 2020, en ligne : <https://www.fasken.com/fr/knowledge/loi-25/10-a-la-recherche-du-rgpd> (consulté le 11 novembre 2023).

  8. Sarah RIPPY, « Opt-in vs. Opt-out approaches to personal information processing », iapp.org, 10 mai 2021, en ligne : <https://iapp.org/news/a/opt-in-vs-opt-out-approaches-to-personal-information-processing/> (consulté le 11 novembre 2023).

  9. Id.; M. SCHERMAN et W. KEUNG, préc., note 5; Loi 25, préc., note 3, art. 108; Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1, art. 9.1 (ci-après « Loi sur les renseignements dans le secteur privé »).

  10. Loi 25, préc., note 3, art. 1 et 110; Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c. A-2.1, art. 8 (ci-après « Loi sur l’accès dans le secteur public »); Loi sur les renseignements dans le secteur privé, préc., note 9, art. 13 et 14.

  11. Loi 25, préc., note 3, art. 9 et 110; Loi sur les renseignements dans le secteur privé, préc., note 9, art. 14; Loi sur l’accès dans le secteur public, préc., note 10, art. 53.1.

  12. Loi 25, préc., note 3, art. 9 et 110; Loi sur l’accès dans le secteur public, préc., note 10, art. 53.1 al. 1; Loi sur les renseignements dans le secteur privé, préc., note 9, art. 14 al. 1.

  13. Loi 25, préc., note 3, art. 107; Loi sur les renseignements dans le secteur privé, préc., note 9, art. 8.

  14. Loi sur les renseignements dans le secteur privé, préc., note 9, art. 12 al. 1 par. 3.

  15. Loi sur les renseignements dans le secteur privé, préc., note 9, art. 12 al. 2 par. 1; COMMISSION D’ACCÈS À L’INFORMATION DU QUÉBEC, Utilisation des renseignements sans le consentement de la personne concernée, Québec, Ministère de la Justice, 2023, en ligne : <https://www.cai.gouv.qc.ca/consentement-collecte-renseignements-personnels/exceptions/entreprises/utiliser-renseignements-perso-sans-consentement-personne-concernee/> (consulté le 11 novembre 2023).

  16. Loi 25, préc., note 3, art. 110; Loi sur les renseignements dans le secteur privé, préc., note 9, art. 13 et 14.

  17. Loi 25, préc., note 3, art. 9 et 110; Loi sur l’accès dans le secteur public, préc., note 10, art. 53.1; Loi sur les renseignements dans le secteur privé, préc., note 9, art. 13 et 14.

  18. Code civil du Québec, RLRQ, c. CCQ-1991, art. 11-24.

  19. Loi 25, préc., note 3, art. 110; Loi sur les renseignements dans le secteur privé, préc., note 9, art. 14 al. 3.

  20. COMMISSION D’ACCÈS À L’INFORMATION DU QUÉBEC, Lignes Directrices 2023-1 – Consentement : critères de validité, Québec, Ministère de la Justice, 2023, en ligne : <https://www.cai.gouv.qc.ca/documents/CAI_LD_Criteres_validite_consentement.pdf> (consulté le 11 novembre 2023).

  21. Ira S. RUBINSTEIN, Ronald D. LEE et Paul M. SCHWARTZ, « Data Mining and Internet Profiling : Emerging Regulatory and Technical Approaches », (2008) 1 University of Chicago Law Review 261, 261-286.

  22. COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, préc., note 1.

  23. Id.

  24. J. UZAN-NOLIN, préc., note 7.

  25.  RGPD, préc., note 6, art. 6-9; Loi 25, préc., note 3, art. 9 et 110; Loi sur les renseignements dans le secteur privé, préc., note 9, art. 8, 12-14; Loi sur l’accès dans le secteur public, préc., note 10, art. 53.1.

  26. Loi 25, préc., note 3, p. 2-4; RGPD, préc., note 6, p. 1-31.

  27. RGPD, préc., note 6, art. 6-9.

  28. Id., art. 7 (3).

  29. Id., art. 9 (2) a) et 13 (2) d).

  30. Loi 25, préc., note 3, art. 1 et 103; Loi sur l’accès dans le secteur public, préc., note 10, art. 8; Loi sur les renseignements dans le secteur privé, préc., note 9, art. 3.1.

  31. Loi 25, préc., note 3, art. 15 et 103; Loi sur l’accès dans le secteur public, préc., note 10, art. 63.3 et 63.4; Loi sur les renseignements dans le secteur privé, préc., note 9, art. 3.5 et 3.6.

  32. COMMISSION D’ACCÈS À L’INFORMATION DU QUÉBEC, Nouvelles obligations pour les entreprises en matière de protection des renseignements personnels, Québec, Ministère de la Justice, 2022, en ligne : <https://www.cai.gouv.qc.ca/nouvelles-obligations-entreprises-protection-renseignements-personnels/> (consulté le 11 novembre 2023).

  33. COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Getting Accountability Right with a Privacy Management Program, Ottawa, Commissariat à la protection de la vie privée du Canada, 2012, en ligne :  <https://www.priv.gc.ca/media/2102/gl_acc_201204_e.pdf> (consulté le 11 novembre 2023).

  34. RGPD, préc., note 6, art. 37.

  35. Saryu NAYYAR, « How Cyber Insurance Can Help Relieve the Financial Burden Of A Cyberattack », Forbes, 5 juillet 2023, en ligne : <https://www.forbes.com/sites/forbestechcouncil/2023/07/05/how-cyber-insurance-can-help-relieve-the-financial-burden-of-a-cyberattack/?sh=200294c27e60>  (consulté le 11 novembre 2023).

  36. RGPD, préc., note 6, art. 33 (1); Loi 25, préc., note 3, art. 15 et 103; Loi sur l’accès dans le secteur public, préc., note 10, art. 63.8; Loi sur les renseignements dans le secteur privé, préc., note 9, art. 3.5 et 3.6.

  37. Loi 25, préc., note 3, art. 15 et 103; Loi sur l’accès dans le secteur public, préc., note 10, art. 63.8; Loi sur les renseignements dans le secteur privé, préc., note 9, art. 3.5.

  38. Loi 25, préc., note 3, art. 15 et 103; Loi sur l’accès dans le secteur public, préc., note 10, art. 63.8 al. 2; Loi sur les renseignements dans le secteur privé, préc., note 9, art. 3.5 al. 2

  39. RGPD, préc., note 6, art. 33.

  40. Loi 25, préc., note 3, art. 15 et 103; Loi sur l’accès dans le secteur public, préc., note 10, art. 63.8 al. 2; Loi sur les renseignements dans le secteur privé, préc., note 9, art. 3.5 al.2.

  41. RGPD, préc., note 6, art. 34; Loi 25, préc., note 3, art. 15 et 103; Loi sur l’accès dans le secteur public, préc., note 10, art. 63.8; Loi sur les renseignements dans le secteur privé, préc., note 9, art. 3.5.

  42. Carole CADWALLADR et Emma GRAHAM-HARRISON, « Revealed : 50 million Facebook profiles harvested for Cambridge Analytica in major data breach », The Guardian, 17 mars 2018, en ligne :  <https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election> (consulté le 11 novembre 2023).

  43. Michael A. PERINO, « Enron’s Legislative Aftermath : Some Reflections on the Deterrence Aspects of the Sarbanes-Oxley Act of 2002 », (2002) 76-4 St. John’s Law Review 671, 671-698.

  44. Sarbanes-Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat 745 [as amended through Consolidated Appropriations Act, Priv .L. No.117-328, 136 Stat. 4459 (2023)].

  45. Bill 198. Keeping the Promise for a Strong Economy Act (Budget Measures), 2002, Ontario Legislative Assembly (Ontario).

Ancre 1
bottom of page