vectora / 123rf

Cette loi augmente la responsabilité des dirigeants, impose des sanctions en cas de manquements graves, introduit la notion de consentement explicite des individus quant à l’utilisation de leurs données personnelles, préconise une plus grande anonymisation des données personnelles et accroît les droits des individus.

Un récent webinaire de l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) a débroussaillé ce terrain glissant pour les comme le rappelle l’affaire du vol de données chez Desjardins, en 2019.

Animé par Claudyne Bienvenu, vice-présidente pour le Québec et l’Atlantique de l’OCRCVM, le webinaire réunissait deux avocates du cabinet Borden Ladner Gervais, soit Éloïse Gratton et Elisa Henry, toutes deux associées et cochefs nationales, Respect de la vie privée et protection des renseignements personnels.

Voici un aperçu des éléments qu’ont soulevés les avocates de Borden Ladner Gervais.

Responsabilisation accrue

Dès septembre 2022, la personne ayant la plus haute autorité au sein de l’entreprise devra veiller à la mise en œuvre de la loi 64, signale Éloïse Gratton. Cette exigence, incarnée par le PDG, mais qui peut aussi être déléguée, inclut l’obligation de déclarer les incidents ou bris de confidentialité à la Commission d’accès à l’information (CAI), l’organisme qui appliquera la loi.

Le Québec devient ainsi, précise Éloïse Gratton, la troisième juridiction au Canada avec le gouvernement fédéral et l’Alberta « à se doter d’un régime de notification obligatoire des incidents de confidentialité dans le secteur privé ».

Sanctions

La CAI pourra imposer des sanctions administratives pécuniaires pouvant atteindre 10 M$ ou 2 % du chiffre d’affaires mondial dans divers cas de figure, dont celui d’avoir négligé de prendre les mesures de sécurité propres à assurer la protection des renseignements personnels.

Borden Ladner Gervais fait remarquer que, selon la loi, certaines infractions pénales seront passibles d’amendes pouvant aller jusqu’à 25 M$ ou 4 % du chiffre d’affaires mondial.

Étant donné la responsabilité des dirigeants à l’égard d’actions ou d’omissions constituant des infractions pénales, Elisa Henry recommande « d’examiner les polices d’assurance pour les dirigeants afin de vérifier si, le cas échéant, vous avez des exclusions qui se rapportent à la vie privée ».

Consentement

Les entreprises qui offrent des produits ou services technologiques avec paramètres de confidentialité « devront désormais s’assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité sans aucune intervention de la personne concernée », dit Elisa Henry. Les consentements devront « être obtenus de façon expresse lorsqu’on gère des renseignements de nature confidentielle », précise Éloïse Gratton.

Anonymisation

L’anonymisation, telle que l’entend la loi, implique l’élimination des identifiants directs (les coordonnées) et indirects (par exemple, le genre), ce qui constitue un seuil « élevé », affirme Elisa Henry.

Nouveaux droits

La loi 64 donne de nouveaux droits aux individus.

En 2023, les personnes touchées par une prise de décision automatisée auront le droit de demander des informations additionnelles concernant la décision rendue « et de s’y opposer le cas échéant ». Ces informations, explique Elisa Henry, sont relatives au type de renseignement utilisé, aux raisons, facteurs sous-jacents et paramètres ayant mené à la décision. « Ce n’est pas un droit de rectification, mais un droit de présenter des observations », précise l’avocate.

En septembre 2024 s’imposera le droit à la « portabilité des données ». Les individus pourront recevoir leurs renseignements informatisés dans un « format technologique structuré couramment utilisé ». Selon Elisa Henry, cette disposition vise « à permettre la réutilisation des données et à favoriser la concurrence entre les acteurs à l’heure numérique. Alors, on pense évidemment aux entreprises de télécoms ou aux banques dans un contexte d’open banking. »