La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, aussi appelée Loi 25, apporte des modifications importantes à la Loi sur la protection des renseignements personnels dans le secteur privé, signale la Commission d’accès à l’information (CAI), chargée de faire appliquer la loi.

Selon la loi, un renseignement personnel est un renseignement qui permet d’identifier une personne physique, directement ou indirectement. Il est confidentiel et ne peut être communiqué sans le consentement de la personne concernée.

Cependant, en vertu du second volet de la loi, « le nom, le poste et les coordonnées à titre de représentant d’une entreprise sont des renseignements personnels, mais ils ne sont pas confidentiels en vertu de la loi. Donc, il n’y a pas obligation de les sécuriser », indique Me Antoine Aylwin cochef, vie privée et cybersécurité, chez Fasken.

Une application par volet

Dans le premier volet entré en vigueur en septembre 2022, les entreprises faisant affaire au Québec et collectant des données personnelles devaient entre autres désigner un responsable de la protection des renseignements personnels et tenir un registre des incidents.

« Par défaut, le plus haut dirigeant d’une entreprise va être le responsable de la protection des renseignements personnels, c’est ce que la loi prévoit, tant qu’il n’y a pas de délégation […] », mentionne Me Antoine Aylwin.

Le second volet entré en vigueur en septembre 2023 comporte une série de responsabilités et d’obligations pour les entreprises.

Mentionnons, entre autres, l’établissement de politiques et de pratiques de gouvernance en matière de protection des renseignements personnels, l’obligation de transparence, l’anonymisation et la destruction des renseignements personnels lorsque la finalité de leur collecte est accomplie, l’évaluation de risque en matière de vie privée en certaines circonstances et le respect des nouvelles obligations relatives au consentement.

En cas de non-conformité, une entreprise peut écoper d’une sanction pouvant aller jusqu’à 25 000 000 $ ou 4 % du chiffre d’affaires mondial, et des sanctions administratives pécuniaires jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial.

Le cas des banques à charte fédérale

Or, en ce qui a trait à l’assujettissement des banques à charte fédérale à la loi québécoise, « la question n’a pas encore été tranchée », souligne Me Antoine Aylwin.

« Ce qu’on constate en pratique, c’est qu’il y a beaucoup de banques à charte fédérale qui choisissent d’appliquer la loi sans faire le débat constitutionnel, à savoir que puisqu’elles sont une institution de juridiction fédérale, est-ce qu’elles peuvent se soustraire à l’application de cette loi provinciale ? […] »

Cela étant dit, « la question va devenir un peu académique », estime l’avocat, avec le projet de loi C-27 qui vise à modifier la loi fédérale sur la protection des renseignements personnels. « Puis, la loi fédérale, qui s’applique sans aucun doute aux banques à charte fédérale, va prévoir un régime de sanctions qui est très similaire au régime québécois. »

Une obligation quand on fait affaire au Québec

En revanche, pour les entreprises dont le siège social est à l’extérieur du Québec mais qui ont des activités dans la province, la situation est claire.

« À partir du moment où elles font des affaires au Québec qui impliquent la collecte de renseignements personnels, la loi va s’appliquer », dit l’expert.

En fait, précise-t-il, « la protection des renseignements personnels, c’est vraiment une double juridiction, c’est-à-dire que la loi où les individus sont présents s’applique à eux, à leurs bénéfices, plus la loi où se trouve le siège social ou l’endroit où les données sont traitées. »

Le télétravail ne fait pas exception

Pour ce qui est du travail à distance, les exigences de la loi s’appliquent également.

« Il faut les appliquer dans le contexte où on exerce nos activités. Donc, si on permet aux employés de travailler à l’extérieur de l’endroit physique du bureau, il faut qu’on ait une infrastructure qui leur permet de rencontrer les exigences de confidentialité qui sont prévues en vertu de la loi », explique l’avocat.

Quant au télétravail de l’étranger, c’est-à-dire à l’extérieur du Québec, il souligne que « la loi a une portée territoriale limitée au Québec ». La question de l’application de la loi se pose cependant lorsque les données sont hébergées à l’extérieur du Québec.

« Il y a une disposition spécifique dans la loi qui prévoit des obligations quand on veut héberger à l’extérieur du Québec des données de Québécois. Ça veut dire qu’il faut faire une analyse d’impact et prendre des mesures de protection. C’est vrai pour chacune des provinces et chacun des États américains. Ce sont toutes des juridictions qui sont différentes. Il faut donc refaire l’analyse à chaque fois. […] »

Les travailleurs indépendants aussi

Tout travailleur indépendant ou pigiste a aussi l’obligation d’appliquer la loi, s’agissant d’une entreprise solo.

« S’il recueille des renseignements personnels, il doit les sécuriser et les garder confidentiels. Depuis vendredi [Ndlr : le 22 septembre], il a une nouvelle obligation d’avoir des calendriers de rétention et de détruire les renseignements à l’issue du délai. Il doit pouvoir informer les individus sur la gouvernance des renseignements personnels. »

« La seule distinction entre les plus petites et les plus grandes organisations, précise l’avocat, c’est que quand une personne n’a pas de site Web, elle n’a pas besoin de mettre en ligne l’information sur comment elle gère les renseignements personnels. »

La loi 25 s’applique, par exemple, à un conseiller indépendant qui fait affaire avec un courtier.

« Dans la mesure où vous avez votre propre entreprise, eh bien, chaque entreprise a l’obligation de voir à la conformité de la loi. Il y a toute une interaction entre différents maillons dans l’industrie. Celui qui recueille les données et qui les confie à un autre doit s’assurer d’avoir un environnement contractuel adéquat pour protéger les renseignements. Depuis vendredi, la loi prévoit un minimum de ce qui doit être conclu dans les contrats de service, par exemple. […] »

Par ailleurs, l’avocat signale qu’avec l’entrée en vigueur du second volet, les entreprises qui ont des activités de sollicitation commerciale sans consentement des personnes, à partir de listes nominatives, ne peuvent plus le faire et doivent revoir tout de suite leurs processus.

Des éléments à considérer avec l’IA

Pour les entreprises qui utilisent des logiciels d’intelligence artificielle (IA), notamment les banques, « la loi s’applique peu importe la finalité, prévient Me Antoine Aylwin. Donc, à partir du moment où on puise dans une base de données qui contient des renseignements personnels, la règle du consentement s’applique. […] C’est soit un consentement, soit une exception au consentement ».

« Dans la mesure où on a un consentement, il faut qu’il soit libre et éclairé, ajoute-t-il. Il faut que les finalités qu’on recherche soient suffisamment bien exprimées pour que le consentement soit valide, ce qui pose un sérieux défi en matière de recherche avec des outils d’intelligence artificielle, parce que, parfois, on ne sait pas exactement ce qu’on cherche et ce qu’on va en faire comme utilisation. »

De plus, les renseignements inférés générés par l’IA sont considérés par la Commission d’accès à l’information comme des renseignements personnels.

« En partant d’un profil X, illustre Me Antoine Aylwin, on va vouloir, à l’aide d’un modèle d’intelligence artificielle, aller accoler un indice de risque à quelqu’un et ces données-là sont en soi des renseignements personnels. »

« Si on projette ça au milieu financier, on peut penser à tout ce qui est l’analyse de risque qui viendrait avec des outils d’intelligence artificielle. Ça veut dire qu’il faut avoir des consentements qui sont très élaborés pour pouvoir utiliser ces données […]. »

Un dernier volet à venir

En septembre 2024, le dernier volet de la loi entrera en vigueur. Les entreprises devront alors répondre aux demandes de portabilité des renseignements personnels, c’est-à-dire communiquer, à la demande d’une personne concernée, un renseignement personnel sous forme écrite ou dans un format technologique couramment utilisé.

Selon Me Antoine Aylwin, « les modalités et les exigences spécifiques de la loi, […] ce sont juste de moyens pour atteindre l’objectif qui est d’avoir un bon contrôle de ce qu’on fait avec les renseignements, ce qui implique de recueillir le moins de renseignements possible, de limiter l’accès au plus petit nombre d’employés possible, d’utiliser les données aux fins pour lesquelles elles ont été recueillies et de les détruire dans un délai raisonnable en fonction des utilisations ».

L’autre finalité de la loi, termine-t-il, « c’est d’être capable de renseigner les individus sur ce qu’on fait [avec les données recueillies] et de leur consentir le contrôle de leurs données − Est-ce qu’ils veulent nous fournir leurs données ? Est-ce qu’ils peuvent avoir accès à une copie de leurs données ? −, pour qu’ils puissent faire des choix éclairés sur leurs relations contractuelles ».

L’article Protection des renseignements personnels est apparu en premier sur Finance et Investissement.

Un récent webinaire de l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) a débroussaillé ce terrain glissant pour les comme le rappelle l’affaire du vol de données chez Desjardins, en 2019.

Animé par Claudyne Bienvenu, vice-présidente pour le Québec et l’Atlantique de l’OCRCVM, le webinaire réunissait deux avocates du cabinet Borden Ladner Gervais, soit Éloïse Gratton et Elisa Henry, toutes deux associées et cochefs nationales, Respect de la vie privée et protection des renseignements personnels.

Voici un aperçu des éléments qu’ont soulevés les avocates de Borden Ladner Gervais.

Responsabilisation accrue

Dès septembre 2022, la personne ayant la plus haute autorité au sein de l’entreprise devra veiller à la mise en œuvre de la loi 64, signale Éloïse Gratton. Cette exigence, incarnée par le PDG, mais qui peut aussi être déléguée, inclut l’obligation de déclarer les incidents ou bris de confidentialité à la Commission d’accès à l’information (CAI), l’organisme qui appliquera la loi.

Le Québec devient ainsi, précise Éloïse Gratton, la troisième juridiction au Canada avec le gouvernement fédéral et l’Alberta « à se doter d’un régime de notification obligatoire des incidents de confidentialité dans le secteur privé ».

Sanctions

La CAI pourra imposer des sanctions administratives pécuniaires pouvant atteindre 10 M$ ou 2 % du chiffre d’affaires mondial dans divers cas de figure, dont celui d’avoir négligé de prendre les mesures de sécurité propres à assurer la protection des renseignements personnels.

Borden Ladner Gervais fait remarquer que, selon la loi, certaines infractions pénales seront passibles d’amendes pouvant aller jusqu’à 25 M$ ou 4 % du chiffre d’affaires mondial.

Étant donné la responsabilité des dirigeants à l’égard d’actions ou d’omissions constituant des infractions pénales, Elisa Henry recommande « d’examiner les polices d’assurance pour les dirigeants afin de vérifier si, le cas échéant, vous avez des exclusions qui se rapportent à la vie privée ».

Consentement

Les entreprises qui offrent des produits ou services technologiques avec paramètres de confidentialité « devront désormais s’assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité sans aucune intervention de la personne concernée », dit Elisa Henry. Les consentements devront « être obtenus de façon expresse lorsqu’on gère des renseignements de nature confidentielle », précise Éloïse Gratton.

Anonymisation

L’anonymisation, telle que l’entend la loi, implique l’élimination des identifiants directs (les coordonnées) et indirects (par exemple, le genre), ce qui constitue un seuil « élevé », affirme Elisa Henry.

Nouveaux droits

La loi 64 donne de nouveaux droits aux individus.

En 2023, les personnes touchées par une prise de décision automatisée auront le droit de demander des informations additionnelles concernant la décision rendue « et de s’y opposer le cas échéant ». Ces informations, explique Elisa Henry, sont relatives au type de renseignement utilisé, aux raisons, facteurs sous-jacents et paramètres ayant mené à la décision. « Ce n’est pas un droit de rectification, mais un droit de présenter des observations », précise l’avocate.

En septembre 2024 s’imposera le droit à la « portabilité des données ». Les individus pourront recevoir leurs renseignements informatisés dans un « format technologique structuré couramment utilisé ». Selon Elisa Henry, cette disposition vise « à permettre la réutilisation des données et à favoriser la concurrence entre les acteurs à l’heure numérique. Alors, on pense évidemment aux entreprises de télécoms ou aux banques dans un contexte d’open banking. »

L’article La protection des renseignements personnels sur le radar est apparu en premier sur Finance et Investissement.