Données personnelles: Québec ne tolérera plus la négligence
La Presse Canadienne|Publié le 27 septembre 2021«Collecter des renseignements personnels, c’est quelque chose d’extrêmement sérieux, qui amène une responsabilité qui doit être prise au sérieux», insiste le ministre délégué à la Transformation numérique gouvernementale Éric Caire (Photo: La Presse Canadienne)
Les entreprises ont deux ans pour se conformer aux dispositions de la loi 64 qui régit la protection des renseignements personnels. En adoptant une «loi qui a des dents», Québec signale que la négligence ne sera plus tolérée en matière de gestion des données personnelles.
Une «culture de négligence» s’était installée au sujet de la collecte des renseignements personnels au sein de certaines organisations, affirme Éric Caire, le ministre délégué à la Transformation numérique gouvernementale, en entrevue. La loi sur l’accès à l’information, qui n’avait pas été mise à jour depuis les années 1970 pour les organismes publics et depuis le début des années 1990 pour le secteur privé, avait besoin d’un dépoussiérage.
Le vol massif des données des membres du Mouvement Desjardins, dévoilé au printemps 2019, a démontré les tristes conséquences des lacunes entourant la gestion des données personnelles.
«Collecter des renseignements personnels, c’est quelque chose d’extrêmement sérieux, qui amène une responsabilité qui doit être prise au sérieux», insiste le ministre.
L’ampleur des sanctions prévues démontre ce sérieux, croit M. Caire. Les sanctions administratives pourront atteindre 2% du chiffre d’affaires mondiales ou 20 millions $. Pour les sanctions pénales, prévues pour les cas les plus graves, il reviendra au juge de déterminer le montant des sanctions, mais la loi prévoit jusqu’à 4% du chiffre d’affaires ou 25 millions $.
Aux propriétaires de petites entreprises inquiets par les sommes en cause, M. Caire assure que la Commission d’accès à l’information (CAI), qui sera chargée de faire appliquer la loi 64, prendra en compte la capacité de payer des entreprises. Les sanctions administratives imposées aux PME fautives ne seront pas du même ordre que celles imposées aux grandes sociétés. «Le but n’est pas d’amener une entreprise à la faillite.»
Outre la responsabilisation des dirigeants, la loi 64 prévoit le consentement «explicite» quant à l’utilisation qui sera faite des données personnelles des Québécois. Si une entreprise souhaite utiliser des données à une autre fin, elle devra redemander un consentement. La loi inclut aussi un droit à l’effacement ou un droit à l’oubli, qui permet aux utilisateurs qui voient des informations personnelles embarrassantes circuler sur le web de demander à ce qu’elles soient désindexées. Les informations d’intérêt public ne pourront toutefois pas être désindexées.
La loi 64 n’empêchera pas le vol de données par des pirates informatiques mal intentionnés, nuance le député de La Peltrie. «Le risque zéro n’existe pas, mais ça sera plus compliqué.»
Les entreprises qui respectent les normes et directives émises par la CAI ne s’exposeront pas à une sanction de sa part, si elles sont victimes d’une attaque et qu’elles démontrent qu’elles ont géré les données collectées dans les règles de l’art. Les citoyens garderont tout de même le droit d’entreprendre une action collective.
Deux ans pour s’ajuster
Québec se donne deux ans avant d’appliquer la loi 64. La Commission d’accès à l’information (CAI) devra se préparer à l’exécution de ses nouveaux pouvoirs et au recrutement d’experts en technologie. Elle doit aussi émettre les normes et directives que devront respecter les entreprises, qui sont encore à déterminer. «On veut donner le temps à tout le monde de bien comprendre la loi», assure M. Caire.
Dans l’attente de ces normes et directives, il reste un «flou», estime Francis Bérubé, analyste principal à la Fédération canadienne de l’entreprise indépendante. «Un grand travail de communication et d’accompagnement va être nécessaire avec ce projet de loi-là.»
M. Caire assure que la CAI va faire un travail afin «de clarifier et simplifier» les choses pour éviter toute ambiguïté.
Se préparer à l’application de la nouvelle législation pourrait être une tâche ardue pour les petites entreprises, juge toutefois Charles Milliard, président et chef de la direction de la Fédération des chambres de commerce du Québec (FCCQ).
Un sondage effectué par l’organisation en juin démontre que quatre entreprises sur 10 ne comprennent pas l’impact de la loi 64 sur leurs activités. «On a la conviction que les PME n’ont pas les ressources juridiques et technologiques pour bien comprendre tous les enjeux à l’intérieur de la période», dit M. Milliard.
La CAI et les entreprises vont aussi se trouver en concurrence pour embaucher des experts en gestion des données dans un contexte de pénurie de main-d’œuvre, poursuit M. Milliard. «On a peur qu’il manque d’expertise sur le terrain pour bien faire arriver ça dans le temps qui est imparti.»
M. Caire reconnaît que la loi 64 peut amener certains irritants pour les entreprises, mais il juge que la protection des renseignements personnels le justifie. «Le fardeau est proportionnel à la valeur de l’actif qu’ils ont collecté. Ils doivent comprendre ça. Je comprends que c’est plate quand en cours de route les choses changent. Je leur réponds d’aller demander aux citoyens qui se sont fait voler leurs renseignements personnels ce que ça veut dire pour eux dans leur vie.»