Protection des renseignements personnels: le Québec à l’avant-garde
Depuis le 22 septembre 2021, le gouvernement du Québec a complètement réformé les règles de protection sur les renseignements personnels. Dans les médias, cette réforme – la Loi 25 – est passée sous silence alors qu’il s’agit d’une avancée majeure. Mais attention: aussi avant-gardiste soit-elle, cette nouvelle loi restera caduque si le gouvernement néglige son application.
D’inspiration européenne, cette nouvelle «Loi modernisant des dispositions législatives en matière de protection des renseignements personnels» – anciennement «projet de loi 64», désormais surnommée Loi 25 – est désormais LE modèle pour l’Amérique du Nord au grand complet.
Les entreprises, les organisations à but non lucratif (OBNL) et les agences de l’État devront désormais composer avec des règles sévères en matière de consentement et d’échanges de données visant à protéger la vie privée de la population. Et les manquements seront soumis à des amendes pouvant s’élever à 2% du chiffre d’affaires mondial des contrevenants.
Une mise en application à surveiller
La Loi 25 élargit considérablement les pouvoirs de la Commission d’accès à l’information (CAI), notamment ses pouvoirs punitifs et d’enquête, mais le gouvernement devra lui en donner les moyens.
Si cette petite structure de 73 employés n’embauche pas plus de personnel et ne lui dégage pas les moyens pour exercer ses pouvoirs d’enquête, ce nouvel organe extrajudiciaire sera incapable de jouer le rôle central que le gouvernement veut lui confier.
Il faudra donc surveiller la mise en application de la Loi 25 pour que le nouveau chien de garde de la vie privée des Québécois ait le pouvoir de mordre au lieu de simplement japper comme un vulgaire caniche.
Des pratiques à revoir
Si la presse a si peu parlé de cette avancée majeure, c’est parce que la nouvelle loi n’entrera en vigueur qu’à compter de septembre 2022, avec des contraintes graduées pour 2023 et 2024. Mais ne vous y trompez pas: c’est le branle-bas dans tous les conseils d’administration et les cabinets. En fait, ce sont toutes les entreprises nord-américaines qui accumulent des données de Québécois qui surveillent ce qui se prépare au Québec, car elles devront s’y conformer.
En 2016, l’Union européenne avait provoqué un choc similaire avec son Règlement général sur la protection des données (RGPD) – dont s’est inspiré Québec. En fait, si de plus en plus de sites web d’entreprises nord-américaines nous proposent d’accepter ou de refuser leurs témoins de connexions (les fameux «cookies»), nous pouvons dire merci au RGPD.
Les nouvelles dispositions québécoises auront un effet similaire. Les assureurs, notamment, sont à revoir les règles d’assurance responsabilité pour les organisations, qui seront forcées de s’ajuster.
Le Québec à l’avant-garde
Il y a 40 ans, le Québec s’était donné des lois très avant-gardistes sur la protection des renseignements personnels, qui créaient certaines obligations pour l’État et les entreprises. C’était l’époque des télécopieurs! Depuis, ces lois étaient devenues caduques faute d’avoir évolué avec le développement des technologies de l’information, d’Internet, du web et des réseaux sociaux.
Les Québécois peuvent se féliciter que le gouvernement Legault ait osé pousser le bouchon aussi loin, prenant ainsi une avance considérable sur Ottawa, Washington, et toutes les autres capitales provinciales et d’États, auxquelles il donne le «la». Compte tenu de la timidité de ce gouvernement pour agir sur d’autres grands enjeux d’intérêt général, comme l’environnement, les soins à domicile ou le logement abordable, on peut même s’étonner qu’il aille aussi loin dans ce dossier.
Nouvelle loi, nouveaux droits
En plus de créer de nouvelles obligations aux organisations, les 164 articles de la nouvelle loi formulent de nouveaux droits, comme le droit à la désindexation et le droit à la portabilité.
Ainsi, un citoyen pourra demander à une organisation de cesser de diffuser des renseignements personnels ou de désindexer tout hyperlien donnant accès à certains renseignements s’ils lui portent préjudice ou sont de nature illégale.
Le droit à la portabilité, lui, obligera les organisations à communiquer aux personnes qui en font la demande les renseignements personnels recueillis de manière qu’ils soient réutilisables. En pratique, cela vous permettra de retirer vos informations d’un réseau social (ou de toute organisation) pour les transmettre ailleurs.
La nouvelle loi crée aussi des règles de consentement autrement plus sérieuses que celles qui prévalent actuellement, alors que les utilisateurs du web doivent «consentir» à de vastes politiques illisibles. Les organisations devront présenter un formulaire écrit en langage clair. Tout utilisateur devra expressément consentir à l’usage de ses données, et en particulier pour un usage non prévu au consentement initial. Quant à la collecte de données sur des mineurs, les parents ou le titulaire de l’autorité parentale devront obligatoirement y consentir de manière explicite.
Sur la question du profilage, les organisations qui recueillent des renseignements permettant de vous identifier ou de vous localiser devront vous en informer. Ces technologies ne pourront être activées par défaut: c’est vous qui devrez le faire.
Le législateur a également prévu le coup quant à l’intelligence artificielle. Si c’est une machine qui décide de votre cas, vous devrez en avoir été avisé au moment de la décision. Et vous devrez avoir la possibilité d’en appeler auprès d’un membre du personnel.
Nouvelle loi, nouvelles contraintes
Cette loi crée aussi une série de contraintes sur la possession et le stockage de renseignements personnels. Les organisations devront détruire ceux-ci lorsqu’ils ne seront plus utiles aux fins pour lesquelles ils ont été recueillis. Elles pourront les conserver à la seule condition de les anonymiser à des fins sérieuses et légitimes ou d’intérêt public.
La nonchalance sera fortement réprimée. Les organisations devront obligatoirement désigner un responsable des renseignements personnels (la loi prévoit que cette responsabilité incombera à la présidence du conseil d’administration par défaut). Ce responsable devra évaluer le niveau de protection des renseignements personnels selon un protocole établi pour chaque fusion ou acquisition, chaque refonte des systèmes informatiques et chaque projet de prestation de service en ligne.
Dès septembre prochain, les organisations devront aviser la CAI et les personnes concernées de tout «incident de confidentialité» (cyberattaque, cyberfraude, rançonnage ou simple perte ou vol d’un appareil). Leur «registre des incidents de confidentialité», désormais obligatoire, sera mis à la disposition de la CAI sur demande. Les entreprises devront même répondre de la gestion des serveurs de fournisseurs situés en dehors du Québec.
Des pouvoirs conséquents et nécessaires
Après 40 ans à régenter l’accès aux documents de l’État, la Commission d’accès à l’information prend donc un coup de jeune pour devenir un réel organe extrajudiciaire chargé de pouvoirs punitifs, d’ordonnance et d’enquête. Elle pourra imposer des amendes salées aux organisations et intenter des poursuites pénales. En cas de préjudice sérieux, elle aura le pouvoir de commander que les personnes concernées soient avisées, que des mesures soient prises, et d’imposer que les renseignements soient remis à leur propriétaire ou détruits.
Cette réforme, aussi importante soit-elle en matière de protection de vie privée, prend une dimension additionnelle dans le contexte de la réforme informationnelle qui se dessine au sein du ministère de la Santé et des Services sociaux – projet de loi 19 sur les renseignements de santé et de services sociaux.
Depuis 50 ans, ce ministère accumule des quantités hallucinantes d’informations de première main sur les soins prodigués aux Québécois, mais ces données n’ont jamais été utilisées efficacement du fait qu’elles sont verrouillées au plan légal – en fait, c’est même l’un des principaux problèmes du système de santé québécois. Or, la crise sanitaire des deux dernières années a révélé au gouvernement toute la valeur de cette masse d’information. Si les gestionnaires ont été en mesure de prévoir avec exactitude le nombre de lits nécessaires chaque semaine ou d’obtenir le portrait exact des taux de vaccination des étudiants par établissement, c’est grâce aux pouvoirs obtenus à travers les décrets spéciaux. Ce déverrouillage du vieux cadre légal de protection des données a ainsi permis des croisements de données inusités et difficilement réalisables auparavant, sortant la filière de soins de l’ère des télécopieurs pour l’amener au 21e siècle.
C’est pourquoi le ministre de la Santé et des Services sociaux a déposé ce projet de loi 19 dès décembre 2021, plusieurs mois avant d’annoncer ses projets de réforme du ministère. Or, cette nouvelle manière de gérer les renseignements de santé et de services sociaux ne serait pas possible sans la Loi 25, qui encadrera les nouvelles pratiques.
Il faut donc se réjouir que ce gouvernement ait procédé dans le bon ordre au lieu de mettre la charrue devant les bœufs, comme il le fait trop souvent.