Loi sur la protection des renseignements personnels dans le secteur privé : la coopération avant tout ?

20 juin 2019. La coopérative « Les Caisses Desjardins » a annoncé avoir été victime de la plus grande fuite de données personnelles jamais enregistrée au Québec. En tout, ce sont les données personnelles de plus de 9,7 millions de membres des caisses Desjardins qui ont été dérobée : dates de naissance, numéros d’assurance sociale, adresse postale, informations bancaires et plus.

Les informations volées ont été vendues, entre autres, à un prêteur privé et probablement d’autres acteurs du milieu financier. Bien que le suspect principal dans l’affaire ait été arrêté en juillet 2019, des accusations devraient être déposées d’ici fin 2023. La nouvelle d’une fuite de cette envergure a eu l’effet d’une bombe dans le milieu politique québécois. Un an après cet acte de cybercriminalité, le projet de loi 64 a été déposé. Il vise à moderniser des dispositions législatives en matière de protection des renseignements personnels.

Devenue la « Loi sur la protection des renseignements personnels dans le secteur privé », également connue sous le nom de « Loi 25 », celle-ci vise à protéger les données personnelles des citoyens et à encadrer la manière dont les entreprises collectent, utilisent, divulguent et conservent ces informations. Il s’agit de la première loi de ce genre au Canada.

Entrée en vigueur en mai 2018, le RGPD constitue en effet un modèle pour de nombreuses juridictions cherchant à renforcer la protection des données personnelles. La Loi 25 au Québec s’en inspire et en reprend les principes essentiels, tels que la transparence, la minimisation des données accumulées, l’exactitude, la limitation de la conservation, l’intégrité et la confidentialité.

Après tout, l’une et l’autre partagent un objectif commun : garantir un niveau élevé de protection des données personnelles et promouvoir la confiance des citoyens dans les organisations qui traitent leurs informations. Évidemment, la Loi 25 et le RGPD demeurent des législations distinctes et que leurs dispositions spécifiques peuvent varier.

Les principaux dispositifs

La loi 25 représente un grand changement au Québec. Adoptée en 2021, elle entrera en vigueur par étapes – un processus qui durera jusqu’à septembre 2024. Dans son ensemble, elle prévoit cinq grands dispositifs pour assurer la protection des données personnelles. Et c’est au secteur privé que revient l’essentiel du travail de fond en la matière : à lui de créer et de maintenir des politiques et des pratiques de gouvernance autour de la gestion et la protection des données personnelles.

Concrètement, les organisations qui collectent des données sensibles se doivent dorénavant de recevoir un consentement spécifique et éclairé de la part des individus avant la collecte, l’utilisation, ou la divulgation de renseignement personnel. Les entreprises doivent, par exemple, et ce d’ici septembre 2023, rendre accessibles sur leurs sites web leurs politiques et pratiques en matière de protection des données personnelles.

Cette disposition s’accompagne pour les particuliers d’un droit d’accès à leurs données personnelles. Ils ont également la possibilité de les rectifier, de les effacer, de les désindexer, de limiter leur traitement et d’en demander une copie. Le tout est assorti d’un concept de minimisation de l’accumulation des données personnelles par les entreprises. Ces dernières doivent limiter la collecte de données sensibles au strict nécessaire relativement à leurs activités.

Les entreprises deviennent donc responsables de la mise en place des mesures organisationnelles appropriées. Par exemple, désigner un responsable de la protection des renseignements personnels, créer un registre des brèches de confidentialité et gérer les plaintes. De plus, en cas de violation ou de brèches de données, les entreprises sont tenues d’informer les autorités compétentes et, dans certains cas, les individus concernés.

La loi vient aussi avec une série de mesures punitives et coercitives pour inciter les entreprises à emboiter le pas et rapporter des fuites de données. Ces sanctions, qui entrent en vigueur en septembre 2023, sont substantielles. On parle de sanctions administratives pouvant aller jusqu’à 10 millions de dollars canadiens, ou 2% du chiffre d’affaires global de l’entreprise.

De plus, la Commission d’accès à l’information pourrait également avoir recours à des poursuites pénales si nécessaires. On parle ici de sanctions pouvant aller jusqu’à 25 millions de dollars canadiens, ou 4% d’affaires global de l’entreprise. Bien qu’il soit impossible de savoir si le gouvernement du Québec utilisera ces mesures coercitives, l’Europe a donné l’exemple tout récemment avec une sanction de près de 2 milliards de dollars contre Meta, la maison-mère de Facebook.

La Loi 25 : pas sans problèmes

L’adoption de la loi 25 était nécessaire, non pas seulement à la suite de la brèche colossale chez Desjardins, mais surtout en vertu de la numérisation en continu des données personnelles et sensibles. Cependant, la rapidité de la mise en place de la loi représente un casse-tête pour les entreprises qui veulent s’y conformer.

Premier point d’achoppement : la définition de ce qu’est un renseignement personnel sensible. Au sens de la loi, les renseignements personnels sont « ceux qui portent sur une personne physique et permettent de l’identifier ». Les exceptions ici sont les informations dites commerciales comme le nom de poste de l’individu et son courriel et numéro de téléphone au travail. Les renseignements personnels ici incluent la date d’anniversaire, l’adresse courriel personnelle de l’individu, le numéro d’assurance sociale.

Le nombre de potentielles données sensibles est vaste. Aussi, pour se mettre en conformité avec la loi, le coût peut être très élevé, surtout pour les plus petites entreprises. Pensons aux audits d’écarts pour les entreprises qui n’ont pas de spécialiste de gouvernance en cybersécurité à l’interne par exemple, ou les coûts des solutions nécessaires à la protection des données sensibles.

De plus, certaines dispositions de la loi demeurent floues. Par exemple, la loi demande à toute entreprise d’élaborer et de mettre en ligne leur politique de gouvernance sur les données personnelles qu’il recueille. Pour les ministères et organismes parapublics, l’élaboration de tels documents est aisée. Pour beaucoup d’entreprises, la rédaction de tels documents est moins évidente surtout en l’absence de modèles existants disponibles au public.

La nécessité de rapporter les incidents de sécurité est elle-même ambiguë. La loi requiert en effet que toute brèche soit cataloguée, et que toute brèche sérieuse soit rapportée à la Commission de l’accès à l’information. Malheureusement, aucun critère n’est fourni pour déterminer si une brèche est sérieuse ou non. L’ambiguïté des termes de la loi, combiné à la peur de sanctions peut entraîner des débordements de part et d’autre, soit en rapportant en masse des incidents anodins, soit une tendance à interpréter de manière trop généreuse le critère de gravité.

L’application et le respect de la Loi 25 restent l’enjeu le plus important, surtout à court terme. Tandis que les sanctions ne sont pas encore en vigueur, il demeure impératif de trouver le juste milieu entre collaboration et coercition. Les brèches sont malheureusement monnaie courante, et la notion de préjudice encore flou. Une utilisation trop rapide de sanctions pourrait éventuellement encourager les entreprises à cacher les failles et ne pas les rapporter à la Commission de l’accès à l’information, au détriment de la sécurité collective.

Il sera donc important pour le Québec de regarder de près ce qui se passe du côté de l’Europe, pour voir quels écueils le RGPD rencontre ou évite.