Opinion : Protection des renseignements personnels

Le bout du tunnel est de moins en moins visible

Le projet de loi 64 visant à renforcer la protection des renseignements personnels vient de fêter son premier printemps. Et pourtant, alors même que plusieurs étapes ont été franchies, le bout du tunnel est de moins en moins discernable. Les récents amendements adoptés témoignent de cette situation : ils participent d’une certaine incohérence du projet de loi tout en s’écartant de la réalité des individus et des organisations québécoises. Un temps d’arrêt s’impose donc pour recadrer l’itinéraire, ainsi que la destination finale.

Monsieur le Ministre Éric Caire, nous sommes des professionnels dans le domaine de la protection des données et de la vie privée, œuvrant en pratique privée ou en milieu universitaire, et avons des préoccupations sur l’application pratique du texte du projet de loi 64 actuellement au stade de l’étude détaillée.

Été 2020 : le soleil brille

Le 12 juin 2020, juste avant la période d’ajournement parlementaire, le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est déposé devant l’Assemblée nationale du Québec.

L’objectif est clair : moderniser l’encadrement relatif à la protection des renseignements personnels – désuet depuis longtemps – en donnant plus de contrôle aux individus tout en responsabilisant davantage les organisations.

Une telle initiative ne pouvait que faire consensus.

Avec 60 pages et 21 lois amendées, c’est un projet de loi ambitieux. On veut aller plus loin, en édictant de nouvelles règles pour les entreprises privées, les organismes publics et les partis politiques. On veut aller plus haut, en assujettissant les organisations à des exigences quasi systématiques de conformité et de documentation, y compris en matière de transfert de données hors du Québec. On veut aller plus fort, en introduisant des sanctions en cas de non-conformité parmi les plus élevées au monde (25 millions de dollars ou 4 % du chiffre d’affaires mondial sur le plan pénal). Malgré certains concepts empruntés à nos voisins européens et du reste du Canada, force est d’admettre que le projet de loi 64 adopte une approche résolument unique en son genre, parfois même plus stricte que le règlement général sur la protection des données (RGPD).

Automne 2020 : les feuilles tombent

Quelques mois après son dépôt, la Commission des institutions de l’Assemblée nationale a ouvert une période de consultations particulières qui s’est clôturée le 29 septembre 2020. L’exercice a suscité un grand intérêt puisqu’il a donné lieu à quatre jours de séances publiques, 49 mémoires déposés, pour un total d’environ 900 pages d’analyse, provenant d’acteurs de tous les milieux. C’était l'occasion d’alimenter la réflexion et de recadrer (voire rééquilibrer) le projet de loi. La majorité des soussignés ont d’ailleurs fait part de leurs observations et propositions.

Si personne ne remet en question le principe même du projet de loi, ces contributions font ressortir plusieurs problèmes structurels :

– premièrement, le projet de loi perpétue le dogme du consentement comme solution unique pour collecter, utiliser et communiquer des renseignements personnels alors même que son effectivité est remise en question. Comme l’indique le Commissaire à la protection de la vie privée du Canada, « il n’est tout simplement pas réaliste ou raisonnable de demander aux individus de consentir à toutes les utilisations possibles de leurs données dans une économie de l’information aussi complexe que celle d’aujourd’hui ». La relation employeur-employé, reposant sur un lien inhérent de subordination, illustre d’autres insuffisances du consentement ;

– deuxièmement, l’approche préconisée se distingue des standards européens et internationaux en matière de protection des données, sans parler de l’absence d’harmonisation avec la législation canadienne actuelle ainsi que le projet de loi fédérale C-11 ;

– troisièmement, la législation sur la protection des renseignements personnels aurait pu faire l’objet d’une refonte totale – à l’instar du projet de loi C-11.

Au lieu de cela, la version actuelle est très compliquée puisqu’elle vient greffer de nombreux concepts étrangers (voire nouveaux) à des dispositions largement surannées tout en manquant parfois de cohérence.

Le 20 octobre 2020, le principe du projet de loi 64 (dans sa version actuelle) est adopté à l’unanimité par les membres de l’Assemblée nationale du Québec.

Hiver 2021 : le gel s’installe

Le 2 février 2021 marque le début de l’étude détaillée du projet de loi visant à adopter, article par article, chacune de ses dispositions. Les amendements sont discutés et adoptés au compte-gouttes de manière relativement ponctuelle en l’absence de toute documentation consolidant les modifications envisagées ainsi que les interactions entre les dispositions et lois concernées.

Mais surtout, jusqu’à présent, les amendements ne règlent pas certains enjeux importants, voire en ajoutent d’autres. Les exemples suivants sont révélateurs :

– les individus devront systématiquement activer ou régler tous les paramètres de confidentialité d’un service technologique avant de pouvoir s’en servir, indépendamment du type de service, de la sensibilité des données ou encore de leurs attentes raisonnables. Une telle exigence semble contre-productive puisqu’elle risque d’exacerber la fatigue (pour ne pas dire la frustration) des individus au lieu de les protéger concernant les fins inacceptables ou les zones interdites en matière de vie privée ;

– une évaluation des facteurs relatifs à la vie privée – impliquant beaucoup de temps et de ressources – devra toujours être effectuée avant de transférer tout renseignement personnel à l’extérieur du Québec. Un tel exercice ne devrait pas être systématique et risque de perdre de son utilité à force d’en abuser. Plus fondamentalement, cette approche (bien plus restrictive que celle européenne) va complexifier les transferts transfrontaliers de données, et ce, au détriment de l’innovation et de l’économie du Québec ;

– plusieurs notions non définies dans l’état du droit actuel, telles que les « principes de protection des renseignements personnels généralement reconnus », et des enjeux d’arrimage avec les autres lois similaires (Canada ou Europe) risquent d’alimenter les risques de confusion lors de la mise en application du projet de loi.

Printemps 2021 : les bourgeons se font attendre

En pleine saison de l’espoir, il est encore temps de formuler trois vœux simples qui pourraient remettre le projet de loi 64 sur la bonne voie. Plus de visibilité : l’adoption des amendements devrait reposer sur une vision d’ensemble communiquée en amont des discussions à toutes les parties prenantes, par opposition à une approche au compte-goutte sans texte consolidé. Plus d’écoute : les contributions obtenues lors des consultations particulières ne devraient pas être passées à la trappe. Plus d’explications : les amendements proposés devraient reposer sur des exemples concrets et considérer les conséquences pratiques tant pour les individus que pour les organisations.

Ce triptyque permettra, non seulement d’assurer la cohérence du cadre applicable en matière de protection des renseignements personnels (qui nous concerne tous), mais plus fondamentalement de ne pas perdre de vue les attentes et besoins des Québécois en matière de vie privée.

* Cosignataires : Aya Barbach, avocate chez Fasken ; Imran Ahmad, associé chez Norton Rose Fulbright ; Vincent Bergeron, associé chez Robic ; Céline Castets-Renard, professeure à l’Université d’Ottawa ; Jean-François De Rico, associé chez KPMG ; Karl Delwaide, associé chez Fasken ; Caroline Deschênes, associée chez Langlois ; Vanessa Deschênes, avocate et leader de pratique chez Robic ; Pierre-Luc Déziel, professeur à l’Université Laval ; Raymond Doray, Ad. E., associé chez Lavery ; Vincent Gautrais, professeur à l’Université de Montréal ; Eloïse Gratton, Ad. E., associée chez Borden Ladner Gervais ; Kateri-Anne Grenier, associée chez Fasken ; Elisa Henry, associée chez Borden Ladner Gervais ; Dominic Jaar, Ad. E., associé chez KPMG ; Florian Martin-Bariteau, professeur à l’Université d’Ottawa ; Jennifer Stoddart, O. C., Ad. E., conseillère stratégique chez Fasken ; Pierre Trudel, professeur à l’Université de Montréal ; Nicolas Vermeys, professeur à l’Université de Montréal

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.