Pour Me Vincent Gautrais, professeur en droit des technologies de l’information et en droit des affaires à l’Université de Montréal, il reste préférable de responsabiliser les entreprises en prévoyant des sanctions importantes si elles causent des dommages à une personne en utilisant ses données. (Photo: courtoisie)

DROIT DES AFFAIRES. Le gouvernement québécois a déposé, en juin, le projet de loi 64, qui resserre l'encadrement de la collecte et de l'utilisation des renseignements personnels. Les plus petites entreprises pourraient peiner à s'adapter à certaines des nouvelles règles.

Sonia LeBel, ministre responsable des Institutions démocratiques, de la Réforme électorale et de l'Accès à l'information, a présenté le projet de loi 64 (PL 64) près d'un an après la fuite massive de renseignements personnels survenue chez Desjardins et dans un contexte où d'autres juridictions renforcent leur cadre juridique de gestion des données. Le Règlement général sur la protection des données (RGPD) est par exemple entré en vigueur le 25 mai 2018 au sein de l'Union européenne. Le gouvernement canadien planche lui aussi sur une révision des lois qui préservent les renseignements personnels et confidentiels.

Le PL 64 impose de nouvelles obligations aux entreprises privées, aux organismes publics et aux partis politiques et prévoit des sanctions pour punir ceux qui ne les respectent pas. La Commission d'accès à l'information (CAI) se voit attribuer le pouvoir d'infliger des pénalités financières pouvant aller jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial, selon le montant le plus élevé.

Le PL 64 accorde également des droits supplémentaires aux citoyens, notamment celui d'exiger qu'une organisation efface les données personnelles qui les concernent et de demander à un moteur de recherche de supprimer certains résultats de recherche liés à leur nom. Ils se voient aussi octroyer le droit à la portabilité, c'est-à-dire la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible. Les organisations auront l'obligation de détruire ou d'anonymiser les renseignements une fois atteints les objectifs pour lesquels elles les avaient collectés.

Améliorer la gouvernance

«Le projet de loi vient rehausser les exigences sur le plan de la gouvernance des données à un degré qui pourrait représenter un défi pour les plus petites entreprises et les jeunes pousses», analyse Me Jean-François De Rico, avocat associé du cabinet Langlois, spécialisé en droit des technologies de l'information et en protection des renseignements personnels. Les sociétés devront entre autres nommer un responsable de la protection des renseignements personnels, puis adopter et appliquer des politiques et des pratiques de gouvernance des données privées.

Là où ça se corse, selon Me De Rico, c'est sur le plan de l'analyse de risque. Requise pour tout projet impliquant la collecte ou l'utilisation de renseignements personnels, celle-ci doit être clairement documentée. «Le poids des nouvelles obligations ne doit pas nuire à la survie des petites entreprises et à l'apparition de jeunes pousses, note l'avocat. En Europe, le RGPD accorde certaines dispenses en fonction de la taille de l'entreprise - par exemple, du côté de la documentation exigée -, ce que le PL 64 ne prévoit pas.»

Le consentement constitue un autre gros morceau de cette modernisation législative. Le PL 64 le veut «manifeste, libre, éclairé» et donné à des fins spécifiques. S'il concerne des renseignements personnels sensibles, ce consentement doit être exprimé «de façon expresse», c'est-à-dire de manière explicite, sous forme verbale ou écrite.

Donner des dents à la loi

Pour Me Vincent Gautrais, professeur en droit des technologies de l'information et en droit des affaires à l'Université de Montréal, cette approche a le défaut de déresponsabiliser les entreprises et les organisations. «Le consentement représente un mauvais outil de protection des données personnelles, car il suppose que les individus peuvent tous comprendre ce qu'ils acceptent, ce qui est loin d'être le cas», déplore-t-il. Selon lui, il reste préférable de responsabiliser les entreprises en prévoyant des sanctions importantes si elles causent des dommages à une personne en utilisant ses données. Cette méthode comporte cependant son lot de problèmes, notamment parce qu'elle peut déboucher sur de longs et coûteux procès.

Me Gautrais juge d'ailleurs que le projet de loi vise à responsabiliser davantage les entreprises. Toutefois, sa portée sera en grande partie définie par les moyens que l'État s'octroiera pour appliquer la nouvelle législation. «Par exemple, le PL 64 augmente les pouvoirs de contrôle et de sanction de la CAI, mais cela doit s'accompagner d'une hausse conséquente de ses ressources», soutient-il. Québec devra donc donner des dents à sa loi en investissant les sommes nécessaires pour que les organisations visées la craignent.

Le gouvernement tiendra des consultations sur le PL 64 cet automne. «Notre cabinet commentera surtout les effets qu'il pourrait avoir sur les entreprises et leur positionnement en Amérique du Nord, confie Me De Rico. C'est une bonne idée de sécuriser l'utilisation des renseignements personnels, mais l'application de ces règles doit demeurer réaliste par rapport aux moyens dont disposent les sociétés.»