Loi 25 sur la protection des renseignements personnels

La Loi 25, qui vise à réformer la réglementation provinciale en matière de protection des renseignements personnels, représente un défi de taille pour les entreprises du Québec.

Sa mise en application, échelonnée sur trois ans, a en effet introduit des exigences accrues en matière de consentement, de transparence et de sécurité des données, dans un environnement numérique en constante évolution. 

Dernière portion intégrée à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), adoptée en 2021, le droit à la portabilité des données est entré en vigueur au Québec le 22 septembre 2024.

Depuis cette date, si la personne concernée le demande, les organisations auront l’obligation de lui communiquer, dans un format technologique structuré et couramment utilisé, un renseignement personnel informatisé recueilli auprès d’elle. Cette communication pourra aussi être faite à une personne ou à un organisme autorisé à recueillir le renseignement, à la demande de la personne concernée[1]. 

Pour mieux s’y retrouver, nous avons demandé à deux avocates de Faksen, spécialisées en droit à la vie privée et en protection des renseignements personnels, de commenter les complexités juridiques liées au droit à la portabilité des données, ainsi que les défis et les avantages que comporte la Loi 25 pour les entreprises du Québec.

LE DROIT A LA PORTABILITÉ, DE QUOI S’AGIT-IL ?

Me Julie Uzan-Naulin, associée au sein du groupe Vie privée et cybersécurité chez Fasken et avocate aux Barreaux de Paris et de Montréal, décrit le droit à la portabilité comme « un droit nouveau au Québec, inspiré de ce qui s’est passé en Europe avec le fameux RGPD^[2]et le droit à la portabilité. Ce droit vise à permettre à toute personne, vous, moi, par exemple, d’accéder aux renseignements personnels informatisés que nous avons fournis à un organisme dans un format technologique structuré et couramment utilisé afin, soit de le conserver pour notre propre usage, soit de le transférer à une entreprise tierce ».

Me Uzan-Naulin précise que le droit à la portabilité ne vise pas les renseignements personnels recueillis en format papier. De même, les renseignements personnels créés ou induits par une entreprise, par exemple, pour un profil d’utilisateur sur le Web, ne sont pas visés.

En outre, « par format technologique structuré et couramment utilisé, on entend un document dont il est facile d’extraire l’information. […] Donc, il doit être interopérable. Le gouvernement du Québec a donné l’exemple de formats ouverts, comme les formats de type CSV et XML, mais il considère par exemple qu’on ne peut pas utiliser une image puisqu’on ne peut pas extraire l’information, de même qu’un PDF », précise l’avocate.

Me Kateri-Anne Grenier, associée et cocheffe, protection des renseignements confidentiels, vie privée et cybersécurité et avocate en litige commercial chez Fasken, souligne que le droit à la portabilité vise à encourager la concurrence et à faciliter le droit du consommateur à changer de fournisseur, que ce soit pour un service Internet ou une institution financière, par exemple.

« Ça fait en sorte que les informations qu’il a fournies pour constituer son dossier, on ne peut pas refuser de les lui remettre ou de les remettre à un nouveau fournisseur, en invoquant la non-disponibilité de l’information sur un format technologique facile à opérer. »

Me Uzan-Naulin mentionne toutefois que ce droit « s’applique s’il ne soulève pas de difficultés pratiques sérieuses qui pourraient se solder, par exemple, en des coûts importants pour donner suite à une demande ».

DES DÉFIS À RELEVER

La mise en place de cette législation a posé et pose toujours de véritables défis pour les entreprises.

« Nous avons accompagné énormément d’organismes et d’entités privés, des PME, mais aussi la grande entreprise dans des projets de mise en conformité », révèle Me Grenier.

L’avocate signale d’ailleurs au passage que « tout le monde est visé par la loi, même les entreprises qui font du B2B. Ces entreprises ne recueillent peut-être pas des renseignements sur leurs clients en tant qu’individus, mais elles ont des employés. À partir du moment où une entreprise a des employés au Québec, elle est assujettie à la Loi 25 ».

Or, bien que la loi sur la protection des renseignements personnels existe depuis 1994, rappelle-t-elle, « les entreprises avaient manifestement peu investi de ressources et avaient mis en place peu de processus ». Mais, la Loi 25, qui augmente les obligations des entreprises et ajoute des sanctions importantes « a créé un effet de réveil collectif », constate-t-elle.

De fait, « les gens ont dû faire beaucoup en peu de temps », et ce, dans le contexte de la pandémie, la première phase de cette loi − qui exigeait entre autres la désignation d’une personne responsable de la protection des renseignements personnels (RPRP) dans l’entreprise et l’inventaire des renseignements personnels détenus − étant entrée en vigueur en septembre 2022 ».

L’autre défi majeur pour la majorité des entreprises a été justement de procéder à un inventaire de données duquel vont découler leurs politiques et leur cadre.

« Et ça, je vous dirais que ce n’était pas fait dans la plupart des entreprises, observe Me Grenier. […] Et l’inventaire, c’est un défi, mais ça se fait avec des solutions humaines et technologiques. C’est une étape qui est primordiale dans un exercice qui est sérieux. »

Le dernier défi, selon l’avocate, une fois que tout le monde va avoir réussi à mettre en place un bon programme de conformité à la Loi 25, sera de faire vivre celui-ci à l’intérieur de l’entreprise.

« Donc, une fois que c’est fini, ça recommence, c’est-à-dire qu’on a adopté notre cadre, les politiques, on a renégocié nos contrats avec les fournisseurs, on a sécurisé nos systèmes, on a donné des rôles et des responsabilités aux acteurs à l’interne, et après, il faut faire des vérifications ponctuelles, annuelles, bisannuelles, et auditer ces processus pour savoir s’ils fonctionnent, s’ils peuvent être améliorés, s’ils sont respectés. »

DES AVANTAGES INDÉNIABLES

Si une démarche de conformité à la Loi 25 implique forcément des coûts, celle-ci comporte aussi des avantages.

Selon Me Uzan-Naulin, « une entreprise qui est conforme à la Loi 25 et qui maintient sa conformité dans le temps valorise son image aussi bien auprès de ses employés […], qu’auprès du public », lequel est maintenant de plus en plus informé de ses droits en matière de protection des renseignements personnels.

Pour Me Grenier, « ça permet de valoriser les données et de bien caractériser ce qu’on a. Ça permet aussi de réaligner les objectifs des équipes de marketing et de vente sur ce qui est conforme et non conforme […]. Ça permet de protéger l’entreprise quand elle négocie les contrats, parce que maintenant, les obligations sont telles que l’entreprise qui veut confier des renseignements à l’extérieur du Québec doit prendre certaines précautions. Elle doit, lorsqu’elle a de nouveaux projets technologiques, faire les EFVP [Évaluations des facteurs relatifs à la vie privée]. […] »

Une telle démarche, quand elle est faite en amont, permet également une meilleure gestion des risques.

« Une entreprise qui garde trop de données trop longtemps, ou qui a des données qu’elle n’aurait pas dû collecter à la base, s’expose de façon évidente lors d’incidents de confidentialité et devra faire face à une gestion de crise. Cela concerne particulièrement les entreprises qui font affaire avec les consommateurs où le risque réputationnel est non négligeable », prévient Me Grenier.

DES RISQUES FINANCIERS BIEN RÉELS

Les entreprises font face à des risques financiers directement liés à la Loi 25. En effet « lorsqu’on notifie un incident, souligne Me Uzan-Naulin, la Commission d’accès à l’information peut poser des questions et soulever une non-conformité. Par conséquent, l’enquête peut aller très loin ».

« La loi est récente, continue-t-elle, il n’y a pas encore eu des sanctions aux montants indiqués, mais, théoriquement, les sanctions administratives peuvent aller jusqu’à 10 millions de dollars (M$) voire 25 M$ pour des sanctions pénales »[3].

De plus, la gestion de crise est très coûteuse, d’autant plus si l’entreprise ne possède pas une assurance cyberrisques ou si sa franchise est très élevée.

« Lors d’un incident de confidentialité, explique Me Grenier, ce sont souvent des pirates qui s’introduisent dans vos systèmes, cryptent vos données, volent des informations ou les publient. Vous pouvez décider de payer une rançon ou non − et les rançons peuvent être élevées. Quoi qu’il en soit, que vous choisissiez de payer ou non, cela nécessite l’intervention de plusieurs professionnels : experts en relations publiques, avocats et enquêteurs spécialisés en matière d’incident de confidentialité. »

« Lorsque des données d’individus − que ce soient des employés ou des clients − sont exfiltrées, poursuit-elle, et qu’elles sont de nature à poser un risque de préjudice pour ces personnes, par exemple, un risque de vol d’identité, nous devrons non seulement assumer des frais pour notifier individuellement ces individus, mais il est fréquent que l’entreprise propose également des mesures de protection pour les aider, notamment des facilités pour s’inscrire gratuitement à un service de surveillance du crédit comme Equifax ou TransUnion. »

En fin de compte, la plupart des entreprises que Fasken a accompagnées voient dans la démarche de conformité « une mesure de prévention, et sont d’avis que les coûts investis finalement vont être moindres que le coût de faire face à une crise soudaine […] », fait valoir Me Grenier.

---

[1] Droit à la portabilité | Gouvernement du Québec (quebec.ca)

[2] Le Règlement général de protection des données (RGPD) est entré en vigueur le 24 mai 2016 et s’applique depuis le 25 mai 2018. Protection des données dans l’UE – Commission européenne (europa.eu)

[3] Sanctions (gouv.qc.ca)