La ministre de la justice du Québec a annoncé son intention de déposer au cours des prochaines semaines un projet de loi visant à moderniser le régime de protection des renseignements personnels prévu par la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP). Selon les commentaires de la ministre, la nouvelle loi s’inspirera grandement du régime de protection des renseignements personnels en vigueur au sein de l’Union européenne. Si cette éventualité devait s’avérer, le régime québécois pourrait devenir le plus contraignant du Canada en cette matière.
Bien que peu de détails aient jusqu’à maintenant été dévoilés au public, les changements envisagés par la nouvelle loi semblent vouloir s’articuler autour des cinq thèmes suivants : i) resserrement des règles encadrant le consentement des personnes visées, ii) possibilité pour ces personnes de retirer leur consentement et obligation pour l’entreprise de détruire les renseignements personnels qu’elle détient à leur sujet, iii) obligation pour l’entreprise de déclarer tout incident de sécurité, incluant la perte de données, iv) accroissement des pouvoirs accordés à la Commission d’accès à l’information du Québec (CAIQ) et hausse des pénalités applicables et v) extension du domaine d’application de la LPRPSP aux organismes publics.
La nouvelle loi pourrait ainsi alourdir le fardeau des entreprises offrant des produits et services au Québec de manière considérable et les obliger à réviser non seulement leurs politiques de cybersécurité, de confidentialité et de protection des renseignement personnels, mais également leurs pratiques internes en matière de traitement des données.
Le resserrement des règles encadrant le consentement des personnes visées pourrait s’avérer particulièrement onéreux pour les entreprises puisque, selon les commentaires de la ministre, la nouvelle loi envisage la possibilité de requérir un consentement « spécifique » selon les différents usages prévus par l’entreprise. Les entreprises pourraient ainsi devoir obtenir le consentement spécifique des personnes visées afin de communiquer leurs renseignements personnels à des tiers ou encore de leur offrir de la publicité ciblée. Un tel changement pourrait empêcher les entreprises de s’appuyer sur le consentement implicite des usagers afin d’utiliser leurs renseignements personnels à diverses fins et pourrait, du même coup, rendre le régime québécois plus contraignant que celui en vigueur au niveau fédéral et dans les autres provinces canadiennes.
Tel qu’indiqué ci-dessus, les détails de la nouvelle loi n’ont pas encore été dévoilés. Cependant, tout indique qu’elle aura pour effet d’augmenter considérablement le risque lié à la protection des renseignements personnels au Québec. La nouvelle loi accordera en effet de nouveaux droits aux personnes physiques et imposera de nouvelles obligations aux entreprises. Ce risque sera non seulement accru par une éventuelle augmentation des pouvoirs de la CAIQ et la hausse des pénalités applicables, mais également par la possibilité pour les entreprises de contrevenir à une nouvelle loi relativement contraignante et d’être poursuivies en dommages dans le cadre d’une action collective.
La publication du projet de loi au cours des prochaines semaines aura sûrement pour effet d’apporter certaines réponses aux nombreuses questions soulevées par les commentaires de la ministre. Nous vous tiendrons informés des prochains développements à cet égard.
Les auteurs désirent remercier Hugo Séguin, stagiaire, pour son aide dans la préparation de cette actualité juridique.