Réflexions sur le projet de loi no 64 (protection de la vie privée dans le secteur privé au Québec)

Je suis ravie d’avoir aujourd’hui témoigné devant la Commission des institutions dans le cadre de leurs Consultations particulières et auditions publiques sur le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

J’ai soumis, avec certains collègues, un court mémoire dans lequel nous présentons nos observations sur l’impact que le projet de loi peut avoir sur les entreprises du secteur privé, et fournissons plusieurs suggestions (16 suggestions pour être plus précise) quant aux aspects du projet de loi qui mériteraient d’être améliorés.

Vous trouverez mon témoignage ci-dessous, dans lequel je reprends seulement quelques points de notre mémoire (vidéo de mon témoignage est disponible ici):

***

Merci de l’invitation. Je suis heureuse d’être ici aujourd’hui et d’avoir l’occasion de partager mes réflexions sur le projet de loi 64. 

Je suis associée chez Borden Ladner Gervais LLP. Je pratique dans le domaine du droit de la protection de la vie privée et mes clients sont généralement des entreprises du secteur privé qui proviennent de diverses industries. C’est à titre personnel que je comparais aujourd’hui.

Si je mets aujourd’hui l’accent sur les aspects du projet de loi qui méritent selon moi d’être reconsidérés, cela ne signifie pas que je suis en désaccord avec sa teneur. C’est plutôt une occasion de proposer des améliorations au projet de loi.

J’ai soumis, avec certains collègues, un court mémoire dans lequel nous présentons nos observations sur l’impact que le projet de loi peut avoir sur les entreprises du secteur privé, et fournissons plusieurs suggestions quant aux aspects du projet de loi qui mériteraient d’être améliorés. Toutefois, je ne retiendrai ici que les éléments qui me semblent les plus importants.

I – LA NOTION DE « CONSENTEMENT »

Parmi les nombreux changements proposés par le projet de loi 64, la notion de consentement a eu droit à l’une des révisions les plus attendues et les plus nécessaires. Il y a lieu de saluer l’introduction de nouvelles exceptions au consentement pour les transactions commerciales[1], une plus grande souplesse dans le cadre de la recherche[2], une exemption pour les coordonnées professionnelles[3] et une reconnaissance du consentement implicite en ce qui concerne certaines activités impliquant des renseignements non sensibles. La situation est toutefois susceptible d’amélioration.

Les consommateurs se font constamment sollicités pour donner leur consentement. Et l’apathie du public envers les longs formulaires de consentement risque de persister si ce consentement est demandé sans égard au contexte ou aux attentes raisonnables des consommateurs. Selon l’article 14 proposé, le consentement doit être demandé « pour chaque fin spécifique » et « distinctement de tout autre renseignement communiqué à la personne concernée ». Ceci peut sous-entendre que le consentement doit être demandé en dehors du champ d’application d’une politique de confidentialité, ce qui augmenterait alors le nombre de consentements demandés. On peut aussi se questionner sur l’intérêt de requérir que les entreprises publient toutes leurs politiques internes en matière de confidentialité dans un contexte où les commissaires à la protection de la vie privée canadiens ont généralement mis l’accent, à juste titre, sur la réduction de la quantité de renseignements fournis aux individus dans leurs politiques de confidentialité.

Un recours excessif au consentement ne fournit qu’un faux sentiment de protection et vide le concept même de consentement de toute utilité ou de sens. Le consentement doit être une mesure de dernier recours, qui signale aux personnes concernées l’importance de l’activité à laquelle elles consentent. L’importance du consentement est perdue lorsqu’il est sollicité pour une activité banale. L’utilisation du consentement devrait idéalement être limitée aux situations où la personne concernée se voit offrir un choix réel, par opposition à un choix purement illusoire, ou inexistant.

En ce sens, le renforcement du consentement, qui a déjà été amorcé dans le projet de loi, devrait être poursuivi avec une approche plus novatrice, en introduisant des bases juridiques autres que le consentement, comme c’est le cas en en Europe[4]. À titre d’exemple, le RGPD reconnaît cinq autres bases légales de traitement, dont les intérêts légitimes d’une entreprise ou la nécessité d’exécuter un contrat (on peut penser ici aux contrats de service ou aux contrats de travail)[5]. Cette approche a été défendue avec succès en Europe et n’a pas entraîné une perte de contrôle des renseignements personnels par les individus et ce, en partie grâce aux protections offertes par la loi.

Le fait que le projet de loi continue de s’appuyer sur la notion de consentement est particulièrement problématique dans un contexte de relation employeur-employé[6]. Un employeur a besoin de collecter certains renseignements relatifs à ses employés pour poursuivre ses activités et dans certains cas, pour remplir ses obligations légales[7]. Il est difficile de considérer le consentement d’un employé dans ses relations avec son employeur comme étant « libre », puisqu’il pourrait bien croire, à tort ou à raison, que son emploi serait compromis lors d’un refus de consentement. D’ailleurs, cette réalité est reconnue et soulignée dans le cadre du RGDP[8] et dans le reste du Canada. En vertu de la LPRPDE, de la PIPA (CB) et de la PIPA (Alberta), les employeurs peuvent recueillir, utiliser et communiquer les renseignements personnels nécessaires à la gestion de la relation employeur-employé sans le consentement de leurs employés, bien qu’ils aient une obligation de transparence[9]. L’absence d’une exception équivalente dans la Loi sur le secteur privé du Québec semble être un oubli important qui devrait selon moi être reconsidéré.

II – TRANSFERTS DE RENSEIGNEMENTS À L’EXTÉRIEUR DU QUÉBEC

L’une des dispositions du projet de loi 64 qui crée le plus de défis aux entreprises est celle des transferts transfrontaliers. Le projet de loi alourdit les exigences énoncées dans l’actuel article 17 de la Loi sur le secteur privé, sans nécessairement offrir aux individus une protection accrue.

Selon le texte proposé, une entreprise doit, avant de communiquer des renseignements personnels à l’extérieur du Québec, effectuer une évaluation des facteurs relatifs à la vie privée afin de déterminer si les renseignements bénéficieront d’un niveau de protection équivalant à celui accordé en vertu de la loi québécoise. Pour effectuer cette évaluation, le projet suggère de tenir compte « du régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment son degré d’équivalence par rapport aux principes de protection des renseignements personnels applicables au Québec ».

  • Travail colossal et incertitude : L’article 17.1 du projet de loi prévoit que le gouvernement publiera une liste des États dont le régime juridique encadrant les renseignements personnels équivaut à celui du Québec. Il s’agit là d’un travail colossal. Le gouvernement a peut-être sous-estimé les efforts qui lui seraient nécessaires pour publier une telle liste exhaustive. En vertu de la législation européenne, un tel exercice d’évaluation des États étrangers est effectué par la Commission européenne[10] après un processus long et très détaillé impliquant le Comité européen de la protection des données et les représentants des États membres[11]. Le fait que la Commission européenne ait déclaré la LPRPDE adéquate en 2001, et la Loi sur le secteur privé inadéquate en 2014[12] alors qu’elle est plus contraignante que la LPRPDE à plusieurs égards, illustre d’autant plus les défis posés par toute méthodologie de comparaison des lois[13].
  • Complexité, coûts et délais pour les entreprises : Cette nouvelle exigence pourrait placer les entreprises dans une situation où elles devront faire appel à des experts en droit étranger pour évaluer l’équivalence des lois étrangères. Cette évaluation est d’ailleurs complexifiée par le fait que les lois étrangères peuvent être sectorielles et modifiées au fil du temps. Le régime proposé imposerait donc des coûts et des délais importants aux entreprises implantées au Québec. Il pourrait être particulièrement difficile pour les PME, dont les moyens sont plus restreints, de s’engager dans ce type d’analyse juridique comparative.
  • Absence de mécanismes alternatifs : En Europe, si le pays tiers n’est pas considéré adéquat, différents mécanismes peuvent être utilisés par les entreprises conformément au RGPD pour transférer des renseignements personnels en dehors de l’Europe, notamment des clauses contractuelles types, etc.[14]. Or, le projet de loi 64 ne prévoit pas de mécanismes alternatifs pour transférer des renseignements vers le reste du pays ou à l’étranger.  

Le régime proposé pourrait empêcher un bon nombre d’entreprises de transférer des renseignements personnels en dehors de la province et ce, au détriment de l’innovation et du maintien de l’économie numérique du Québec.

III –NOUVEAUX MÉCANISMES DE MISE EN ŒUVRE

Le projet de loi 64 ferait de la Commission d’accès à l’information la première autorité canadienne de protection de la vie privée ayant le pouvoir d’imposer directement des sanctions administratives pécuniaires importantes.

La Loi sur le secteur privé vise à préserver une approche technologiquement neutre afin de s’adapter aux nouvelles technologies, une approche qui est notamment illustrée par la flexibilité avec laquelle certains concepts sont définis. À titre d’exemple, la forme du consentement devant être obtenu est basée sur la « sensibilité » des renseignements personnels, laquelle est définie en fonction du degré d’attente raisonnable en matière de vie privée que suscite le renseignement[15]. Le critère nous permettant de déterminer si un élément donne lieu à un tel degré d’attente raisonnable en matière de vie privée sera naturellement influencé par les normes sociales en vigueur, lesquelles sont d’ailleurs susceptibles d’évoluer avec le temps. Certaines pratiques qui étaient considérées comme intrusives à une certaine époque peuvent être acceptables à une autre époque. Cette flexibilité est difficile à concilier avec la possibilité d’imposer d’importantes sanctions administratives pécuniaires qui pourraient avoir un effet paralysant sur l’innovation. Il serait nécessaire de réviser le montant des amendes ainsi que le processus permettant d’imposer ces amendes de façon à ce qu’il soit plus flexible et proportionnel à la gravité de la violation et au risque de préjudice qui en découle.

Par exemple, il peut être pertinent de se demander si les montants doivent être plafonnés au pourcentage du chiffre d’affaires mondial, par opposition au chiffre d’affaires local (par exemple québécois ou canadien). Je note que les amendes maximales sont fixées en fonction de pourcentages du chiffre d’affaires mondial (2 % pour les amendes administratives pécuniaires et 4 % pour les sanctions pénales) similaires au RGPD. Compte tenu que la population du Québec représente moins de 2 % de la population de l’Union européenne, ces seuils peuvent sembler disproportionnés.

D’une manière générale, il devrait y avoir des garanties législatives plus spécifiques qui garantiront aux entreprises des procédures proportionnelles aux circonstances et qui n’iront pas au-delà de ce qui est nécessaire pour atteindre les objectifs de dénonciation et de dissuasion de la loi.

CONCLUSION

Le Québec étant la première juridiction canadienne à proposer des réformes importantes à ses lois relatives à la protection des renseignements personnels, nos discussions auront certainement un impact important sur l’élaboration de réformes similaires que proposeront le gouvernement fédéral ou celui des autres provinces.

J’espère que mes réflexions seront utiles pour l’étude du projet de loi et serai disponible pour en discuter plus longuement si nécessaire.

Merci.


[1] Art. 18.4, Loi sur le secteur privé, tel qu’amendé par l’article 107 du projet de loi 64.

[2] Art. 12 et 21, Loi sur le secteur privé, tel qu’amendé par les articles 102 et 110 du projet de loi 64.

[3] Art. 1, Loi sur le secteur privé, tel qu’amendé par l’article 93 du projet de loi 64.

[4] Art. 6, RGPD.

[5] Groupe de travail « Article 29 » sur la protection des données, « Lignes directrices sur le consentement au sens du règlement 2016/679 », novembre 2017 (révisée et adoptée le 10 avril 2018 en vertu du RGPD).

[6] Commission d’accès à l’information, « Rapport quinquennal 2016 : Rétablir l’équilibre », septembre 2016, à la page 91.

[7] Une telle observation n’est pas nouvelle et a été faite, notamment, par la Cour d’appel fédérale. Voir Wansink v. TELUS Communications Inc., 2007 FCA 21.

[8] Groupe de travail « Article 29 » sur la protection des données, « Lignes directrices sur le consentement au sens du règlement 2016/679 », novembre 2017 (révisée et adoptée le 10 avril 2018 en vertu du RGPD).

[9] Art. 7.3, LPRPDE; art. 13, 16, 19, PIPA (CB); art. 15, 18, 21, PIPA (Alberta).

[10] Commission européenne, « Adequacy decisions ».

[11] Commission européenne, « Working document on Adequacy Referential ».

[12] Groupe de travail « Article 29 » sur la protection des données, « Opinion 7/2014 on the protection of personal data in Quebec », 4 juin 2014.

[13] Pour ces mêmes raisons, il peut s’avérer difficile pour le gouvernement d’émettre de telles conclusions d’adéquation sans s’engager dans une évaluation détaillée et approfondie du cadre juridique d’un État étranger. Il convient de noter que l’évaluation d’un cadre juridique ne doit pas seulement porter sur la législation relative à la protection des renseignements personnels en vigueur, mais aussi sur la législation qui peut avoir une incidence sur la vie privée d’un individu, comme celle qui permet aux autorités gouvernementales d’accéder aux renseignements détenus dans ladite juridiction.

[14] Voir art. 44-50, RGPD.

[15] Art. 12, Loi sur le secteur privé, tel qu’amendé par l’article 102 du projet de loi 64. Voir aussi art. 10, Loi sur le secteur privé. Il convient également de noter que les attentes raisonnables d’une personne sont également utilisées en vertu d’autres lois canadiennes relatives à la protection de la vie privée pour déterminer, notamment, la forme du consentement. Par exemple, voir le principe 4.3.5 de la LPRPDE. Pour plus de détails, voir Commissariat à la protection de la vie privée du Canada, « Lignes directrices pour l’obtention d’un consentement valable », mai 2018.

This content has been updated on May 2, 2024 at 13 h 37 min.