Nota bene : La présente contri­bu­tion fait partie d’une série de deux contri­bu­tions consa­crées au cadre juri­dique cana­dien en matière de protec­tion des données (cf. www​.swiss​pri​vacy​.law/​295). Cette seconde contri­bu­tion présente la Loi 25 adop­tée récem­ment par le Québec en vue de moder­ni­ser son système.

I. Présentation de la Loi 25

En septembre 2021, le parle­ment québé­cois a adopté la Loi moder­ni­sant des dispo­si­tions légis­la­tives en matière de protec­tion des rensei­gne­ments person­nels (Loi 25).

Dans une ère ou l’usage de la tech­no­lo­gie est à son apogée, cette réforme a été élabo­rée afin de faire face aux inquié­tudes crois­santes des citoyens en matière de protec­tion de la vie privée. Ainsi, sa mise en œuvre est tant desti­née au secteur privé qu’au secteur public sur le terri­toire québé­cois. En effet, la Loi 25 moder­nise tant la Loi sur l’accès aux docu­ments des orga­nismes publics et sur la protec­tion des rensei­gne­ments person­nels que la Loi sur la protec­tion des rensei­gne­ments person­nels dans le secteur privé.

La mise en œuvre de cette loi est éche­lon­née sur trois ans. C’est en septembre 2023 que des dispo­si­tions primor­diales sont entrées en vigueur. Afin de pour­suivre leurs acti­vi­tés au Québec, de nombreuses enti­tés ont dû aména­ger leurs pratiques de manière à se confor­mer aux nouvelles exigences légales.

La Loi 25 vise prin­ci­pa­le­ment à accroître la protec­tion des indi­vi­dus visés. Pour ce faire, les obli­ga­tions des entre­prises et des orga­nismes publics dans le cadre de leurs acti­vi­tés se sont vues consi­dé­ra­ble­ment renfor­cées. Sommairement, la Loi 25 requiert la mise place de nouvelles poli­tiques et de pratiques de gouver­nance enca­drant la protec­tion des données person­nelles afin d’octroyer la possi­bi­lité aux indi­vi­dus d’être plus impli­qués dans la gestion de leurs données. Cela a pour effet de promou­voir une meilleure trans­pa­rence du trai­te­ment et une confi­den­tia­lité accrue.

II. Quelques obli­ga­tions intro­duites par la Loi 25

Parmi ces nouvelles obli­ga­tions, on retrouve entre autres celle de devoir doré­na­vant desi­gner un respon­sable de la protec­tion des rensei­gne­ments person­nels dans le secteur privé. Auparavant, il n’existait pas d’exigence formelle d’en dési­gner un, c’était plutôt une pratique en matière de gouver­nance des données qui variait selon les entre­prises. La respon­sa­bi­lité était souvent attri­buée au cadre supé­rieur et rele­vait donc de la hiérar­chie interne.

Le respon­sable du trai­te­ment des données est chargé de super­vi­ser les acti­vi­tés de trai­te­ment des données person­nelles au sein de l’organisation. Il assure la sécu­rité de ces dernières en déci­dant des moyens du trai­te­ment des données eu égard à la néces­sité et à la finalité.

Les coor­don­nées de cet indi­vidu doivent être acces­sibles au public ainsi qu’aux membres de l’organisation afin qu’ils puissent le contacter.

Ce dernier est égale­ment respon­sable de tenir un registre des inci­dents. Ce docu­ment consigne les diffé­rents faits rela­tifs à une viola­tion grave de la sécu­rité des données ainsi que des mesures mises en place afin d’y remé­dier, le cas échéant. Cette première obli­ga­tion témoigne d’un effort impor­tant du légis­la­teur afin de mettre en place des actions concrètes afin d’assurer la sécu­rité de l’information.

Quant aux diffé­rentes poli­tiques de gouver­nance, tant les entre­prises que les orga­nismes publics devront publier sur leur site web une poli­tique claire quant à leurs mesures de protec­tion des données. Cela rejoint cette idée de promou­voir une meilleure trans­pa­rence du trai­te­ment vis-à-vis des citoyens. Le contenu diffère dépen­dam­ment de si l’on se trouve dans le secteur privé ou public, mais essen­tiel­le­ment, on retrou­vera des direc­tives concer­nant le type de données collec­tées lors des acti­vi­tés de l’entité ; la fina­lité d’une telle collecte ; la durée de conser­va­tion des données ; les mesures de protec­tion mises en place afin d’assurer la sécu­rité des données ; un proces­sus de trai­te­ment des plaintes, etc.

Notons par ailleurs que lorsque la fina­lité de la collecte des données est atteinte, ces dernières doivent être soit détruites soit anony­mi­sées, c’est-à-dire qu’il doit être impos­sible d’identifier l’individu concerné.

Une obli­ga­tion complé­men­taire instau­rée par la Loi 25 énonce que les enti­tés doivent établir un plan de réponse aux inci­dents de confi­den­tia­lité. En prin­cipe, il faudra tout d’abord aviser un supé­rieur immé­diat ou le respon­sable du trai­te­ment. La personne concer­née devra égale­ment être infor­mée de l’incident. L’autorité compé­tente devra égale­ment être signa­lée de l’incident si la viola­tion présente un risque grave. Ensuite, il faut tenter de limi­ter le dommage causé et le répa­rer si possible. Puis, il faudra iden­ti­fier les causes qui ont mené à cet inci­dent et réduire au maxi­mum les risques de récurrence.

La Loi 25 intro­duit égale­ment l’obligation de procé­der à l’évaluation des facteurs rela­tifs à la vie privée (EFRVP) en certaines circons­tances. Les orga­ni­sa­tions devront exécu­ter l’EFRVP lorsque les données person­nelles sont commu­ni­quées à l’extérieur du Québec et pour tout projet d’acquisition, de déve­lop­pe­ment et de refonte de système d’information ou de pres­ta­tion élec­tro­nique de services impli­quant des rensei­gne­ments personnels.

C’est la Commission d’accès à l’information du Québec qui veille au respect de l’ensemble des règles intro­duites par cette réforme législative.

En cas de contra­ven­tion aux dispo­si­tions, des sanc­tions pénales sont prévues. Elles peuvent s’élever jusqu’à des millions de dollars cana­diens. Ces dernières ont été rehaus­sées comparé au droit appli­cable anté­rieur. Cette réforme a réel­le­ment mis en place des peines fermes. Par exemple, une fuite de données engendre doré­na­vant l’obligation d’une divul­ga­tion publique de la faille en plus d’une annonce à l’autorité compé­tente afin qu’elle puisse prendre les mesures nécessaires.

Ainsi, la Loi 25 intro­duit plusieurs obli­ga­tions qui assurent une protec­tion plus robuste des données au Québec. Toutefois, cette réforme sert égale­ment à expli­ci­ter le cadre juri­dique de protec­tion des données.

Par exemple, la loi clari­fie les situa­tions concrètes néces­si­tant le consen­te­ment expli­cite de la personne concer­née. Il est égale­ment spéci­fié que c’est le consen­te­ment du titu­laire de l’autorité paren­tale ou du tuteur qui est requis lorsque qu’un mineur a moins de 14 ans. Un autre cas illus­tra­tif concerne la descrip­tion précise, dans la loi, du proces­sus à suivre lors d’un trai­te­ment où le consen­te­ment n’est pas néces­saire. Cela inclut notam­ment de la commu­ni­ca­tion d’information à des fins d’étude, de recherche ou de produc­tion de statistiques.

III. Le niveau de protec­tion adéquat cana­dien en Europe

Avec l’avènement rapide des tech­no­lo­gies numé­riques, le trans­fert trans­fron­ta­lier de données devient une pratique de plus en plus répandue.

Il est convenu que si une entité québé­coise traite des données person­nelles d’un indi­vidu qui se trouve sur le terri­toire de l’Union euro­péenne, cette dernière devra se confor­mer au Règlement géné­ral sur la protec­tion des données (RGPD). Le RGPD étant un règle­ment qui s’impose de manière uniforme aux États membres de l’UE, sans néces­si­ter une trans­po­si­tion dans le droit national.

En matière de commu­ni­ca­tion de données à l’étranger, l’art. 45 RGPD prévoit que celle-ci est possible du moment que l’État dans lequel les données sont commu­ni­quées béné­fi­cie d’une déci­sion d’adéquation. Vu l’importance des flux trans­fron­ta­liers de données, il est impor­tant de déter­mi­ner si le Canada est au béné­fice d’une telle déci­sion. Sans cette recon­nais­sance, le pays devra four­nir des garan­ties supplé­men­taires ou obte­nir une auto­ri­sa­tion spéciale, mettant un frein à la colla­bo­ra­tion entre l’UE et les pays étrangers.

Tout d’abord défi­nis­sons qu’est-ce qu’une déci­sion d’adéquation. C’est une évalua­tion effec­tuée par la Commission euro­péenne afin de déter­mi­ner si un pays tiers à l’espace écono­mique euro­péen assure un niveau de protec­tion adéquat confor­mé­ment au RGPD. Pour ce faire, c’est prin­ci­pa­le­ment la légis­la­tion interne du pays qui est prise en compte, soit la force juri­dique et l’efficacité des lois natio­nales. D’autres critères sont égale­ment évalués tel que la capa­cité du Commissariat à la protec­tion de la vie privée du pays à surveiller le respect de la loi ; les droits des indi­vi­dus ; la coopé­ra­tion du pays avec les auto­ri­tés de l’Union euro­péenne ; l’existence de recours juri­diques (cf. www​.swiss​pri​vacy​.law/​277).

En 2001, la Commission euro­péenne a reconnu que le Canada offrait un niveau de protec­tion adéquat par le biais de la Loi sur la protec­tion des rensei­gne­ments person­nels et les docu­ments élec­tro­niques (LPRPDE). Or, comme nous l’avons analysé dans notre première contri­bu­tion, le système cana­dien se distingue entre le secteur privé et le secteur public, mais égale­ment entre le système fédé­ral et les provinces. La LPRPDE est une loi fédé­rale qui ne couvre que le secteur privé. Ainsi, la déci­sion de la Commission euro­péenne est limi­tée au cadre de protec­tion des données du secteur privé cana­dien. Elle ne concerne égale­ment que les acti­vi­tés commer­ciales des entreprises.

Notons que l’art. 97 RGPD impose à la Commission de réexa­mi­ner ses déci­sions d’adéquation à chaque quatre ans. Ainsi, sa recon­nais­sance concer­nant le terri­toire cana­dien fut renou­ve­lée le 15 janvier 2024 (cf. déci­sion de la Commission Européenne). Cette exigence de réexa­mi­ner leur déci­sion s’explique notam­ment par les mouvantes du cadre légis­la­tif du pays en ques­tion, la Commission devant s’assurer qu’un niveau adéquat de protec­tion est toujours assuré et substan­tiel­le­ment équi­valent à celui du RGPD.

La Commission a entre­tenu avec le Canada de nombreuses discus­sions afin de remé­dier à quelques diffé­rences majeures dans le système de protec­tion des données. Par exemple, le Canada n’autorisait que les citoyens ; les rési­dents perma­nents ou les personnes présentes sur le terri­toire d’accéder ou recti­fier des données person­nelles déte­nues par les orga­ni­sa­tions du secteur public. Dorénavant, ce droit est étendu à tous en vertu de la Loi sur l’accès à l’information. Le but étant d’obtenir un cadre légis­la­tif natio­nal qui converge de plus en plus vers celui de l’UE.

La Commission a donc conclu que le Canada par l’entremise de la LPRPDE conti­nue d’assurer un niveau de protec­tion substan­tiel­le­ment équi­valent à celui du RGPD.

IV. Un niveau de protec­tion québé­cois en Europe ?

Les déci­sions d’adéquation au RGPD concernent géné­ra­le­ment des pays ou terri­toires auto­nomes. Il n’existe pas encore de recon­nais­sance à une subdi­vi­sion interne telle qu’une province.

Étant donné que le Canada assure un niveau de protec­tion adéquat par l’entremise de la LPRPDE, toutes les provinces cana­diennes qui n’ont pas adopté leur propre légis­la­tion et qui se conforment à la loi fédé­rale, béné­fi­cie­raient égale­ment de cette reconnaissance.

Mais qu’en-est-il des provinces qui ont élaboré leurs propres lois tel que le Québec ? Nous avons vu que LPRPDE conti­nue de s’ap­pli­quer à moins que le gouver­neur en conseil n’exempte l’ap­pli­ca­tion de la loi fédé­rale dans cette province. En effet, cette mesure serait accor­dée si les mesures de protec­tions sont jugées équi­va­lentes à celle du cadre fédéral.

La ques­tion est alors la suivante : est-ce que cette recon­nais­sance d’équivalence interne pour­rait permettre à la Commission euro­péenne de décla­rer le Québec comme un terri­toire adéquat comme le reste du Canada ?

Malheureusement, le réexa­men ne tient pas compte des réformes légis­la­tives propo­sées par la Loi 25 au Québec. Alors que de nombreuses dispo­si­tions quant à la collecte et la gestion des données person­nelles propo­sées par la Loi 25 ont été inspi­rées par le droit de l’Union euro­péenne. En effet, un des objec­tifs prin­ci­paux de la loi était d’harmoniser la province du Québec aux stan­dards inter­na­tio­naux. Ces diffé­rentes obli­ga­tions de trans­pa­rence, de consen­te­ment et de divul­ga­tion s’apparentent aux prin­cipes géné­raux du RGPD.

V. Conclusion

En conclu­sion, l’adoption de la Loi 25 par le parle­ment québé­cois en septembre 2021 repré­sente un progrès signi­fi­ca­tif vers la confor­mité euro­péenne en matière de protec­tion des données. Cette réforme vise à renfor­cer la protec­tion des rensei­gne­ments person­nels au Québec, tant dans le secteur privé que dans le secteur public. Les obli­ga­tions intro­duites par la loi, telles que la dési­gna­tion d’un respon­sable de la protec­tion des rensei­gne­ments person­nels dans le secteur privé, la publi­ca­tion de poli­tiques de protec­tion des données, la destruc­tion ou l’ano­ny­mi­sa­tion des données après atteinte de la fina­lité, ainsi que la mise en place de plans de réponse aux inci­dents, reflètent un enga­ge­ment sérieux envers la sécu­rité et la transparence.

Il est impor­tant de noter que le Canada a déjà obtenu en 2001 une déci­sion d’adéquation au RGPD par la Commission euro­péenne, déci­sion confir­mée à la suite d’un réexa­men en 2024. Cependant, la Loi 25, inspi­rée par les prin­cipes direc­teurs du RGPD, n’a pas été pris en consi­dé­ra­tion par la Commission euro­péenne pour une recon­nais­sance similaire.

Cette situa­tion souligne l’importance de conti­nuer à harmo­ni­ser les lois régio­nales avec les normes inter­na­tio­nales afin de faci­li­ter les échanges commer­ciaux et à assu­rer une protec­tion adéquate des données. En défi­ni­tive, alors que les déci­sions d’adéquation sont essen­tielles pour la libre circu­la­tion des données, il faut résoudre ces diffé­rences afin de garan­tir une protec­tion uniforme des rensei­gne­ments person­nels dans un contexte mondial de plus en plus connecté.