Eh bien, notre législateur provincial n’a effectivement pas tardé à adopter sa version révisée du projet de loi 64, la nouvelle loi en résultant ayant finalement été adoptée la semaine dernière. La loi refondue visant à protéger les renseignements personnels au Québec est ainsi publiée en version finale. C’est donc maintenant fait : le Québec s’est mis à la page pour ce qui est de ses propres règles (dont sa Loi sur la protection des renseignements personnels dans le secteur privé) visant à renforcer la protection des données que manipulent les entreprises à l’intérieur de la province.
Comme le mentionnaient récemment les médias, le législateur espère ainsi débarrasser le Québec de sa « culture de négligence » désinvolte par rapport aux pratiques d’entreprise en matière de renseignements personnels. Avec une loi datant de la préhistoire des données, le Québec faisait jusqu’ici figure de parent pauvre de la protection des données. En effet, la plupart des entreprises préféraient ne pas entendre parler de ce sujet, fortes de l’impression (réelle !) que la loi québécoise n’avait que très peu de chances de mener à de véritables sanctions, même si on finissait par se faire prendre les doigts dans le piège à souris.
La nouvelle loi comporte des dispositions modernisées inspirées du règlement européen (le fameux Règlement général sur la protection des données, ou « RGPD »), assorties de réelles sanctions pour les entreprises jugées délinquantes. Avec des amendes éventuelles pouvant s’élever à des millions de dollars, on croit que la loi québécoise a tout ce dont elle a besoin pour FINALEMENT attirer l’attention des dirigeants d’entreprise, y compris ceux de simples PME, qui jugeaient souvent jusqu’ici ne pas réellement avoir à se préoccuper de ce genre de choses.
Bien qu’on le sache depuis longtemps (en principe), toute organisation qui collecte, utilise, partage ou communique des données à caractère personnel de tiers DOIT se conformer aux règles en matière de protection des renseignements visés. La négligence (ou l’aveuglement volontaire) quant à ces règles pourra désormais coûter cher aux organisations délinquantes, bien que la Commission d’accès à l’information (la « CAI ») affirme qu’elle « prendra en compte la capacité de payer des entreprises » en faisant appliquer cette loi.
La loi vient aussi notamment réaffirmer clairement qu’un consentement explicite, libre et éclairé s’avère nécessaire AVANT toute utilisation de données personnelles, à l’instar de ce qui se fait par exemple en Europe.
Malgré l’adoption formelle de la nouvelle loi par le Québec, la majorité des dispositions n’entreront réellement en vigueur (dont les amendes éventuelles) que dans deux ans, soit le 22 septembre 2023.
Par contre, un petit nombre de dispositions entreront, elles, en vigueur dès septembre 2022, dont les celles qui prévoient l’obligation pour les entreprises d’aviser les victimes (et la CAI) des incidents, tels les actes de piratage informatique, qui auraient exposé leurs données à des fuites. En application de la nouvelle loi, en effet, toutes les organisations ont l’obligation de déployer des mesures de sécurité appropriées afin de protéger le genre de renseignements personnels qu’elles détiennent sur autrui.
D’ici là, la CAI et nos entreprises ont pas mal de devoirs à faire pour se préparer à cette nouvelle réalité.