Protection des données personnelles

Des amendes pouvant atteindre 25 millions

Québec — Une entreprise qui serait négligente avec les renseignements personnels de ses clients se verrait imposer une amende pouvant aller jusqu’à 25 millions, en vertu du projet de loi déposé vendredi par la ministre de la Justice, Sonia LeBel. Une sanction pécuniaire dissuasive, estime le gouvernement Legault, qui souhaite donner beaucoup plus de mordant à ses lois actuelles.

Des « sanctions dissuasives »

La ministre LeBel ne s’en cache pas : « Les sanctions imposées aux contrevenants sont bien loin d’être à la hauteur des conséquences qu’entraîne une fuite de renseignements personnels pour les citoyens. » Avec le projet de loi sur la modernisation des dispositions législatives encadrant la protection des renseignements personnels, Québec souhaite mettre en place des « sanctions dissuasives » accrues. Au pénal, une infraction pourrait ainsi se traduire par l’imposition d’une amende de 15 000 $ à 25 millions ou d’une amende équivalant à 4 % du chiffre d’affaires de l’entreprise si cette somme est plus élevée. Dans le cas d’une « personne physique », on parle d’une sanction de 5000 $ à 50 000 $.

Pour l’heure, même dans un cas comme celui de Desjardins, où 4,2 millions de personnes ont été touchées par un vol de données, une entreprise reconnue coupable ne s’expose qu’à une amende de 10 000 $, 50 000 $ en cas de récidive, ce qui était « dérisoire » de l’aveu même de la ministre.

POUVOIRS ACCRUS

Le projet de loi (PL) 64 accorde aussi à la Commission d’accès à l’information du Québec (CAI), chien de garde de la Loi sur la protection des renseignements personnels dans le secteur privé, le pouvoir d’imposer des sanctions administratives pécuniaires aux entreprises, ce qui n’est actuellement pas possible. Dans ce cas, l’amende pourrait aller jusqu’à 50 000 $ pour une personne physique en défaut, et atteindre 10 millions pour une entreprise, ou une somme correspondant à 2 % de son chiffre d’affaires. « [La CAI] doit avoir tous les outils nécessaires afin d’exercer son rôle de surveillance », a indiqué Mme LeBel. Dans un court communiqué, la Commission a dit accueillir « avec intérêt » la mesure législative. Le PL 64 vise par ailleurs non seulement les entreprises, mais également les ministères et les organismes ainsi que les partis politiques. Actuellement, la CAI peut enquêter sur une organisation qu’elle soupçonne d’être négligente, mais c’est le Directeur des poursuites criminelles et pénales qui décide de porter des accusations.

« REDONNER LE PLEIN CONTRÔLE »

Par la modernisation de la loi – qui date de 1994 –, le gouvernement Legault entend « redonner au citoyen le plein contrôle » de ses renseignements personnels en agissant sur la notion du « consentement éclairé ». Par exemple, on introduit « le consentement distinct », c’est-à-dire que l’usager pourrait donner son consentement à l’ouverture d’une application ou au début d’un service, mais aussi à différentes étapes de l’utilisation. « On doit se faire expliquer de façon claire ce à quoi on consent, de façon distincte également », a souligné Mme LeBel. L’entreprise aura également l’obligation de détruire les renseignements « quand l’utilisation est terminée » ou de les rendre « complètement anonymes ». La ministre affirme qu’il n’y a « aucune raison » pour une entreprise de conserver des renseignements personnels après la fourniture du service. « On donne le droit de demander la destruction à un moment ou un autre, le droit de savoir ce qu’on fait avec nos renseignements personnels, de consentir s’il y a d’autres modalités que celles pour lesquelles on a consenti au départ », a résumé Mme LeBel.

OBLIGATION DE DIVULGATION

La mesure législative, qui sera débattue à la reprise des travaux parlementaires l’automne prochain, rend également obligatoire la divulgation par une entreprise d’un vol ou d’une fuite de données. « S’il y a un[e] [rupture] de sécurité, l’entreprise doit immédiatement en aviser la [Commission d’accès à l’information] », explique le ministre de la Justice. Aussi surprenant que cela puisse paraître, rien dans la loi actuelle n’oblige une entreprise à le faire. « C’est déjà une mesure qui aurait pu s’appliquer [au cas] de Desjardins », a-t-elle illustré. Par contre, l’organisation n’est pas tenue de rendre publique la fuite ou d’en aviser les personnes touchées sur-le-champ – pour « donner l’espace nécessaire » afin de ne pas nuire à une enquête, par exemple. C’est la CAI qui déterminera si le délai, avant de publiciser la fuite, est abusif ou non. La future loi s’appliquera aux entreprises « qui font des affaires au Québec ».

RESTREINDRE LE « PROFILAGE ÉCONOMIQUE »

Les moteurs de recherche et les entreprises en ligne devront aussi offrir la possibilité à l’usager de restreindre l’utilisation de « cookies publicitaires » et le « profilage économique » lorsque l’on visite un site internet, par exemple. « C’est drôle, parce qu’on est tous déjà allés magasiner un barbecue, et puis tout à coup, sur son Facebook ou Instagram, on vous offre des barbecues à répétition, a expliqué Mme LeBel. Maintenant, avec le projet de loi, je vais avoir le droit de désactiver cette fonction-là et de dire : moi, je veux être capable d’aller magasiner un barbecue sans, après ça, me faire bombarder. » Elle ajoute que la « vaste majorité des entreprises » adhèrent déjà au principe. « Beaucoup de ces entreprises-là le font déjà parce qu’elles sont en Europe, elles ont déjà adapté leurs pratiques et le font parce que ce sont les meilleurs standards », précise Mme LeBel. Le projet de loi s’inspire d’ailleurs de modèles européens reconnus « comme les plus avancés ».

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.