Eh bien, voilà ! Vendredi dernier, la ministre de la Justice du Québec, Madame Sonia LeBel, a présenté le très attendu projet de loi 64, Loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels ("Loi 64"). Comme son titre l'indique, la Loi 64 vise à réformer le cadre législatif québécois en matière de protection de la vie privée. Il propose plusieurs modifications à la loi de 26 ans Loi sur la protection des renseignements personnels dans le secteur privé("Loi sur le secteur privé"), qui s'applique aux entreprises privées en ce qui concerne la collecte, l'utilisation et la divulgation des renseignements personnels des Québécois ("RPI"). Si ce projet de loi est adopté, le régime québécois de protection des renseignements personnels des entreprises privées pourrait devenir le plus onéreux au Canada, car les nouvelles dispositions pénales proposées introduiraient des amendes pouvant atteindre 25 000 000 $ ou 4 % du chiffre d'affaires mondial de l'exercice financier précédent, selon le montant le plus élevé.
Au cours des prochaines semaines, nous démystifierons le nouveau projet de loi 64 en démontrant comment il pourrait s'appliquer à des technologies spécifiques, telles que l'intelligence artificielle, le géofencing et bien d'autres. Restez à l'écoute de FaskenTech pour notre analyse spécifique aux start-ups et aux organisations technologiques émergentes !
Ce premier billet de blog vise à donner un aperçu de certains des points d'intérêt initiaux que nous avons identifiés pour les entreprises et les organisations impliquées dans les technologies émergentes : (1) les "évaluations obligatoiresdes facteurs liés à la vie privée" des projets de systèmes d'information et/ou de prestation de services électroniques ; (2) les paramètres de confidentialité par défaut pour les produits et services technologiques ; et (3) les nouvelles obligations de signaler et d'enregistrer les "incidents de confidentialité".
Parmi les autres modifications notables proposées dans le projet de loi 64, citons les restrictions sur l'utilisation des IIP pour rendre une décision basée sur un traitement automatisé ; les exigences concernant l'utilisation de technologies ayant pour fonction d'identifier, de profiler ou de localiser une personne ; le droit à la portabilité des données ; les exigences de désidentification des données ; la divulgation obligatoire sur demande du recours à des courtiers en données pour la collecte des IIP ; et bien d'autres encore(une liste plus complète peut être consultée ici).
S'applique-t-elle à mon organisation ?
La Loi sur le secteur privé s'applique aux personnes qui exploitent une entreprise au sens du droit québécois. En d'autres termes, les entreprises du secteur privé qui exercent des activités commerciales dans la belle province sont susceptibles de tomber sous le coup de la loi 64.
Ce projet de loi propose également de modifier la Loi sur le secteur privé pour dire qu'elle s'applique indépendamment du fait que l'entreprise conserve les IPI ou qu'elles soient conservées par un tiers. Les dispositions de la loi sur le secteur privé concernant la collecte et la confidentialité des IPI ne s'appliquent pas aux informations qui sont publiques "de par la loi", et le projet de loi 64 ajoute qu'elles ne s'appliqueraient pas non plus aux IPI concernant une personne dans l'exercice de ses fonctions dans une entreprise, y compris le nom de la personne, son titre et ses fonctions, ainsi que son adresse professionnelle, son adresse électronique et son numéro de téléphone.
Alors que le projet de loi 64 promet des impacts significatifs sur les entreprises de toutes tailles et de tous secteurs, celles qui utilisent des données volumineuses pourraient trouver la nouvelle législation particulièrement difficile, surtout si elle est adoptée telle qu'elle est actuellement rédigée. Maintenant que nous avons couvert l'essentiel, nous allons passer en revue certains points que les entreprises en démarrage devraient garder à l'esprit avec l'arrivée du projet de loi 64.
Quelques-unes des propositions les plus pertinentes du projet de loi 64 pour les start-ups et les entreprises technologiques émergentes
1. Évaluation des "facteurs liés à la vie privée" des projets
Le ministre de la Justice, M. Lebel, propose, par le biais du projet de loi 64, d'introduire des exigences de gouvernance d'entreprise concernant la protection des RPI, qui comprennent l'attribution de la responsabilité au sein de l'entreprise pour assurer la mise en Suvre et le respect de la nouvelle législation (voir la dernière section ci-dessous).
Plus précisément, le nouvel article 3.3 proposé de la loi sur le secteur privé exigerait des organisations qu'elles procèdent à une "évaluation des facteurs liés à la vie privée" ("APRF") de "tout projet de système d'information ou de prestation de services électroniques impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels". Aux fins de l'APRF d'un projet, la personne désignée chargée de la protection des RPI au sein de l'entreprise devra être consultée dès le début de ce projet. Cette personne aura alors la possibilité de proposer la mise en Suvre de mesures de protection des RPI à tout moment du projet. Le projet de loi 64 propose que les FAPR soient également requises avant de communiquer des RPI à l'extérieur du Québec ou de communiquer des RPI sans le consentement des personnes concernées à des fins d'étude, de recherche ou de statistiques.
Les évaluations des incidences sur la vie privée ("EFVP") font depuis longtemps partie de la législation canadienne sur la protection de la vie privée dans le secteur public, tandis que les évaluations des incidences sur la protection des données ("EPDD") sont également requises dans certaines circonstances en vertu de la Règlement général sur la protection des données("GDPR"). Ces outils permettent d'identifier préventivement les risques potentiels pour la vie privée des projets nouveaux ou remaniés, d'éliminer ou de réduire ces risques à un niveau acceptable et de développer des systèmes visant à protéger la vie privée dès la conception. Ils permettent un dialogue informé entre les entreprises et les particuliers et garantissent la prise en compte des droits des personnes dans la gouvernance des entreprises.
Les "facteurs liés à la vie privée" qui doivent être évalués aux fins de la réalisation du FRAP en vertu de la nouvelle section 3.3 proposée ne sont pas mentionnés dans cette première version du projet de loi 64. Bien qu'il ne soit pas surprenant de voir le Commission d'accès à l'informationen publiant un cadre ou des lignes directrices pour la réalisation des FRA lorsque le projet de loi sera adopté, nous pensons que les entreprises devraient être autorisées à suivre leurs propres politiques de gouvernance adaptées au contexte et fondées sur le risque, comme l'exige la nouvelle proposition de section 3.2 de la loi sur le secteur privé. La bonne nouvelle, c'est qu'il existe une norme internationale qui vous fournit un cadre pour réaliser des évaluations d'impact sur la vie privée. Il existe également d'autres normes internationales qui vous fournissent une méthodologie pour mettre en Suvre une bonne gouvernance sur la protection des RPI, et en vertu desquelles vous pouvez éventuellement obtenir une certification. Fasken dispose de l'expertise nécessaire pour vous aider à respecter ces normes.
Les directives du Commissariat à la protection de la vie privée du Canada sur l'ÉFVP pour les institutions du secteur public fédéral, les exigences du Commissariat à l'information et à la protection de la vie privée de l'Alberta en matière d'ÉFVP et celles de l'article 35 du GDPR pour l'EPDV pourraient également constituer de bons points de départ. En tout état de cause, il est important de s'assurer que les risques sont quantifiés et traités, et que les risques acceptables sont définis au préalable. Enfin, bien qu'il ne s'agisse pas d'une exigence spécifique du projet de loi 64, les EFDP devraient être réalisées dès que possible de manière conceptuelle afin de viser la protection de la vie privée dès la conception et de garantir que les risques peuvent être facilement traités à long terme.
2. Paramètres de régulation
Le projet de loi 64 propose également d'introduire la conception dans le cadre réglementaire du Canada. Jusqu'à récemment, nos lois provinciales et fédérales s'inspiraient largement des principes de l'information équitable ("FIP"), qui ont été rédigés dans les années 1970 et se sont révélés résistants au fil du temps. Néanmoins, les FIP ont été conçus avec une base de données électronique à l'esprit, et se sont concentrés en grande partie sur le traitement des déséquilibres de pouvoir à une époque de surveillance massive par l'État et d'autres organisations puissantes, en négligeant des actions telles que la conception, l'ingénierie et le codage. Par sa proposition de nouvelle section 9.1 dans la loi sur le secteur privé, le projet de loi 64 attire effectivement l'attention de l'autorité de régulation sur tous les ingénieurs en développement de logiciels et en informatique :
9.1. Toute personne exploitant une entreprise qui collecte des informations personnelles lorsqu'elle offre un produit ou un service technologique doit s'assurer que les paramètres du produit ou du service offrent par défaut le plus haut niveau de confidentialité, sans intervention de la personne concernée.
Projet de loi 64, art. 100.
Ce n'est pas surprenant, comme l'a démontré de façon convaincante Don Norman dans The Design of Everyday Things, le design est partout et ne peut être ignoré.
Dans Privacy's Blueprint, Woodrom Hartzog explique que le mantra selon lequel "la technologie est neutre" est une erreur, et que la conception est intrinsèquement un choix éthique. Selon l'auteur, le design est partout et ne peut être ignoré, aussi la loi commet-elle une erreur lorsqu'elle ne le prend pas en considération. Le design est une forme de comportement et de politique. L'auteur se livre à une critique véhémente de la loi sur la protection de la vie privée qui se fonde uniquement sur le droit à la vie privée :
L'idée que le choix humain, et non la conception, est ce qui importe le plus pour protéger notre vie privée est fermement ancrée dans le droit américain. Ainsi, la législation sur la vie privée reflète une sorte d'approche neutre, voire protectionniste, de la technologie. Les tribunaux refusent généralement de tenir les entreprises technologiques pour responsables en matière de responsabilité délictuelle pour un code informatique non sécurisé. [...] Mais nous devons dépasser l'idée que la seule chose qui compte dans le débat sur la vie privée est la collecte, l'utilisation et la divulgation d'informations personnelles. La trajectoire actuelle du droit et du discours sur la vie privée ne peut pas continuer à marginaliser le rôle de la conception. Le design choisit les gagnants en matière de données et les perdants en matière de vie privée.
Privacy's Blueprint - The Battle to Control the Design of New Technologies, Harvard University Press, 2018, pp. 49-50
Depuis la publication de ce livre en 2018, le GDPR est entré en vigueur, exigeant spécifiquement dans son article 25 à la fois la protection des données par conception et par défaut. Le projet de loi 64 semble favoriser une position intermédiaire grâce à l'introduction de l'article 9.1 dans la loi sur le secteur privé.
Bien que la manière dont cette nouvelle disposition doit être interprétée ne soit pas claire, il faut tenir compte du fait qu'elle est combinée avec d'autres exigences de gouvernance qui poussent à la conception, comme les évaluations des facteurs liés à la vie privée des systèmes d'information, évoquées plus haut. Ce dont nous sommes sûrs, c'est que dans de nombreuses configurations avec des boutons "on/off", les concepteurs doivent présélectionner la position par défaut. Comme le souligne Hartzog :
Ce choix ne peut pas être évité, car même un choix à mi-chemin dans une décision binaire fonctionnerait fondamentalement comme une erreur. Comme nous savons que les valeurs par défaut sont difficiles à modifier et qu'il faudrait du temps et de l'attention à l'utilisateur pour changer les paramètres, la décision par défaut reflète une valeur.
Privacy's Blueprint - The Battle to Control the Design of New Technologies, Harvard University Press, 2018, p. 53.
Il semble que le recours à cette disposition exigera au minimum que tout partage de données soit désactivé par défaut, y compris le suivi géolocalisé, ce qui aura probablement un impact important sur le secteur des technologies de l'information et des communications.
3. Régime de déclaration des incidents
Si le projet de loi 64 est adopté, il introduira de nouvelles exigences concernant l'information des personnes et des autorités sur les "incidents de confidentialité" réels et présumés. Le projet de loi 64 identifie les "incidents de confidentialité" comme l'accès, l'utilisation ou la communication non autorisés d'IPI qui ne sont pas autorisés par la loi, la perte d'IPI et d'autres violations qui compromettent les informations.
En vertu de la loi sur le secteur privé telle qu'elle est actuellement en vigueur, les entreprises ne sont pas tenues de divulguer toute violation de données survenue. Cela contraste fortement avec la Loi sur la protection des renseignements personnels et les documents électroniques ("LPRPDE"), qui comporte des dispositions obligatoires en matière de signalement des violations qui obligent les organisations à signaler au commissaire à la protection de la vie privée et aux personnes dont les RPI ont été compromises les violations de données qui présentent un risque réel de préjudice important pour les personnes.
Le nouvel article 3.5 proposé dans le cadre du projet de loi 64 met la loi sur le secteur privé en conformité avec la LPRPDE en exigeant que la personne qui exploite une entreprise qui a des raisons de croire qu'un "incident de confidentialité" s'est produit prenne des mesures pour réduire le préjudice causé par celui-ci et pour prévenir de futurs incidents. Elle doit également signaler l'incident à la Commission d'accès à l'information, ainsi qu'à toutes les personnes dont les RPI pourraient avoir été compromises. La personne responsable doit également informer tout organisme susceptible de contribuer à réduire le risque de préjudice découlant de l'incident. Selon le projet de loi 64, les entreprises devraient également consigner tous les "incidents de confidentialité".
Ces changements sont importants pour les jeunes entreprises, car les investisseurs auront désormais accès à un registre des incidents de confidentialité dans le cadre de leur diligence raisonnable lors des tours de financement. En outre, en devant signaler les incidents de confidentialité, les organisations risquent de faire l'objet d'enquêtes sur leurs pratiques en matière de protection de la vie privée, ce qui signifie que la conformité en amont devient encore plus pertinente.
Quelles sont les prochaines étapes ?
Pour l'instant, la loi 64 n'est pas encore entrée en vigueur. Il doit encore être débattu à l'Assemblée nationale du Québec et fait l'objet d'une consultation et d'un rapport de la commission parlementaire, après quoi il sera soit adopté et deviendra une loi, soit sera rejeté. La loi 64 doit encore faire l'objet d'un processus de débat, au cours duquel elle pourrait être modifiée avant d'être adoptée. Il se peut qu'il ne devienne pas une loi exactement comme il est maintenant présenté, mais beaucoup des changements proposés par ce projet de loi ont déjà été adoptés dans d'autres juridictions, comme dans la LPRPDE et la GDPR.
Que doivent faire les start-ups et les entreprises technologiques émergentes avec ces informations dans l'immédiat ?
En plus de ce qui a été discuté ci-dessus, le projet de loi 64 contient deux exigences de gouvernance supplémentaires auxquelles les organisations de croissance émergentes devraient prêter attention, car elles sont les piliers fondamentaux pour assurer le respect de la responsabilité. La nouvelle section 3.1 proposée attribue à la personne ayant la plus haute autorité au sein de la société (comme le directeur général) la responsabilité de veiller à la mise en Suvre et au respect de la nouvelle législation par cette société. Ces rôles et responsabilités peuvent être délégués par écrit à un membre du personnel au sein de l'organisation. Contrairement à la GDPR, le projet de loi 64 ne permet pas d'externaliser ces responsabilités. Pour commencer votre voyage de conformité, commencez par identifier une personne qui sera votre champion de la conformité. Ceci est important car la nouvelle législation entrerait en vigueur un an après la date de sanction du projet de loi 64 (sauf pour les obligations liées à la portabilité des données, qui entreraient en vigueur trois ans après cette date).
La personne responsable de la protection des RPI devrait mettre en Suvre des pratiques de bonne gouvernance par le biais d'un système appelé "système de gestion des informations sur la vie privée" (Privacy Information Management System, PIMS), comme indiqué dans la proposition de section 3.2, qui exige des entreprises qu'elles mettent en Suvre des politiques et des pratiques de gouvernance. La bonne nouvelle est qu'il existe une norme internationale qui vous fournit une méthodologie pour le faire, et sous laquelle vous pouvez éventuellement obtenir la certification ; ISO/IEC 27701:2019. Chez Fasken, nous avons acquis cette expertise en certifiant certains de nos experts comme chef de la mise en Suvre de la norme ISO/IEC 27701:2019 et en étendant notre certification ISO/IEC 27001:2013 au déploiement d'un SGIP pour nos propres bureaux dans tout le Canada. Ce sont des pratiques efficaces qui vous aideront à développer une résilience face aux changements à venir de la législation canadienne, quelle que soit la façon dont cette nouvelle législation sera mise en Suvre.
Par ailleurs, le projet de loi 64 propose également des exigences supplémentaires pour l'utilisation de technologies ayant des fonctions d'identification, de profilage ou de localisation d'un individu, comme pour le geofencing et l'Adtech. Nous allons approfondir ces exigences et leur impact sur l'industrie technologique au cours des prochaines semaines.
Si vous voulez avoir une longueur d'avance en matière de conformité, c'est par là qu'il faut commencer ! Assurez-vous d'avoir une bonne méthodologie à organiser, car il est facile de se laisser déborder. Ah, saviez-vous que ces politiques devront également être publiées sur votre site web ? Prêts, partez, conformez-vous !
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
