Questions et réponses – projet de loi no 64

Comparution du commissaire à la protection de la vie privée du Canada devant l’Assemblée nationale du Québec

Le 24 septembre 2020

Les questions et réponses qui suivent apportent un complément d’information aux conseils que le commissaire à la protection de la vie, Daniel Therrien, a donnés lors de sa comparution devant la Commission des institutions de l’Assemblée nationale du Québec sur le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Vie privée comme droit de la personne : cadre juridique applicable

• Le droit à la vie privée est reconnu comme étant un droit de la personne en droit québécois. Le droit à la vie privée est protégé par la Charte des droits et libertés de la personne, entre autres à l’article 5, et il fait l’objet d’un chapitre du Code civil (les articles 35 à 41).
• Les lois modifiées par le projet de loi no 64 visent à mettre en œuvre des droits garantis par la Charte des droits et libertés de la personne et par le Code civil du Québec, ces derniers ayant un statut quasi constitutionnel.
• Le droit à la vie privée est aussi protégé par l’article 8 de la Charte canadienne des droits et libertés, notamment par rapport aux fouilles, aux perquisitions et aux saisies abusives par l’État. La Cour suprême reconnaît la vie privée comme une valeur fondamentale, ainsi que les lois qui protègent les renseignements personnels dans le secteur public et le secteur privé comme ayant un statut quasi constitutionnel.
• En Europe, le droit à la vie privée se trouve dans la Convention européenne des droits de l’homme, le Traité sur le fonctionnement de l'Union européenne, et la Charte des droits fondamentaux de l’Union européenne. Le Règlement général sur la protection des données (RGPD) fait explicitement référence à ces documents et vise à protéger les droits fondamentaux.

Dispositions relatives au consentement

• Le consentement a ses limites, surtout à l’ère numérique.
• Cela dit, le consentement a toujours sa place dans la loi. Les exigences plus strictes prévues au projet de loi no 64 contribueront à l’obtention d’un consentement plus éclairé auprès des personnes concernées.
• Aux termes des deux lois québécoises sur la protection des renseignements personnels dans les secteurs privé et public^{Note de bas de page 1}, le consentement :
  • doit être libre et éclairé;
  • être donné à des fins spécifiques;
  • doit être demandé pour chacune des fins en termes simples et clairs, distinctement de toute autre information communiquée à la personne concernée;
  • ne peut être obtenu d’une personne de moins de 14 ans;
  • doit être manifesté de façon expresse s’il s’agit de renseignements personnels sensibles^{Note de bas de page 2}.
• Conformément au projet de loi no 64, quiconque recueille des renseignements personnels^{Note de bas de page 3} auprès de la personne concernée doit également l’informer :
  • de son droit de retirer son consentement (loi du secteur privé seulement)^{Note de bas de page 4};
  • le cas échéant, du nom du tiers pour qui la collecte est faite et de la possibilité que les renseignements soient communiqués à l’extérieur du Québec;
  • sur demande, des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui ont accès à ces renseignements au sein de l’entreprise, de la durée de conservation de ces renseignements, ainsi que des coordonnées du responsable de la protection des renseignements personnels;
  • du caractère obligatoire ou facultatif de la demande (secteur public seulement)^{Note de bas de page 5};
  • des conséquences d’un refus de répondre à la demande ou d’un retrait de son consentement suivant une demande facultative (secteur public seulement)^{Note de bas de page 6}.
• Dans nos Lignes directrices pour l’obtention d’un consentement valable, on précise que toute personne concernée doit être informée :
  • des renseignements personnels qui sont recueillis;
  • des parties à qui les renseignements personnels sont communiqués;
  • des fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués;
  • du risque de préjudice et autres conséquences (la possibilité que les renseignements soient communiqués à l’extérieur du Québec va en ce sens).
• Nous avons également recommandé que le consentement des parents ou des tuteurs soit obtenu pour les enfants de moins de 13 ans.

Renseignements sensibles

• En vertu du projet de loi no 64, les deux lois sur le secteur public et le secteur privé seraient modifiées de façon à préciser que, lorsque le consentement est demandé, celui-ci doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible^{Note de bas de page 7}.
• Un renseignement personnel est sensible lorsque, de par sa nature ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée^{Note de bas de page 8}.
• L’approche contextuelle est tout à fait pertinente.
• Bien que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) adopte aussi une approche contextuelle, elle donne deux exemples précis : les renseignements médicaux et financiers.
• Deux conséquences s’ensuivent : le consentement doit généralement être explicite et les mesures de sécurité doivent correspondre au degré de sensibilité des données^{Note de bas de page 9}.
• L’article 9 du RGPD^{Note de bas de page 10} interdit le traitement de « catégories particulières » de renseignements personnels sauf en présence de certaines conditions précises, notamment, le consentement explicite, les obligations légales ou l’intérêt public. Parmi les catégories de renseignements, on retrouve les suivantes :
  • les données qui révèlent l’origine raciale ou ethnique, l’orientation sexuelle, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale;
  • les données génétiques;
  • les données biométriques aux fins d’identifier une personne physique de manière unique;
  • les données concernant la santé.

Exceptions en matière de consentement

Utilisation à des fins compatibles

• Le consentement a ses limites. La protection de la vie privée ne peut reposer que sur lui.
• Nous sommes favorables à l’adoption d’exceptions qui permettent l’utilisation de renseignements dans l’intérêt public, ou pour des fins légitimes commerciales, mais seulement dans le respect des droits fondamentaux.
• Le concept d’utilisation à des fins compatibles peut être vu comme une forme de mise en balance d’autres intérêts légitimes avec la protection des renseignements personnels. Mais ce concept est susceptible d’être interprété très largement et de donner lieu à toutes sortes d’utilisations qui ne respecteraient pas nécessairement les droits.
• Au fédéral, la Loi sur la protection des renseignements personnels (LPRP) comprend une disposition relative aux « usages compatibles », mais sans contenir les limites prévues dans le projet de loi no 64 (lien pertinent et direct)^{Note de bas de page 11}.
  • Certains ministères ont interprété cette disposition d’une manière qui comprend tout ce qui est relié à l’exécution de leur loi habilitante (p. ex. la Loi sur le revenu pour l’Agence du revenu du Canada).
• Pour qu’une fin soit considérée comme étant compatible, la Loi sur le public prévoit déjà qu’il doit y avoir « un lien pertinent et direct… ». Le projet de loi no 64 étend cette exigence au privé.
  • Bien que cette précision soit utile, la disposition n’exige pas que soit considérée l’incidence potentielle sur la vie privée. Cela, contrairement au régime proposé pour les communications aux fins d’études, de recherche ou de production de statistiques. L’ajout de cette condition serait très important selon nous.
• En ce qui concerne la Loi sur le privé, le projet de loi no 64 précise que « ne peut être considérée comme une fin compatible la prospection commerciale ou philanthropique^{Note de bas de page 12}. »

Au bénéfice de la personne

• Le projet de loi no 64 prévoit une exception au consentement lorsque l’utilisation est manifestement au bénéfice de la personne concernée^{Note de bas de page 13}.
• Nous sommes favorables à cette disposition. Cette exception est semblable aux dispositions suivantes :
  • Sous-alinéa 8(2)m)(ii) de la Loi sur la protection des renseignements personnels (LPRP) – la communication des renseignements personnels est autorisée à toute autre fin dans les cas où, de l’avis du responsable de l’institution, l’individu concerné en tirerait un avantage certain.
  • Alinéa 7(1)a) de la LPRPDE – l’organisation ne peut recueillir de renseignement personnel à l’insu de l’intéressé ou sans son consentement que si la collecte du renseignement est manifestement dans l’intérêt de l’intéressé et le consentement ne peut être obtenu auprès de celui-ci en temps opportun.
  • Alinéa 6.1 d) du RGPD – le traitement n’est licite que s’il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique^{Note de bas de page 14}.

Utilisation à des fins de recherche ou de production de statistiques

• Le projet de loi no 64 contient deux exceptions relatives à l’utilisation à des fins de recherche ou de production de statistiques :
  1. un renseignement personnel peut être utilisé au sein de l’organisme ou de l’entreprise sans le consentement de la personne concernée lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé^{Note de bas de page 15};
  2. un renseignement personnel peut être communiqué sans le consentement de la personne concernée à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques, sous réserve d’exigences supplémentaires (voir ci-après)^{Note de bas de page 16}.

Utilisation à des fins internes de renseignements désidentifiés

• Nous sommes favorables à la disposition qui permet l’utilisation de renseignements désidentifiés à des fins internes d’étude, de recherche ou de production de statistiques. Cependant la définition de renseignements désidentifiés est trop permissive et nous croyons qu’elle devrait être modifiée. (Voir la réponse à la question sur les renseignements dépersonnalisés ou anonymisés.)
• Fait important, le projet de loi prévoit que quiconque procède ou tente de procéder à l’identification d’une personne à partir de renseignements dépersonnalisés sans l’autorisation de la personne qui les détient commet une infraction passible d’une amende pouvant aller jusqu’à 50 000 $ (dans le cas d’une personne physique) ou jusqu’à 25 millions $ ou 4 % du chiffre d’affaires mondial si ce dernier montant est plus élevé (dans les autres cas)^{Note de bas de page 17}.
• Dans le contexte de la réforme de la LPRPDE, Innovation, Sciences et Développement économique Canada (ISDE) propose d’instituer une approche basée sur le risque selon laquelle les renseignements désidentifiés pourraient être définis et leur utilisation autorisée dans certaines circonstances, en prévoyant des pénalités pour la réidentification. Cela vise à répondre aux préoccupations en matière de protection des renseignements personnels et à favoriser l’innovation.

Communication externe de renseignements personnels

• Nous sommes d’accord avec la Commission d’accès à l’information du Québec (CAI) que cette disposition devrait être modifiée pour en limiter la portée aux recherches menées dans l’intérêt public. Et qu’elle soit assortie de conditions de procédure et de gouvernance.
• La Loi de l’Ontario prévoit des fins limitées et un modèle de gouvernance clair^{Note de bas de page 18}.
  • La communication est permise aux fins suivantes : a) la gestion ou l’affectation de ressources; b) la planification de la prestation de programmes et de services fournis ou financés en tout ou en partie par le gouvernement de l’Ontario; c) l’évaluation de ces programmes et services.
  • L’utilisation et la communication de renseignements personnels sont encadrées par des limites claires, et la loi prévoit des exigences en matière de sécurité et d’autres mesures de protection.
  • Le commissaire ontarien est responsable de l’examen et est doté de pouvoirs d’ordonnance précis.
• Ceci dit, le régime de communication aux fins de recherche du projet de loi no 64 comporte déjà des balises intéressantes, dont l’obligation tant dans la loi sur le secteur public que dans celle du privé, de procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) avant de communiquer l’information.
• De façon plus exhaustive, une EFVP doit conclure que^{Note de bas de page 19} :
  • l’objectif visé ne peut être atteint que si les renseignements sont communiqués sous une forme permettant d’identifier la personne concernée;
  • il est déraisonnable d’exiger que la personne ou l’organisme obtienne le consentement de la personne concernée;
  • l’objectif pour lequel la communication est requise l’emporte sur l’impact de la communication et de l’utilisation du renseignement sur la vie privée de la personne concernée;
  • le renseignement personnel est utilisé de manière à en assurer la confidentialité;
  • seuls les renseignements nécessaires sont communiqués.
• Au-delà de l’exigence d’une EFVP, le projet de loi no 64 crée dans les lois des deux secteurs l’obligation pour le chercheur ou l’organisme de recherche (1) de soumettre une demande par écrit pour expliquer les fins d’étude, de recherche ou de production de statistiques du projet, et (2) de soumettre une entente à la CAI qui porte, entre autres, sur la limitation de l’accès et des fins, la conservation, la destruction et le signalement de tout événement susceptible de porter atteinte à la confidentialité des renseignements.
• La CAI n’est pas tenue d’examiner ou d’approuver l’entente^{Note de bas de page 20}.
• Les dispositions actuelles liées à la recherche dans la loi fédérale comprennent notamment les suivantes :
  • Alinéa 8(2)(j) de la LPRP : un renseignement personnel peut être communiqué à toute personne ou à tout organisme sans le consentement de la personne concernée, pour des travaux de recherche ou de statistiques, sous réserve de deux conditions :
    • le responsable de l’institution est convaincu que les fins auxquelles les renseignements sont communiqués ne peuvent être normalement atteintes que si les renseignements sont donnés sous une forme qui permette d’identifier l’individu qu’ils concernent;
    • la personne ou l’organisme s’engagent par écrit auprès du responsable de l’institution à s’abstenir de toute communication ultérieure des renseignements tant que leur forme risque vraisemblablement de permettre l’identification de l’individu qu’ils concernent.
  • Alinéas 7(2)(c) et 7(3)(f) de la LPRPDE : l’organisation ne peut utiliser et communiquer de renseignement personnel à l’insu de l’intéressé ou sans son consentement que si l’utilisation est faite à des fins statistiques ou à des fins d’étude ou de recherche érudites, que ces fins ne peuvent être réalisées sans que le renseignement soit utilisé, que celui-ci est utilisé d’une manière qui en assure le caractère confidentiel, que le consentement est pratiquement impossible à obtenir et que l’organisation informe le commissaire de l’utilisation avant de la faire.
• Dans notre Rapport sur le consentement, nous avons recommandé une nouvelle exception lorsqu’il y a un avantage sociétal de le faire (sans être restreint aux fins d’étude, de recherche ou de production de statistiques). Cette exception serait limitée aux cas où les avantages sociétaux l’emportent manifestement sur les ingérences dans la vie privée et où plusieurs conditions préalables sont respectées, dont la démonstration, sur demande, de ce qui suit :
  • il est nécessaire d’utiliser les renseignements personnels;
  • il est pratiquement impossible d’obtenir le consentement;
  • des données pseudonymisées seront utilisées dans la mesure du possible;
  • les avantages sociétaux l’emportent manifestement sur les ingérences dans la vie privée;
  • une EFVP a été réalisée au préalable;
  • l’organisation a avisé le Commissariat au préalable;
  • l’organisation a diffusé un avis public décrivant ses pratiques;
  • les individus conservent le droit de s’opposer.

Fournisseurs de services

• Cette disposition définit des exigences claires pour les fournisseurs de services (« le mandataire ou l’exécutant du contrat ») afin de protéger l’information et préciser les responsabilités de ceux-ci.
• Dès le départ, les entreprises ont accueilli avec satisfaction cette clarification des attentes à l’égard du recours à des fournisseurs de services ou des mandataires.
• Selon le projet de loi no 64, une personne peut, sans le consentement de la personne concernée, communiquer un renseignement personnel à un fournisseur de services si cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat.
• Le projet de loi^{Note de bas de page 21} exige que les accords d’impartition soient assujettis à une entente écrite entre l’entreprise et le fournisseur de services, qui doit stipuler :
  • une description des mesures prises par le fournisseur de services pour assurer la confidentialité des renseignements personnels (p. ex. une description des mesures de sécurité);
  • que le fournisseur de services n’utilisera les renseignements qu’aux fins de la prestation des services et ne conservera pas ces renseignements après l’expiration du contrat;
  • l’obligation pour le fournisseur de services d’informer sans délai le responsable de la protection des renseignements personnels de toute violation ou tentative de violation de la confidentialité du renseignement communiqué et de permettre au responsable de la protection des renseignements personnels d’effectuer toute vérification relative à cette confidentialité.
• Nota : Les règles relatives à la communication de renseignements à l’extérieur du Québec s’appliqueraient si le fournisseur de services était situé à l’extérieur de la province de Québec.

Transaction commerciale

• Nous appuyons cette disposition.
• En pratique, il est difficile d’obtenir le consentement dans de telles circonstances.
  • Cette disposition s’harmonise à l’exception prévue dans d’autres juridictions.
  • Cette disposition est semblable aux dispositions de la LPRPDE qui traitent des transactions commerciales éventuelles (par. 7.2(1)) et effectuées (par. 7.2(2)).
  • Il y a une exception au consentement lié aux transactions commerciales^{Note de bas de page 22} – lorsqu’il y a un transfert de propriété d’une partie ou de la totalité d’une entreprise.
  • Une entente doit préalablement être conclue avec l’autre partie, dans laquelle cette dernière s’engage :
    • à n’utiliser le renseignement qu’aux seules fins de la conclusion de la transaction commerciale;
    • à ne pas communiquer le renseignement sans le consentement de la partie concernée, à moins d’y être autorisée par la présente loi;
    • à prendre les mesures nécessaires pour assurer la protection du caractère confidentiel du renseignement;
    • à détruire le renseignement si la transaction commerciale n’est pas conclue ou si l’utilisation de celui-ci n’est plus nécessaire aux fins de la conclusion de la transaction commerciale^{Note de bas de page 23}.
• Lorsque la transaction commerciale est conclue et que l’autre partie souhaite continuer d’utiliser le renseignement ou le communiquer, cette partie ne peut l’utiliser ou le communiquer que conformément à la Loi sur le privé. Dans un délai raisonnable après la conclusion de la transaction commerciale, elle doit aviser la personne concernée qu’elle détient maintenant un renseignement personnel la concernant en raison de la transaction^{Note de bas de page 24}.

Compatibilité avec le RGPD

• Le projet de loi no 64 du Québec introduit plusieurs nouvelles exceptions au consentement. Bien que le projet de loi du Québec semble suivre l’exemple du RGPD à plusieurs égards, tel n’est pas le cas pour toutes les nouvelles exceptions au consentement.
• Le projet de loi no 64 poursuit l’orientation existante de la loi québécoise basée sur le consentement, selon laquelle l’utilisation ou la divulgation de renseignements est interdite, à moins que la personne concernée n’ait donné son consentement.
• Le projet de loi ajoute un certain nombre d’exceptions au consentement à celles présentement en vigueur, mais n’introduit pas de bases légales de traitement des données comme celles que l’on retrouve dans le RGPD, ni ne semble viser à refléter les bases légales du RGPD.
• En fait, une nouvelle exception au consentement pour les transactions commerciales semble plutôt s’aligner sur des mesures déjà en vigueur dans les lois canadiennes. Les exigences proposées sous cette disposition reflètent étroitement celles des lois du secteur privé de la Colombie-Britannique et de l’Alberta, et de la LPRPDE.
• Certes, l’exception au consentement du projet de loi no 64 qui vise les fins compatibles et les fins d’étude, de recherche ou de production de statistiques, agirait d’une manière semblable à une disposition du RGPD, qui interdit que les données soient traitées ultérieurement de manière incompatible aux finalités déterminées initialement.
• Celui-ci précise que le traitement ultérieur à des fins archivistes, dans l’intérêt public, à des fins de recherche scientifique ou historique ou de statistiques n’est pas considéré comme étant incompatible.
• En outre, les exceptions pour l’utilisation ou la communication des renseignements sans le consentement pour fins d’étude, de recherche ou de production de statistiques pourraient dans certains cas appuyer l’intérêt public.
• Quant à la question de savoir si les nouvelles exceptions du projet de loi no 64 répondraient aux exigences du RGPD reliées aux bases légales sur lesquelles peuvent se fonder un traitement de données personnelles, en particulier celles de l’intérêt légitime ou de la « mission d’intérêt public », ceci serait déterminé au cas par cas.

Le projet de loi no 64 plus strict que le RGPD?

• Plusieurs intervenants vous mettent en garde contre l’adoption d’une loi qui serait plus restrictive que le RGPD ou d’autres lois de notre zone économique.
• À ce sujet, ma suggestion serait de ne pas craindre d’utiliser le RGPD comme source d’inspiration, mais d’éviter d’aller au-delà sauf si vous le jugez nécessaire (le RGPD n’étant pas parfait).
• Parmi les domaines ou le projet de loi 64 serait plus exigeant que le RGPD :
  • La circulation des données hors frontière : c’est bien de demander aux entreprises d’évaluer l’impact sur la vie privée dans une EFVP, mais le projet de loi est moins souple que le RGPD en ne prévoyant pas de mécanismes d’autorisation des transferts tels que les clauses types, les codes de conduite et règles d’entreprise contraignantes.
  • L’obligation de procéder à une EFVP : le RGPD limite cette obligation aux traitements de données susceptibles d’engendrer un risque élevé pour les droits et libertés.
  • Décisions automatisées : dans le RGPD, le droit de ne pas faire l’objet d’une décision automatisée se limite aux décisions « produisant des effets juridiques » ou affectant la personne « de manière significative ». De plus, ce droit ne s’applique pas dans certaines situations, par exemple lorsque la décision est nécessaire à l’exécution d’un contrat.
  • À cet égard, le projet de loi 64 s’applique à toutes les décisions fondées exclusivement sur un traitement automatisé, sans exception, mais il ne donne pas un droit d’opposition mais plutôt de transparence.
• Parmi les domaines ou vous pourriez vouloir adopter des règles plus exigeantes que le RGPD :
  • Confidentialité par défaut : l’article 9.1 de la Loi sur le privé exige des entreprises de s’assurer que, par défaut, les paramètres assurent le plus haut niveau de confidentialité, sans intervention de la personne concernée. Le RGPD exige de mettre en œuvre des « mesures appropriées » destinées à mettre en œuvre les principes de protection des données de façon contextuelle.

Renseignement dépersonnalisé ou anonymisé

• Le projet de loi no 64 prévoit qu’un renseignement personnel est dépersonnalisé lorsque ce renseignement ne permet plus d’identifier directement la personne concernée^{Note de bas de page 25}.
• Un renseignement personnel est anonymisé lorsqu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement une personne^{Note de bas de page 26}.
• Le projet de loi permet l’utilisation interne d’un renseignement personnel sans le consentement de l’intéressé si cette utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et que le renseignement est dépersonnalisé^{Note de bas de page 27}.
• L’anonymisation est proposée comme option de rechange à la destruction d’un renseignement personnel lorsque les fins auxquelles celui-ci a été recueilli ou utilisé sont accomplies^{Note de bas de page 28}.
• Une infraction est commise lorsque quiconque procède ou tente de procéder à l’identification d’une personne physique à partir de renseignements dépersonnalisés ou anonymisés sans l’autorisation de la personne ou de l’organisme public les détenant. Cette infraction est passible d’amendes d’ampleur variable selon le secteur^{Note de bas de page 29}.
• Étant donné que les informations dépersonnalisées peuvent toujours être repersonnalisées, selon une échelle de probabilités, la Loi devrait continuer à s'y appliquer, tout en offrant une flexibilité accrue pour son utilisation grâce à des exceptions. Le projet de loi no 64 fait cela, tout en offrant une protection grâce à un pouvoir d'application accru pour la CAI et des amendes importantes pour la repersonnalisation ou l'utilisation d'informations anonymisées.
• Cela dit, nous recommandons que la définition soit modifiée pour tenir compte :
  • du fait que de l’information peut être combinée avec d'autres informations pour identifier une personne et devrait être prise en compte dans une évaluation permettant de déterminer si elle permet à une personne d'être directement identifiée;
  • d’une exigence pour les organisations à mettre en place des mesures pour assurer des cloisonnements entre les informations dépersonnalisées et les informations qui leur permettent d'être associées à une personne spécifique.
• D’autre part, bien qu’une anonymisation réelle soit possible, en particulier dans le contexte de données massives, elle est néanmoins remise en question.
  • Dans son livre blanc sur la LPRPDE, ISDE affirme ce qui suit : « L’idée qu’il soit pratiquement atteignable d’anonymiser des renseignements de sorte que ceux-ci ne soient plus visés par les dispositions législatives en matière de protection de la vie privée ne tient pas la route. »
• Nous ne sommes pas en faveur de l’anonymisation comme mesure de rechange à la destruction. En exigeant qu’un renseignement soit détruit lorsque les fins auxquelles il a été recueilli ou utilisé sont accomplies, on élimine en pratique le risque que ce renseignement soit utilisé de manière inappropriée à long terme.

Responsabilité démontrable

• En matière de responsabilité, le projet de loi prévoit que « la personne ayant la plus haute autorité » au sein d’un organisme public ou d’une entreprise veille au respect et à la mise en œuvre de la loi. Ces fonctions peuvent être déléguées en tout ou en partie.
• En outre, l’organisme public ou l’entreprise doit élaborer des règles, politiques, directives ou guides encadrant la gouvernance à l’égard des renseignements personnels et les publier sur son site Internet^{Note de bas de page 30}.
• Le projet de loi prévoit de plus que cette responsabilité doit être démontrable :
  • Le projet de loi donne à la CAI le pouvoir d’exiger tout renseignement ou document afin de vérifier le respect de la loi ou de ses règlements (sans seuil). Plus précisément, il habilite la CAI à demander tout renseignement « permettant de vérifier l’application » de la loi à toute partie, qu’elle soit assujettie ou non à la loi^{Note de bas de page 31}.
  • De plus, dans les secteurs public^{Note de bas de page 32} et privé^{Note de bas de page 33}, les organisations sont tenues de procéder à une évaluation des facteurs relatifs à la vie privée de tout projet de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

Pouvoirs d’ordonnance

• À l’heure actuelle, la CAI a des pouvoirs d’ordonnance en vertu de la Loi sur le public et de la Loi sur le privé^{Note de bas de page 34}.
• En ce qui a trait au signalement obligatoire des atteintes, en vertu du projet de loi no 64, la CAI pourrait également ordonner à toute personne, après lui avoir fourni l’occasion de présenter ses observations, l’application de toute mesure visant à protéger les droits des personnes concernées qui leur sont accordés par la loi^{Note de bas de page 35}.

Sanctions administratives pécuniaires

• Le régime proposé par le projet de loi no 64 prévoit des sanctions administratives pécuniaires importantes, mais il contient également des dispositions pour assurer l’équité :
  • La CAI doit publier un cadre général d’application des sanctions administratives pécuniaires.
  • La décision d’imposer une sanction administrative pécuniaire doit être guidée par des critères établis dans la loi, notamment la gravité du manquement, la sensibilité du renseignement, le nombre de personnes concernées, etc.
  • La CAI doit aviser l’organisation de la non-conformité avant d’imposer une sanction administrative pécuniaire et l’organisation peut présenter des observations.
  • L’organisation peut demander à la CAI le réexamen de la décision.
  • Il est possible de contester la décision de la CAI devant la Cour du Québec.

Dispositions pénales

• Le projet de loi no 64 remplace les dispositions pénales de la Loi sur le privé pour inclure ce qui suit^{Note de bas de page 36} :

  91. Commet une infraction et est passible d’une amende de 5 000 $ à 50000 $ dans le cas d’une personne physique et, dans les autres cas, de 15 000 $ à 25 000 000 $ ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé, quiconque :

  1° recueille, détient, communique à un tiers ou utilise un renseignement personnel en contravention à la présente loi;

  2° omet de déclarer, s’il est tenu de le faire, un incident de confidentialité à la Commission ou aux personnes concernées;

  3° procède ou tente de procéder à l’identification d’une personne physique à partir de renseignements dépersonnalisés sans l’autorisation de la personne les détenant ou à partir de renseignements anonymisés;

  4° s’il est un agent de renseignements personnels, contrevient aux articles 70, 70.1, 71, 72, 78, 79 ou 79.1;

  5° entrave le déroulement d’une enquête ou d’une inspection de la Commission ou l’instruction d’une demande par celle-ci en lui communiquant des renseignements faux ou inexacts, ou en omettant de lui communiquer des renseignements qu’elle requiert ou autrement;

  6° contrevient à l’article 81.1;

  7° refuse ou néglige de se conformer, dans le délai fixé, à une demande transmise en application de l’article 81.2;

  8° contrevient à une ordonnance de la Commission.

• Le projet de loi remplace les articles 158 à 162 de la Loi sur le public pour inclure ce qui suit^{Note de bas de page 37} :

  158. Commet une infraction et est passible d’une amende de 1 000 $ à 10 000 $ dans le cas d’une personne physique et de 3 000 $ à 30 000 $ dans les autres cas quiconque :

  1° refuse ou entrave l’accès à un document ou à un renseignement accessible en vertu de la loi, notamment en détruisant, modifiant ou cachant le document ou en retardant indûment sa communication;

  2° donne accès à un document dont la loi ne permet pas l’accès ou auquel un organisme public, conformément à la loi, refuse de donner accès;

  3° informe une personne de l’existence d’un renseignement dont elle n’a pas le droit d’être informée en vertu de la loi;

  4° entrave l’exercice des fonctions du responsable de l’accès aux documents ou de la protection des renseignements personnels;

  5° recueille ou utilise des renseignements personnels en contravention à la loi;

  6° omet de déclarer, s’il est tenu de le faire, un incident de confidentialité à la Commission ou aux personnes concernées;

  7° est en défaut de respecter les conditions prévues à une entente conclue en application de l’article 67.2.3.

  159. Commet une infraction et est passible d’une amende de 5 000 $ à 50 000 $ dans le cas d’une personne physique et de 15 000 $ à 150 000 $ dans les autres cas quiconque :

  1° communique des renseignements personnels en contravention à la loi;

  2° procède ou tente de procéder à l’identification d’une personne physique à partir de renseignements dépersonnalisés sans l’autorisation de l’organisme public qui les détient ou à partir de renseignements anonymisés;

  3° entrave le déroulement d’une enquête ou d’une inspection de la Commission ou l’instruction d’une demande par celle-ci en lui communiquant des renseignements faux ou inexacts, ou en omettant de lui communiquer des renseignements qu’elle requiert ou autrement;

  4° refuse ou néglige de se conformer, dans le délai fixé, à une demande transmise en application de l’article 127.1;

  5° contrevient à une ordonnance de la Commission.

Droit privé d’action^{Note de bas de page 38}

• Il est important que les particuliers aient le droit de demander réparation devant les tribunaux en cas de violation de la loi.
• Le projet de loi no 64 crée un droit privé d’action (aux termes de la Loi sur le privé) d’obtenir la réparation d’un préjudice résultant d’une atteinte illicite à un droit conféré par la loi ou les dispositions relatives à la vie privée du Code civil du Québec, à moins que le préjudice ne résulte d’une « force majeure »^{Note de bas de page 39}.
• Il prévoit également^{Note de bas de page 40} l’octroi de dommages-intérêts punitifs d’au moins 1 000 $ lorsque l’atteinte est intentionnelle ou résulte d’une faute lourde.
• À l’heure actuelle, la LPRPDE prévoit qu’une personne a le droit de faire appel à la Cour fédérale pour obtenir des dommages-intérêts, mais seulement à la suite d’une enquête du Commissariat et d’un rapport de conclusions ou d’un avis de fin d’examen.
• Le Commissariat a recommandé que la LPRPDE soit modifiée pour inclure un droit privé d’action pour une personne.

Déclaration des atteintes à la vie privée

Projet de loi no 64

• Il renferme une obligation de signaler un incident^{Note de bas de page 41}, semblable à celle de la LPRPDE, pour chacune des lois.
• Renferme l’obligation d’aviser la CAI et les personnes concernées lorsqu’un « incident de confidentialité » présente un « risque qu’un préjudice sérieux soit causé » à l’égard des personnes.
• Le « risque qu’un préjudice sérieux soit causé » est évalué à l’aide de facteurs semblables à ceux du risque réel de préjudice grave, à savoir la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables^{Note de bas de page 42}.
• À l’instar de la LPRPDE, les entreprises doivent tenir un registre des violations qu’elles devront fournir à la CAI si elle en fait demande.
• Le signalement couvre l’utilisation non autorisée d’un renseignement personnel, alors que l’approche commune générale au Canada et ailleurs en ce qui concerne les signalements (y compris en vertu du RGPD et des lois des États américains sur le signalement des atteintes) est focalisée sur l’accès non autorisé à un renseignement personnel, sa divulgation ou sa perte^{Note de bas de page 43}.

LPRPDE

• Le signalement des incidents est obligatoire depuis 2018.
• Statistiques 2019-2020
  • Reçu 678 signalements d’incidents touchant environ 30 millions de documents sur les Canadiens (plus du double de l’année précédente).
  • Trois secteurs industriels représentaient 50 % de tous les signalements d’incident : 19 % du secteur financier; 17 % des télécommunications; 14 % des ventes et de la vente au détail.
  • La moitié des signalements concernaient des accès non autorisés par des acteurs malveillants ou des menaces internes, souvent en raison d’espionnage d’employés ou de piratage d’ingénierie sociale.
• Une organisation doit déclarer au Commissariat toute atteinte aux mesures de sécurité impliquant un renseignement personnel dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’une personne.
  • L’organisation doit également informer la personne de cette atteinte impliquant son renseignement personnel^{Note de bas de page 44}.
• L’atteinte aux mesures de sécurité est définie comme suit : communication non autorisée ou perte de renseignements personnels, ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation prévues à l’article 4.7 de l’annexe 1 de la LPRPDE ou du fait que ces mesures n’ont pas été mises en place.
• Facteurs du risque réel de préjudice grave : 1) le degré de sensibilité des renseignements personnels visés par l’atteinte et 2) la probabilité que ceux-ci aient été mal utilisés ou soient en train ou sur le point de l’être.
• Les organisations doivent tenir et conserver un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la gestion.

LPRP

• Pas une loi mais une politique administrative. Les organisations du secteur public doivent aviser le Commissariat et le Secrétariat du Conseil du Trésor (SCT) d’une atteinte aux mesures de sécurité lorsqu’elle pourrait causer un dommage ou un préjudice grave.
• En 2019-2020 :
  • 341 signalements d’atteinte (comparativement à 155 l’année précédente).
• Nous croyons que le nombre de signalements d’atteinte à la vie privée est inférieur au nombre réel de signalements.
  • plusieurs grandes institutions, dont certaines détiennent des volumes importants de renseignements personnels, parfois de nature très sensible, ne font pas ou très peu de signalements.
• Dans le contexte de la réforme de la LPRP, nous avons demandé que le secteur public soit assujetti à un régime semblable au secteur privé.

Délais prescrits pour le signalement des atteintes

• Le projet de loi 64 stipule qu’un organisme public ou privé qui a des motifs de croire que s’est produit un incident de confidentialité doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter de nouveaux incidents de même nature. Le projet de loi mentionne aussi que si l’incident présente un risque qu’un préjudice sérieux soit causé, l’organisme doit, avec diligence, aviser la CAI.
• Nous croyons plutôt que la nouvelle loi devrait stipuler que la CAI devrait être avisée « aussitôt que possible après qu’un incident survienne ». La raison est simple : la rapidité est cruciale pour mettre en place, à une échelle individuelle, les mesures de protection appropriées à la suite d’un incident de confidentialité.
• Aux termes de la LPRPDE, le signalement doit être fait « le plus tôt possible après que l’organisation a conclu qu’il y a eu une atteinte ». Cela se déroule souvent en deux étapes. Tout d'abord, nous recevons un avis préliminaire (que nous nous attendons à recevoir après quelques jours), suivi d’un signalement d’atteinte officiel (généralement dans les deux semaines).
• L’avis initial nous donne l’occasion de faire part à l’organisation de nos attentes envers le signalement d’atteinte qui suivra.
• À l’heure actuelle, nous recevons les signalements plus tard que ce qui est souhaitable. Au total, 42 % (148) des atteintes signalées en vertu de la LPRPDE l'ont été 3 mois ou plus après la détection de l’atteinte. Du côté du secteur public, 48 % (50) des atteintes ont été signalées 3 mois après leur détection.

  LPRPDE : Depuis le début de l'année, nous avons reçu 355 signalements :

  • 31 % (109) ont été soumis en 1 mois ou moins;
  • 27 % (98) ont été soumis entre 1 et 3 mois;
  • 42 % (148) ont été soumis après 3 mois ou plus.

  LPRP : Depuis le début de l'année, nous avons reçu 106 signalements :

  • 9 % (10) ont été soumis en 1 mois ou moins;
  • 43 % (46) ont été soumis entre 1 et 3 mois;
  • 48 % (50) ont été soumis après 3 mois ou plus.

Prise de décisions automatisée

• C’est l’un des sujets abordés dans le cadre de notre consultation sur l’intelligence artificielle. Nous poursuivons notre examen des droits particuliers qui permettraient d’assurer une protection adéquate de la vie privée.
• La prise de décisions automatisée peut présenter des risques importants pour la vie privée et les droits de la personne. Les humains présentent des qualités qui leur sont propres, comme la raison et l’empathie, et ces qualités peuvent être absentes des décisions prises par un ordinateur. Quand une décision automatisée est prise en se fondant sur des renseignements personnels, les individus peuvent avoir du mal à déterminer comment cette décision a été prise. Des erreurs qui ne seraient pas commises par un humain peuvent se produire, dont certaines peuvent avoir des répercussions réelles et importantes sur les individus.
• Selon le projet de loi no 64^{Note de bas de page 45}, une entreprise ou un organisme public qui utilise des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement informatisé des renseignements doit, au moment de la décision ou avant, en informer la personne concernée. L’entreprise ou l’organisme public doit aussi, à la demande de la personne concernée, l’informer :
  • des renseignements personnels utilisés pour rendre la décision;
  • des raisons ayant mené à la décision;
  • de son droit de faire rectifier les renseignements personnels utilisés.
• Dans la Loi sur le privé, la personne concernée doit avoir l’occasion de présenter ses observations à un membre du personnel de l’entreprise en mesure de réviser la décision^{Note de bas de page 46}.
• Le projet de loi no 64 se distingue du RGPD en ce sens que l’article 22 du RGPD interdit « toute décision fondée exclusivement sur un traitement automatisé », sauf si la décision est fondée sur une de trois exceptions, par exemple si elle est fondée sur le consentement explicite de la personne concernée. Le projet de loi no 64 ne contient pas une interdiction, mais plutôt une exigence de déclaration^{Note de bas de page 47}.
• Le projet de loi no 64 est semblable au RGPD en ce sens que les droits prévus dans le contexte de décisions automatisées se limitent aux cas où une décision est fondée exclusivement sur des moyens automatisés, et ne tient pas compte de la moindre mesure dans laquelle de tels systèmes peuvent avoir joué un rôle dans la décision. Cela entraîne le risque que les organisations puissent nommer un « intervenant humain » non significatif pour contourner cette disposition. Il s’agit d’une lacune importante qui devrait être rectifiée en supprimant le déterminant « exclusivement » dans le libellé portant sur les droits dans le contexte des prises de décisions automatisées.
• De plus, le sens de l’expression « occasion de présenter des observations » n’est pas clair, car le libellé semble plus ambigu que celui du RGPD, dans le cadre duquel les personnes ont le droit d’exprimer leur point de vue et de contester la décision auprès d’un intervenant humain. Il est recommandé que ce droit soit défini avec davantage de précision, afin que les individus puissent contester les prises de décisions à leur égard quand celles-ci sont automatisées.
• Le projet de loi semble se rapprocher davantage de ce que le gouvernement fédéral propose dans le livre blanc sur la LPRPDE, soit informer les individus du recours à la prise de décisions automatisée, des facteurs en cause et, lorsque la décision a une incidence, de la logique qui sous-tend la décision.

Profilage et géolocalisation

• Le projet de loi no 64 exige une transparence accrue de la part de quiconque recueille des renseignements personnels auprès d’une personne en ayant recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage de celle-ci. Dans ces cas, la personne doit être informée : 1) du recours à une telle technologie; 2) des moyens offerts, le cas échéant, pour désactiver les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage^{Note de bas de page 48}.
• On définit le profilage comme étant « la collecte et l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne^{Note de bas de page 49} ».
• Effectuer un profilage au sujet d’une personne et faire des inférences au sujet de ses intérêts et de ses comportements, que ce soit pour prendre des décisions à son égard ou pour prédire ses actions, est une forme envahissante de traitement des renseignements personnels – puisque la personne concernée n’a pas fourni l’information elle-même. De plus, des données précises sur l’emplacement peuvent en révéler beaucoup au sujet d’individus ou de groupes, et pourraient notamment être plus sensibles et avoir un impact disproportionné sur des populations vulnérables ou des groupes particuliers d’individus.
• La définition de profilage devrait également inclure la création de renseignements secondaires telles des inférences et des prédictions, puisqu’il s’agit là d’éléments clés du profilage, particulièrement à l’ère de l’intelligence artificielle.
• Bien que le projet de loi représente un grand pas dans la bonne direction, il se limite à une obligation de transparence. Au fédéral, nous avons recommandé que l’utilisation des profils raciaux soit interdite si elle contrevient aux droits de la personne, dont le droit à l’égalité. La recommandation de la Commission québécoise des droits de la personne que le commissaire a appuyée dans sa déclaration devant la commission de l’Assemblée nationale étudiant le projet de loi no 64 arriverait à une fin semblable.

Biométrie

• Des exigences précises relatives à la biométrie figurent actuellement dans la Loi concernant le cadre juridique des technologies de l’information du Québec. La Loi requiert d’une part un consentement explicite pour vérifier l'identité à l'aide de mesures biométriques en utilisant uniquement les caractéristiques minimales nécessaires. La Loi restreint aussi la prise de décision concernant un individu en utilisant toute autre information révélée à l'aide des caractéristiques biométriques^{Note de bas de page 50}.
• De plus, la Loi exige que la création d'une base de données contenant des caractéristiques biométriques soit divulguée au préalable à la CAI^{Note de bas de page 51}. Le projet de loi no 64 modifie ceci en exigeant qu'une telle notification ait lieu au moins 60 jours avant la mise en service de ces bases de données^{Note de bas de page 52}.
• En vertu de la LPRPDE, les données biométriques sont généralement considérées comme étant des renseignements sensibles et un consentement explicite est requis. Si, d’une part, nous sommes en faveur d’une approche contextuelle à la sensibilité, certains types de renseignements précis sont sensibles dans la grande majorité des contextes, et la Loi concernant le cadre juridique des technologies de l’information le rend explicite, ce qui apporte une plus grande clarté.

Examen du Commissariat de l’application « Alerte COVID »

• Dans la déclaration fédérale-provinciale-territoriale de mai 2020 sur les applications de traçage des contacts exposés à la COVID-19, rédigée par les commissaires à la protection de la vie privée du Canada, nous avons clairement indiqué que nous estimions qu’il était important pour les commissaires de publier une déclaration commune aux Canadiens, car ces applications présentent des risques importants pour la vie privée.
• Bien que les lois applicables en matière de vie privée doivent être respectées, certaines d'entre elles n'offrent pas un niveau de protection efficace adapté à l'environnement numérique. Cela comprend les lois fédérales sur la protection de la vie privée.
• Le gouvernement du Canada a sollicité nos conseils sur la façon de développer son application de notification des expositions à la COVID-19 (Alerte COVID) de manière à ce que celle-ci soit sensible à la protection de la vie privée.
• Lors de notre examen de l'application, le gouvernement a accepté plusieurs de nos recommandations et nous avons conclu que l’application respectait tous nos principes recommandés.
• Cela dit, bien que la conception de l'application soit bonne et que le gouvernement ait accepté de faire l'objet d'un examen indépendant eu égard à sa mise en œuvre, le gouvernement n'était pas tenu de prendre ces engagements.
• Le gouvernement a choisi de respecter les principes énoncés dans nos documents d’orientation, car la confiance du public est essentielle au succès de l’application. Cependant, sans des lois solides, d'autres applications ou programmes similaires pourraient être introduits à l'avenir qui ne sont pas aussi sensibles à la confidentialité.