Dépôt du PL-64 et l’analyse d’impact réglementaire
- Lors de la séance du 12 juin 2020, la ministre Sonia Lebel a présenté le Projet de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (PL-64) à l’Assemblée nationale;
- La modernisation de ce régime législatif, rendue nécessaire puisqu’il n’a pas fait l’objet d’une révision profonde depuis 1994, prend en compte les différents enjeux soulevés par l’évolution technologique et le contexte numérique et vise à renforcer les règles entourant la protection des renseignements personnels;
- À la suite du dépôt du PL-64, le CPQ a consulté ses membres et a transmis le 15 juillet dernier des commentaires préliminaires concernant les impacts financiers et le fardeau administratif des entreprises en lien avec l’analyse d’impact réglementaire, au Secrétariat à l’accès à l’information et à la réforme des institutions démocratiques relevant du ministère du Conseil exécutif;
- En bref, l’analyse d’impact règlementaire a soulevé les enjeux suivants :
- Coût d’implantation et les coûts récurrents sous-estimés;
- Manque d’adéquation entre les mesures proposées et la taille des entreprises;
- Responsabilités accrues des entreprises sans égard au contrôle effectif sur les données;
- Pertes financières liées au COVID et les coûts importants des mesures proposées;
- Manque d’effectifs RH et lourdeur administrative des mesures.
Principales modifications apportées par le PL-64
- Bonification des informations transmises aux citoyens
- Droit à la portabilité
- Droit de rectification, à l’effacement et au déférencement
- Droit d’opposition
- Encadrement des décisions fondées uniquement sur un traitement informatisé
- Transparence à l’égard des technologies comprenant des fonctions d’identification, de localisation et de profilage
- Transparence à l’égard des incidents de confidentialité
- Renforcement de la gouvernance
- Destruction des renseignements personnels
- Contrats de service ou d’entreprise
- Protection de la vie privée dès la conception (Privacy by design)
- Protection de la vie privée par défaut (Privacy by default)
- Encadrement des agents de renseignements personnels
- Notion de consentement distinct
- Renseignements personnels sensibles
- Consentement pour les jeunes de moins de 14 ans
- Sanctions administratives pécuniaires
- Sanctions pénales
- Communication à des fins de recherche
- Renseignements anonymisés et dépersonnalisés
- Communications à l’extérieur du Québec
- Communication pour motifs de compassion
- Communication dans le cadre de transaction commerciale
- Retrait de la notion de dossier
- Allégement administratif de la CAI
Enjeux soulevés par les membres du CPQ en lien avec les consultations en commission parlementaire qui pourraient avoir lieu à l’automne 2020
-
En accord avec la modernisation du régime mais le Québec doit faire partie d’une action concertée
- Les employeurs sont en faveur d’une modernisation du régime qui date de 1994 mais il est nécessaire que les dispositions législatives du Québec, des provinces et du fédéral, soient cohérentes et harmonisées.
-
Cohérence entre les 10 provinces, le fédéral, les ÉU et les alliés économiques
- Pour l’instant le Québec (PL-64) a adopté une approche calquée sur le RGDP de l’union européenne qui a été négociée entre 27 pays, mais il est primordial que les dispositions législatives du Québec puissent être cohérentes avec le gouvernement fédéral canadien, les provinces du Canada, les États-Unis et les alliés économiques avec qui nous transigeons;
-
Coûts d’implantation et de conformité importants versus l’assurance faible de la protection des données
- Est-ce que le Québec s’est vraiment posé la question si le régime RGDP européen est adapté à la réalité du Québec et de ses partenaires commerciaux et est-ce vraiment le seul modèle qui réponde aux besoins des entreprises qui ont leur siège social au Québec ou pour celles qui transigent avec des entreprises du Québec?
-
Solution de l’identification numérique
- Les renseignements personnels sont un grand attrait pour les fraudeurs mais il existe des méthodes pour dénominaliser les données personnelles. Ne serait-ce pas plus prudent de développer ces mesures de protection avant d’imposer des pénalités et des encadrements législatifs très contraignants qui ne garantissent finalement aucune protection contre la fraude?
-
Pénalités et vide juridique
- Il y a un manque d’harmonisation et de proportionnalité avec ce qui se fait ailleurs au niveau pancanadien. Les entreprises pourraient par exemple recevoir une multiplication de pénalités pour la même situation factuelles. Qui plus est, quelque soit la sévérité des pénalités pour les entreprises, le PL-64 n’apporte aucunement une meilleure protection des données personnelles contre les fraudeurs.
-
Portée extraterritoriale de la loi québécoise
- Une analyse de gestion des risques ne semble pas avoir été envisagée en regard de la portée extraterritoriale de la loi québécoise. Les tests d’équivalence démontrent que le PL-64 est beaucoup plus restrictif au Québec qu’en Europe.
-
Risque de complexifier l’administration des entreprises
- La complexité administrative imposée par le PL-64 n’apporte pas de plus grande garantie de sécurité de la protection des renseignements personnels pour le public en général.
-
Risques au niveau économique
- Frein à l’innovation pour les entreprises du Québec. Le processus impliquera de longs délais pour la transmission des données pour le Québec versus les autres provinces canadiennes et les autres compétiteurs internationaux.
-
Aucune autre avenue ne semble avoir été considérée pour minimiser les risques au niveau de la sécurité des données
- Par exemple, fournir des lignes directrices claires aux entreprises pour leur permettre de mieux encadrer la gestion des données. Ou encore, fournir de la formation et des informations permettant d’aider les entreprises à protéger les données, etc.
-
Notion de consentement spécifique et tests d’équivalence
- Cette notion n’existe pas dans la législation fédérale. Le PL-64 exige un consentement spécifique pour chaque sujet distinct. De plus, les usages permis sans consentement sont restreints et cela risque d’avoir un lourd impact sur la compétitivité et la flexibilité des entreprises du Québec qui transigent au Canada ou à l’extérieur du pays et sur la flexibilité. Aucun test d’équivalence ne semble avoir été fait à cet effet.
-
Portabilité des données
- Il est nécessaire que le Québec se dote de standards spécifiques qui répondent aux standards nationaux lorsqu’il s’agit de transmettre des données à l’extérieur du Québec.
-
Tests d’équivalence
- Cette notion était déjà présente dans l’ancienne législation mais nous n’avons aucune indication quant à la gestion et les résultats qui en sont découlés par le passé
En résumé (préoccupations des membres)
- Il existe des enjeux importants en matière de protection des renseignements personnels mais il faut s’assurer de bien faire les choses et ne rien précipiter;
- Le fédéral et le Québec doivent discuter ensemble afin de s’assurer d’un arrimage au niveau de la législation et des interventions préalables possibles (harmonisation, cohérence et portabilité des données);
- Il faut travailler de concert avec nos partenaires économiques – Québec – Canada et USA (et autres le cas échéant).
Nous vous invitons à transmettre vos commentaires à Mme Karolyne Gagnon, vice-présidente – Travail et affaires juridiques, à l’adresse [email protected] avant le 22 septembre 2020. Le CPQ souhaite recevoir votre positionnement quant aux consultations en commission parlementaire qui pourraient avoir lieu à l’automne.
Est-ce que cela a été utile ?
OuiNon