Aussi riche en possibilités soit-il, le monde en ligne ne manque pas de risques. C’est particulièrement vrai lorsqu’il s’agit de la confidentialité des données. Les personnes utilisent leurs informations pour accéder à des services et à des plateformes en ligne sans savoir où elles vont, par qui elles sont traitées et si ceux qui les gèrent ont leurs intérêts à cœur.
Il y a le risque d’actes répréhensibles commis par des tiers, par exemple lorsqu’une entreprise utilise des informations personnelles d’une manière contraire à l’éthique, ainsi que le risque émergent d’exposition et de perte pour des tiers, qu’il s’agisse d’organisations affiliées ou de cybercriminels. Dans les deux cas, la vie privée, l’identité, la tranquillité d’esprit et parfois même la sécurité des internautes sont menacées.
Dans le but de protéger ses propres citoyens, la province canadienne du Québec a récemment signé et commencé à adopter une nouvelle loi régionale sur la confidentialité des données. Cet article se penche sur le contexte et le raisonnement qui sous-tendent cette loi, ainsi que sur les implications qu’elle aura pour les organisations qui exercent leurs activités dans l’une des plus grandes régions francophones en dehors de la France.
Conformité à la loi 25 Quebec et consentement aux cookies
Loi 25 Québec : chronologie des événements
Le gouvernement du Québec, comme la plupart des autres juridictions dans le monde, est depuis longtemps conscient de sa responsabilité de protéger les données des citoyens contre ce type d’utilisation abusive. C’est pourquoi il a mis en œuvre plusieurs lois en la matière au fil des ans, les plus importantes étant jusqu’à présent la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé. Établies respectivement en 1982 et 1994, ces lois provinciales établissent des lignes directrices sur la façon dont les entreprises et les organismes du secteur public peuvent traiter les renseignements personnels des individus. Elles suivent les mêmes principes de base que les autres grandes lois sur la protection de la vie privée, à savoir la mise en place de responsabilités pour des pratiques de gestion des données adéquates et l’établissement de mesures de responsabilité que les organisations concernées doivent respecter.
Ces lois ont été mises à jour à plusieurs reprises au fil des ans. La publication officielle de Legis Québec indique les dates des modifications et des dispositions supplémentaires qui remontent aux années 1990. Bien sûr, beaucoup de choses ont changé au cours de cette période de 30 ans – différentes administrations gouvernementales, niveaux croissants d’accessibilité numérique… Google n’a même pas été fondé avant 1998.
L’approche fragmentaire adoptée jusqu’à présent laisse beaucoup de place à l’ambiguïté et à l’interprétation, ce que ni les citoyens ni les entreprises ne souhaitent lorsqu’il s’agit d’une question aussi sensible que la confidentialité des données. C’est pourquoi le gouvernement du Québec a réagi en lançant la nouvelle initiative dont nous discutons aujourd’hui, la loi 25.
Connue à l’origine sous le nom de projet de loi 64 du Québec : Loi visant à moderniser les dispositions législatives relatives à la protection des renseignements personnels, cette loi vise à revitaliser le cadre existant de la province en matière de protection des données personnelles. Elle a subi plusieurs modifications depuis qu’elle a été annoncée pour la première fois en juin 2020 et a été officiellement adoptée en septembre 2021.
L’objectif principal de la loi 25 Québec est double : mettre à jour les lois québécoises sur la protection des données de manière à refléter les progrès technologiques réalisés depuis le début du millénaire, et les aligner sur les normes établies par d’autres pays et accords internationaux.
Il s’agit de combler les principales lacunes concernant les droits des personnes concernées, les exigences en matière de consentement et les mécanismes d’application. Certaines lois existaient déjà, mais les experts s’accordent à dire qu’elles étaient loin d’être suffisamment complètes pour protéger les personnes contre les risques prolifiques d’utilisation abusive des données dans le paysage avancé d’aujourd’hui.
Le fonctionnement de la loi 25 Quebec dans le contexte plus large du droit canadien de la protection de la vie privée
Au niveau national, le Canada est connu pour sa grande loi sur la protection de la vie privée, qui englobe presque tous les aspects de la vie privée : The Personal Information Protection and Electronic Documents Act (PIPEDA). Établie en 2000, elle énonce les règles de consentement que les organisations privées doivent respecter lorsqu’elles recueillent, utilisent ou communiquent les informations personnelles des Canadiens.
La PIPEDA exige également des organisations qu’elles veillent à l’exactitude, à la sécurité et à la transparence des informations personnelles. Les organisations collectent les données personnelles des individus à des fins spécifiques uniquement – qui doivent être divulguées – et l’individu peut demander l’accès à ses données ou des corrections à tout moment. Ces dispositions sont très similaires à celles d’autres législations sur la protection des données dans le monde, comme le RGPD en Europe.
Outre la PIPEDA, chaque province et territoire du Canada dispose de ses propres lois sur la manière dont les organisations peuvent traiter les informations personnelles (à quelques exceptions près). Le Québec se distingue des autres provinces par le fait qu’il est partiellement souverain et qu’il a la capacité de s’affranchir du moule en créant des lois nationales.
Jusqu’à présent, il a appliqué des normes de traitement des données et de protection de la vie privée par le biais de la PIPEDA et de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, ainsi que de la Loi sur la protection des renseignements personnels dans le secteur privé, mentionnées plus haut.
Tout ce qu’il faut savoir sur la loi 25 Québec
La loi 25 du Québec s’applique de manière assez large, protégeant les données personnelles de toute personne dont les données sont gérées sous sa juridiction. Cela inclut les personnes vivant au Québec, les Canadiens d’autres provinces et les citoyens étrangers. Son champ d’application s’étend également aux personnes décédées : leurs dossiers sont protégés jusqu’à 20 ans après leur décès.
Voici un aperçu des droits dont bénéficient les personnes protégées en vertu de la loi 25 :
Le droit au consentement | Loi 25 Quebec
Principe essentiel de toute réglementation en matière de protection des données, la loi 25 confère aux personnes qu’elle protège le “droit de consentir”. Cela signifie qu’elles ont le contrôle sur le traitement de leurs données personnelles et que les entreprises qui souhaitent les obtenir doivent leur demander leur consentement avant de le faire.
Les dispositions québécoises précisent que le consentement doit être “éclairé, spécifique et donné librement” pour être juridiquement valable. Les personnes doivent être âgées d’au moins 14 ans pour donner leur consentement – les enfants plus jeunes sont soumis à des exigences plus strictes.
Le droit à l’oubli
Le “droit à l’oubli” est un concept de plus en plus populaire dans le domaine de la confidentialité des données, en partie à cause de l’expansion rapide de l’internet et du stockage manifestement permanent des données personnelles. Les gens ne veulent pas être toujours associés aux informations qu’ils ont partagées dans le passé et ont donc le droit d’en demander la suppression.
En vertu de la disposition du GDPR relative au “droit à l’effacement”, les responsables du traitement des données doivent effacer toutes les données à caractère personnel relatives à une personne si elles ne sont plus nécessaires ou si la personne en fait la demande. Ils doivent également informer tout tiers auquel les données ont été divulguées de leur effacement. Ce droit ne s’applique que lorsque certaines conditions sont remplies et peut être limité dans des circonstances spécifiques, par exemple lorsque les données sont nécessaires à des fins de recherche ou à des fins juridiques.
La loi 25 du Québec va dans le même sens en établissant les mêmes droits fondamentaux et en définissant des mécanismes spécifiques par lesquels les personnes peuvent demander que les hyperliens qui mènent à leurs informations soient désindexés dans les moteurs de recherche tels que Google.
Le droit d’accès et de rectification
Tout comme le droit à l’oubli, le droit d’accès et de rectification permet aux personnes de s’exprimer sur la manière dont elles sont perçues en ligne et par les responsables du traitement des données. Il stipule que les personnes peuvent demander l’accès aux données à caractère personnel qu’un responsable du traitement détient à leur sujet, ainsi que des informations sur les raisons pour lesquelles ces données sont utilisées et sur les personnes qui y ont accès. Ils peuvent également demander à ce que leurs données personnelles soient modifiées si elles sont inexactes, ambiguës, incomplètes ou obtenues en violation de la loi.
Le droit à la portabilité des données
La “portabilité des données” désigne la possibilité de transférer des informations et des données d’un système ou d’un contrôleur à un autre. Ce droit vise à donner aux personnes un plus grand contrôle sur leurs informations personnelles, ainsi qu’une plus grande liberté de choix en ce qui concerne les services qu’elles utilisent. Par exemple, si une personne souhaite passer d’un fournisseur de courrier électronique à un autre, la portabilité des données lui permettra de le faire sans avoir à saisir manuellement tous ses contacts et autres informations.
La loi 25 donne aux personnes concernées le droit à la portabilité, ainsi que la possibilité de demander que leurs données soient directement transférées à un fournisseur tiers. Dans tous les cas, les informations doivent être transférées dans un format facile à comprendre et auquel les services destinataires peuvent facilement accéder.
Droit à l’anonymat
La loi 25 Québec stipule que les personnes doivent pouvoir accéder aux services de manière anonyme ou pseudonyme dans la mesure du possible. Ce droit est particulièrement important à l’ère numérique, car les entreprises tentent de plus en plus de suivre les utilisateurs et leur comportement. Le droit à l’anonymat contribue à protéger les individus d’une surveillance ou d’une manipulation non désirée par des tiers, en leur permettant d’avoir une plus grande intimité et un meilleur contrôle sur leurs données.
Droits sur les décisions automatisées
L’intelligence artificielle relevant de moins en moins de la science-fiction et de plus en plus de la réalité, des juridictions comme le Québec s’inquiètent des conséquences que son utilisation généralisée pourrait avoir sur la confidentialité des données.
La loi 25 Québec stipule que nul ne peut faire l’objet d’une décision fondée exclusivement sur le traitement automatisé de ses données à caractère personnel s’il n’y a pas consenti au préalable. Cela signifie que, comme pour le traitement normal des données, les organisations doivent obtenir une autorisation avant de donner les rênes à leurs applications d’IA.
En outre, les personnes concernées doivent également être informées de la logique et de la finalité d’une décision automatisée avant d’y consentir. Ils ont le droit de demander une intervention humaine en cas de décision incorrecte, ou de contester la décision automatisée. Ce droit est lié au droit de rectification, mais s’applique spécifiquement aux erreurs potentielles commises par la technologie automatisée.
Protection de la vie privée par défaut
La protection de la vie privée par défaut, parfois assimilée à la protection de la vie privée dès la conception, est un concept de renommée mondiale qui, comme par hasard, trouve ses racines au Canada. Le cadre a été développé par la commissaire à l’information et à la protection de la vie privée de l’Ontario (Canada), Mme Ann Cavoukian, dans les années 1990, et a depuis été adopté par un certain nombre d’organismes de réglementation dans le monde entier.
Le principe de la protection de la vie privée par défaut vise à garantir que les données collectées par les organisations auprès des utilisateurs ou des clients sont toujours protégées par des mesures de sécurité appropriées, qui constituent une priorité absolue. La clé réside dans le nom : par défaut, les organisations doivent utiliser les niveaux de sécurité les plus élevés pour toutes les données de leurs clients, sans qu’il soit nécessaire d’y adhérer ou de prendre des mesures supplémentaires.
La loi 25 du Québec reprend les principes de la protection de la vie privée par défaut et exige des organisations qu’elles adhèrent au concept de “protection de la vie privée dès la conception” dans le cadre de leurs activités. La loi canadienne sur la protection des renseignements personnels et les documents électroniques (PIPEDA) reconnaît également cette norme, exigeant des entreprises qu’elles mettent en place des mesures de protection appropriées lors de la collecte, de l’utilisation ou de la divulgation de données personnelles.
Gestionnaire de Cookies Consent | Essai gratuit de 2 semaines
Faites un essai gratuit de 2 semaines pour nos forfaits payants ou créez un compte gratuit…
Se préparer à la loi 25 Québec
La loi 25 du Québec est déjà une réalité, puisqu’elle sera officiellement mise en œuvre en 2021. Les législateurs ont toutefois choisi de l’introduire par étapes, en mettant en place dès maintenant les changements les plus fondamentaux et en fixant un calendrier pour l’entrée en vigueur des autres changements.
Le plus important d’entre eux est prévu pour le 22 septembre 2023, date à laquelle une nouvelle sous-section exigera des entreprises qu’elles adoptent pleinement le principe de la protection de la vie privée par défaut dans le cadre de leurs pratiques de collecte et de gestion des données. Elles devront également commencer à suivre les dispositions de la loi 25 concernant le droit à l’effacement, les systèmes de transparence et de consentement, l’anonymisation, les politiques de protection de la vie privée et les évaluations obligatoires de l’impact sur la vie privée (EIVP).
La phase 3 restante, dont l’échéance est actuellement fixée au 22 septembre 2024, instituera officiellement le droit à la portabilité en obligeant les entreprises à créer des mécanismes permettant aux personnes concernées d’accéder à leurs données personnelles et de les transmettre.
Les conséquences d’un manque d’adhésion à ces changements à venir – ou à ceux qui sont déjà en place d’ailleurs – peuvent être très préjudiciables.
La province de Québec n’a pas lésiné sur les moyens lorsqu’elle a créé le système d’application de la loi 25, avec une structure à deux niveaux prévoyant des possibilités de sanctions pécuniaires et de droit d’action civile. Sur le plan financier, les organisations qui négligent leurs responsabilités dans le cadre de la loi peuvent s’attendre à des amendes allant de 15 000 dollars canadiens à 25 000 000 dollars canadiens, ou à 4 % de leur chiffre d’affaires global de l’exercice précédent, le montant le plus élevé étant retenu. Les personnes physiques sont passibles d’une amende maximale de 100 000 dollars. Dans les deux cas, une action en justice peut être intentée par une personne concernée. La loi 25 sera appliquée par la Commission d’accès à l’information (CAI) du Québec.
Loi 25 Quebec – Que pouvez-vous faire ?
La bonne nouvelle concernant la nouvelle loi québécoise sur la protection des données est qu’elle n’est pas si différente des nombreuses autres lois influentes déjà en place dans le monde. Pour se conformer à ses lignes directrices, il suffira de suivre les meilleures pratiques établies, telles que :
Mise en œuvre de contrôles de sécurité adéquats
Les organisations doivent mettre en œuvre des contrôles de sécurité raisonnables pour protéger les données à caractère personnel en leur possession, y compris des mesures visant à détecter et à empêcher tout accès non autorisé.
Obtenir le consentement pour le traitement des données
Tout traitement de données à caractère personnel (y compris la collecte, le stockage, l’utilisation ou la divulgation) ne doit être effectué qu’après avoir obtenu le consentement valable et éclairé de la personne concernée. Un outil de cookie consent tel que CookieFirst peut vous aider dans cette tâche.
Limiter les périodes de collecte et de rétention des données personnelles
Un moyen simple mais efficace de protéger la confidentialité des données consiste à limiter la quantité de données personnelles collectées et leur durée de conservation. Les organisations ne devraient collecter que ce dont elles ont besoin et supprimer ou rendre anonyme toute information superflue dès que possible.
Être proactif en ce qui concerne les avis de collecte de données
Les organisations doivent être ouvertes et honnêtes sur la manière dont les données personnelles sont collectées, utilisées et conservées. Une politique de protection de la vie privée claire doit expliquer les pratiques de l’organisation dans un langage simple afin que les personnes puissent prendre des décisions en connaissance de cause.
Sensibilisation du personnel à la protection des données
Les organisations doivent veiller à ce que l’ensemble de leur personnel soit informé des lois et réglementations en matière de protection de la vie privée. Ils doivent également être formés à la manière de traiter les données personnelles de manière responsable, notamment en utilisant des méthodes de stockage sécurisées et des techniques d’élimination appropriées.
Contrôle et vérification des pratiques en matière de données
Le contrôle et l’audit réguliers des pratiques en matière de confidentialité des données peuvent aider les organisations à identifier les faiblesses de leurs processus. Cela peut inclure l’utilisation d’outils automatisés pour détecter toute activité suspecte, ainsi que des examens réguliers de la collecte des données, des enregistrements d’accès, des politiques de conservation, etc.
Bien qu’elle ne soit qu’une goutte d’eau dans un seau mondial qui doit être rempli, la loi 25 Québec représente une avancée significative dans le cheminement du Canada vers une protection complète des données à caractère personnel. Elle apporte d’innombrables changements bienvenus à des réglementations qui étaient rapidement dépassées et, ce faisant, établit un nouveau niveau de protection auquel les citoyens du Québec peuvent réellement se fier pour protéger leurs informations personnelles dans le monde en ligne d’aujourd’hui. De plus, en adoptant la loi 25, le Québec se met au diapason d’autres réglementations importantes dans le monde, telles que le GDPR de l’UE. Cela pourrait faciliter la collaboration et l’échange d’informations entre les entités des deux régions, ouvrant ainsi la voie à une nouvelle ère marquée par les avantages d’une connectivité sans faille et d’un respect rigoureux de la vie privée.