Entrevue avec M^e Diane Poitras, présidente de la Commission d’accès à l’information du Québec

Le 22 septembre 2022 marque l’entrée en vigueur de certaines dispositions de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, aussi appelée loi 25. La présidente de la Commission d’accès à l’information du Québec nous explique les principaux changements.

M^e Poitras, pourquoi la date du 22 septembre 2022 est-elle importante?

C’est une date importante, en effet. Elle marque l’entrée en vigueur de certaines dispositions de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, aussi appelée loi 25.

C’est une réforme qui prévoit plusieurs changements pour les entreprises, les organismes publics et les citoyens. Sanctionnée le 22 septembre 2021, la loi 25 contient des nouvelles dispositions qui entrent progressivement en vigueur sur une période de 3 ans, soit jusqu’en 2024.

Cette réforme amène aussi de nouvelles responsabilités et de nouveaux pouvoirs pour la Commission d’accès à l’information (CAI).

Pourquoi une réforme de la loi?

La Loi sur la protection des renseignements personnels dans le secteur privé devait être modernisée afin de répondre adéquatement aux enjeux actuels qui affectent la vie privée des citoyens. En effet, les nouvelles technologies, omniprésentes, et les nouveaux modèles d’affaires permettant, souvent à notre insu, la cueillette, le stockage, l’utilisation et le partage de données sur nous ont mis en lumière de nouveaux enjeux concernant la protection des renseignements personnels. À titre d’exemples, pensons, entre autres, aux médias sociaux, aux applications mobiles, aux objets connectés, à l’intelligence artificielle et à l’utilisation de plus en plus répandue de la géolocalisation ou de la biométrie.

À cela s’ajoutent les incidents de confidentialité, de plus en plus nombreux dans notre univers numérique, et les fraudes qui en ont résulté.

Ces exemples démontrent l’importance de se donner, collectivement, des outils afin de mieux protéger les renseignements personnels au Québec, comme d’autres l’ont fait, et je pense ici à l’Europe. Le cadre législatif protégeant les renseignements personnels a été modifié pour s’adapter à la réalité technologique d’aujourd’hui et ultimement, pour prévoir en septembre 2023 des sanctions conséquentes en cas de pratiques non conformes.

Les modifications apportées à la loi ont surtout pour objectif d’offrir un meilleur contrôle aux citoyens sur leurs renseignements personnels et de responsabiliser davantage les entreprises quant à leur gestion de ces renseignements. En fin de compte, ces changements peuvent constituer un avantage économique pour une entreprise. Selon un sondage réalisé à la demande de la CAI, 91 % des répondants feraient davantage affaire avec une entreprise qui a une bonne réputation en matière de protection des renseignements personnels.

Quelles sont les principales nouvelles obligations pour les entreprises?

• Désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Web de l’entreprise;
• En cas d’incident de confidentialité, tenir un registre de tous les incidents et prendre rapidement des mesures afin de diminuer le risque qu’un préjudice soit causé aux personnes concernées. Une entreprise doit aussi aviser la Commission d’accès à l’information et les personnes concernées de tout incident présentant un risque de préjudice sérieux;
• Divulguer préalablement à la Commission d’accès à l’information la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques;
• Respecter le nouvel encadrement applicable à la communication de renseignements personnels sans le consentement de la personne concernée, dans le cadre d’une transaction commerciale ou encore à des fins d’étude, de recherche ou de productions de statistiques.

Afin d’en apprendre davantage sur ces changements, sur les nouvelles responsabilités des entreprises, les pistes d’action et les bonnes pratiques, consulter l’aide-mémoire.

Comment comptez-vous informer les entreprises de leurs nouvelles obligations?

Afin que les entreprises soient au courant de leurs nouvelles obligations, plusieurs moyens de communication seront utilisés au cours des trois prochaines années.

Notre site Web sera complètement revu et sera une source privilégiée pour obtenir toute l’information à jour.

La CAI participe à plusieurs conférences, colloques, salons et autres événements d’envergure lui permettant de communiquer avec un nombre important d’entreprises.

Nous comptons aussi sur la collaboration de plusieurs partenaires pour assurer le relais de l’information, notamment le Barreau du Québec, le Conseil québécois du commerce de détail, la Fédération des chambres de commerce du Québec, le ministère de l’Économie et de l’Innovation, le Réseau de l’informatique municipale du Québec, ainsi que Services Québec et le Registraire des entreprises.

Actuellement, nous mettons en place d’autres moyens pour contacter les entreprises.

Pouvez-vous nous dire quelques mots sur les nouveaux pouvoirs de la Commission d’accès à l’information?

Dès le 22 septembre 2022, la CAI pourra :

• Élaborer des lignes directrices sur l’application de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels dans le secteur privé;

• Évaluer les avis d’incidents de confidentialité présentant un risque de préjudice sérieux qui lui sont transmis par les organisations et, le cas échéant, ordonner :

• que les personnes concernées soient avisées;
• toute mesure visant à protéger les droits des personnes concernées qui leur sont accordés par les lois;
• la remise des renseignements personnels impliqués à l’organisation ou leur destruction;
• Exiger d’une personne, soumise ou non à la loi, de produire tout document ou tout renseignement permettant de vérifier l'application de la loi ou de ses règlements.

D’autres pouvoirs et responsabilités entreront en vigueur progressivement. Par exemple, on a beaucoup parlé des importantes sanctions dissuasives de plusieurs millions de dollars auxquelles s’exposeront les entreprises ayant des pratiques non conformes. Ces dispositions entreront en vigueur le 22 septembre 2023. La CAI adoptera et diffusera un cadre d’application pour l’imposition de telles sanctions qui précisera notamment les objectifs poursuivis et les critères à considérer. La CAI continuera d’utiliser avec discernement ses différents pouvoirs avec le seul objectif d’assurer la conformité des pratiques des entreprises en matière de protection des renseignements personnels.

Nous invitons donc les entreprises à mettre en place les différentes mesures leur permettant de respecter la loi et de mieux protéger les renseignements personnels des citoyens.

Pour plus d’informations, visitez le site Web de la CAI, en cliquant ici.