Que faut-il savoir au sujet de la Loi 25 concernant la protection des renseignements personnels au Québec?

Andréanne Fortin et Naomi Ayotte sont toutes deux avocates à la Commission d’accès à l’information (CAI). Dans le cadre de la journée Initiatives numériques gouvernementales, présentée à l’occasion de la Semaine numériQC, elles ont offert une conférence visant à informer des nouveautés juridiques et technologiques en matière de protection des renseignements personnels qui font suite à la sanction du projet de loi 64 l’automne dernier au Québec. Nous les avons rencontrés pour leur poser quelques questions.

Tout d’abord, pouvez-vous nous en dire plus sur la loi 64?

Andréanne Fortin : Bien sûr, avec plaisir! En fait, d’entrée de jeu, il faut préciser quelque chose, et désolée si c’est un peu technique. Quand vous mentionnez la loi 64, je sais très bien à quoi vous faites référence. Par contre, il s’agissait du projet de loi 64 et maintenant, il faut dire la Loi 25, ou la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, puisque cette loi est désormais adoptée et sanctionnée. Elle revitalise le volet « renseignements personnels » des deux principales lois applicables au Québec en cette matière, soit la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé. Elle a également pour objectif d’offrir un meilleur contrôle par les citoyens sur leurs renseignements personnels. 

Naomi Ayotte : Ce que nous désirons surtout mettre en lumière pour les participants de la Semaine numériQC, c’est que comme son nom l’indique, la Loi 25 « modernise » le cadre législatif, et c’est essentiellement pour l’adapter à la réalité technologique d’aujourd’hui. C’est principalement cet angle que nous avons pris lors de notre présentation du 6 avril dernier.

Pourquoi cette loi était devenue nécessaire?

Andréanne Fortin : Les lois en vigueur ne tenaient pas compte de la réalité technologique d’aujourd’hui. Il fallait donc les adapter pour que la protection des renseignements personnels soit assurée. Par exemple, la cueillette et l’exploitation de données sont très faciles de nos jours, notamment avec l’utilisation de l’intelligence artificielle. De plus, on note l’importance économique croissante de la collecte et de l’utilisation des données personnelles dans le monde.

Naomi Ayotte : Considérant la transformation numérique de l’administration publique qui bat son plein, cette réforme ne pouvait mieux tomber pour protéger le droit à la vie privée des administrés. D’ailleurs, dans notre présentation, nous nous sommes attardé aux nouvelles obligations applicables au secteur public dans ses projets technologiques impliquant des renseignements personnels, notamment la confidentialité par défaut et l’obligation d’effectuer des évaluations des facteurs de risques à la vie privée (EFVP).

Qui est concerné par cette nouvelle loi?

Andréanne Fortin : Puisque la Loi 25 a modifié tant Loi sur l’accès aux documents des organismes public et sur la protection des renseignements personnels que la Loi sur la protection des renseignements personnels dans le secteur privé, ce sont tous les organismes publics, toutes les entreprises privées qui font affaires au Québec et bien sûr, tous les citoyens qui ont sont concernés par cette importante réforme.

Alors, les organismes publics et les entreprises privées doivent s’y intéresser sans tarder?

Andréanne Fortin : Oui! Parce qu’ils collectent, utilisent et traitent des renseignements personnels sur une base quotidienne et qu’ils doivent viser les meilleures pratiques en matière de protection des renseignements personnels, de manière entre autres à s’assurer que la vie privée des administrés et de leur clientèle est respectée. Gouvernement, entreprises et citoyens vivraient tous des conséquences malheureuses, chacun à leur niveau, en cas de mauvaise gestion des renseignements personnels. 

Naomi Ayotte : Et permettez-nous ici de préciser que les organismes publics ne doivent pas seulement s’intéresser à la Loi 25; ils doivent comprendre les obligations qui y sont introduites et les mettre en œuvre selon un calendrier précis que nous avons d’ailleurs abordé dans notre présentation. D’ailleurs et bien que cela ne doive pas être la principale motivation à respecter les règles applicables, des sanctions importantes sont prévues pour ceux qui ne respecteraient pas les nouvelles dispositions de la loi. 

Pour ceux qui connaissent peu votre organisation, quel est le rôle de la CAI de façon générale et dans l’application de la Loi 25?

Andréanne Fortin : La CAI exerce un rôle de surveillance en matière de protection des renseignements personnels et de respect des dispositions des lois applicables en cette matière. Elle devra donc veiller à ce que les nouvelles dispositions introduites par la Loi 25 soient respectées et devra agir à cet égard auprès des organismes publics et de leurs fournisseurs privés notamment. C’est un rôle vraiment très important, fondamental même dans une société libre et démocratique comme la nôtre. La première partie de notre présentation vise justement à démystifier le rôle des membres de la section surveillance de la CAI et à expliquer un peu le contexte des différents avis, inspections et enquêtes qui doivent être faits pour veiller au respect des dispositions prévues aux lois en matière de protection des renseignements personnels.

On parle beaucoup de biométrie dans les médias lorsqu’il est question d’identité numérique, et souvent les citoyens expriment des craintes, est-ce justifié?

Naomi Ayotte : Il n’y a pas de renseignements plus sensibles que les renseignements biométriques. Et comme vous le savez certainement, si de tels renseignements étaient visés par un incident de confidentialité, les conséquences négatives pourraient être nombreuses et irréversibles pour la personne concernée. Il est donc certainement justifié, pour reprendre vos mots, que des craintes soient exprimées par les citoyens lorsqu’il est question de biométrie. 

Andréanne Fortin : En fait, c’est même rassurant selon nous de voir que certains citoyens comprennent la valeur et l’importance de protéger leurs renseignements personnels. Lors de notre présentation, nous avons d’ailleurs eu l’occasion d’aborder les nouvelles dispositions introduites par la Loi 25 en matière de déclaration d’incident de sécurité par les organismes publics et de nous attarder aux dispositions applicables en matière de vérification d’identité impliquant de la biométrie.

Finalement, pourquoi les participants de la Semaine numériQC devraient-ils visionner votre conférence?

Naomi Ayotte : Tel que mentionné précédemment, notre présentation porte principalement sur les nouvelles dispositions qui seront applicables au secteur public; elle devrait donc être utile pour les participants qui sont du secteur public et qui œuvrent à des solutions et projets technologiques impliquant les renseignements personnels des citoyens, et devrait intéresser tout autant les participants du secteur privé désirant faire affaire avec l’État dans ce contexte et qui doivent s’assurer d’offrir des services et des solutions qui respectent le cadre légal applicable au secteur public. 

Andréanne Fortin : C’est une présentation conviviale et sans prétention, faite par des avocates passionnées de la protection des renseignements personnels qui aiment partager leurs connaissances avec ceux et celles qui sont au cœur de la réalisation des projets technologiques; c’est vraiment un RDV à ne pas manquer!

La conférence « Les grands changements juridiques, technologiques et la protection des renseignements personnels dans le secteur public et privé » de Andréanne Fortin et Naomi Ayotte est disponible en rediffusion sur la plateforme virtuelle de la Semaine numériQC.