Sonia LeBel veut encadrer l’utilisation des données personnelles
La ministre de la Justice, Sonia LeBel, s’attelle à dépoussiérer la législation en matière de protection des renseignements personnels.
À la lumière des nouvelles technologies, les lois québécoises « manquent de mordant », a-t-elle fait valoir vendredi, après avoir déposé le projet de loi 64 à l’Assemblée nationale.
Le document de 60 pages enjoint aux entreprises de « détruire » ou à tout le moins d’« anonymiser » un renseignement personnel « lorsque les fins auxquelles [il] a été recueilli ou utilisé sont accomplies », sauf s’il est visé par un délai de conservation prévu par une loi.
« On consent à ce que l’entreprise x utilise nos renseignements pour un objet précis. Quand c’est terminé, il n’y a aucune raison que l’entreprise garde ces renseignements personnels », a fait valoir Mme LeBel.
D’autre part, le projet de loi 64 précise le droit d’un individu d’exiger, dans certains cas, la fin de la « diffusion » d’un renseignement personnel qui le concerne « ou que soit désindexé tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique ».
« C’est ce qu’on appelle le droit au déférencement ! » a lancé la ministre de la Justice. « Donc, c’est de faire en sorte que Google, pour ne pas le nommer, fasse en sorte que si je fais une recherche sur Sonia LeBel, sur un tel sujet, bien, que ça soit très difficile de trouver l’information. On ne peut pas aller sur Internet et tout effacer. […] Mais dans les objectifs, c’est de rendre cette information-là le plus difficilement accessible », a-t-elle ajouté.
Par ailleurs, le projet de loi 64 encadre à la fois la « collecte » et l’« utilisation » de renseignements personnels obtenus au moyen d’« une technologie comprenant des fonctions d’identification, de localisation ou de profilage de la personne concernée ».
« Parce que vous êtes allé magasiner un barbecue [sur Internet], tout à coup, sur votre Facebook ou sur votre Instagram, on vous offre des barbecues à répétition. Maintenant, avec le projet de loi, bien, je vais avoir le droit de désactiver cette fonction-là », a-telle annoncé.
En cas d’incident
Le projet de loi 64 introduit des règles concernant le traitement, par les organisations publiques et privées, des bris de confidentialité en raison de l’« accès », l’« utilisation », la « communication » d’un renseignement personnel non autorisée ou encore la « perte » ou « toute autre atteinte à la protection » d’un renseignement personnel.
« Si l’incident présente un risque qu’un préjudice sérieux soit causé, elle [l’organisation] doit, avec diligence, aviser la Commission d’accès à l’information [ainsi que] toute personne dont un renseignement personnel est concerné par l’incident » à moins que la divulgation de l’information
Les amendes imposées aux entreprises prises en défaut fluctueront entre 15 000 et 25 millions de dollars soit susceptible d’entraver une enquête.
Combien de temps une entreprise peut-elle s’abriter derrière une enquête pour ne pas divulguer, aux individus touchés, une fuite de renseignements personnels ? « La CAI va exercer son pouvoir de surveillance et à un moment donné [va] dire : “Bien, il faut aviser les citoyens” », a répondu la ministre Sonia LeBel.
Des amendes de millions de dollars
Les amendes imposées aux entreprises prises en défaut fluctueront entre 15 000 dollars et 25 millions de dollars.
« Au moment où on se parle, les sanctions imposées aux contrevenants sont bien loin d’être à la hauteur des conséquences qu’entraîne une fuite de renseignements personnels pour les citoyens. Ceux qui ont vécu un vol d’identité le savent », a conclu Mme LeBel, un an après la fuite de données personnelles de millions de membres de Desjardins.