Bienvenue

Bienvenue sur le Blogue du CRL du Jeune Barreau de Montréal (JBM)! Ce blogue est dédié à la diffusion de contenu juridique pour tous les avocats du Québec et plus spécifiquement pour les membres du JBM. Le contenu est offert grâce à une communauté d'avocats bénévoles impliqués sur le Comité recherche et législation du JBM. Si vous désirez devenir auteur ou contribuer au succès de ce blogue, faites-nous part de votre intérêt.

lundi 2 mars 2020

Chronique du CTI - Analyse comparative : la protection des renseignements personnels au Québec (loi sur le secteur privé) et en Californie (CCPA)

Me Soleïca Monnier





Me Laurence Champagne


   



v  Les opinions exprimées dans le présent article n’engagent que les auteurs, Me Soleïca Monnier (ministère de la Justice du Québec) et Me Laurence Champagne (district m). Ils ne représentent pas nécessairement celles de leurs employeurs. 

1. LA NOUVELLE LOI CALIFORNIENNE DE PROTECTION DES DONNÉES PERSONNELLES : CALIFORNIA CONSUMER PRIVACY ACT

Le promoteur immobilier et président du groupe Californians for Consumer Privacy, Alastair Mactaggartes, a entamé l’initiative du California Consumer Privacy Act (CCPA)[1], qui a été acceptée au scrutin suite à l’obtention de 629 000 votes par les citoyens. Le projet de loi amendant le Code civil californien a été approuvé par le gouverneur de la Californie de l’époque, Jerry Brown, le 28 juin 2018, dans l’objectif de renforcer la protection du droit constitutionnel à la vie privée. La date prévue d’entrée en vigueur est le 1er janvier 2020, toutefois, les sanctions prévues ne pourront être mises en œuvre par le Procureur Général qu’après le 1er juillet 2020[2].

Considérée comme étant la loi concernant la protection des données personnelles la plus robuste aux États-Unis, elle a pour objectifs d’octroyer aux citoyens californiens la propriété, le contrôle et la sécurité sur leurs renseignements personnels, ainsi que de tenir les entreprises responsables lorsqu’elles négligent de mettre en place des mesures raisonnables afin de protéger l’information personnelle des citoyens[3].

L’APPLICATION DE LA LOI

Conformément à son article 1798.140g), le CCPA vise à protéger le consommateur, c’est-à-dire le résident californien, qu’il soit en Californie ou à l’extérieur de l’État de manière temporaire ou transitoire.

La nouvelle loi s’applique par ailleurs à toute entreprise à but lucratif qui recueille des renseignements personnels et exerce des activités en Californie pourvu que l’un des trois critères suivants soit satisfait :
-          elle enregistre un revenu global de plus de 25 millions de dollars américains;
-          elle achète, reçoit, vend ou partage les renseignements personnels de plus de 50 000 consommateurs, ménages ou appareils électroniques; ou
-          elle tire plus de 50 % de ses revenus annuels de la vente de renseignements personnels[4].
La loi s’applique de manière extraterritoriale aux entreprises qui satisfont l’un des critères susmentionnés, et ce, malgré le fait qu’elles n’aient aucune présence physique dans l’État californien. Une des particularités de la loi californienne repose sur son vaste champ d’application, notamment en raison de la définition donnée à certains termes.

À titre d’exemple, la notion de vente s’étend à « la location, la divulgation, la diffusion, la mise à disposition, le transfert ou la communication d’information personnelle pour une valeur monétaire ou autre considération »[5] [traduit de l’anglais].

La notion de renseignement personnel a également une vaste portée. En effet, l’article 1798.140 (o) CCPA énonce qu’il s’agit des « renseignements qui identifient, se rapportent à, décrivent, peuvent être associées à, ou pourraient être raisonnablement liées, directement ou indirectement, à un consommateur ou à un ménage particulier » [traduit de l’anglais]. Le même article fournit, par ailleurs, une liste non exhaustive de renseignements qui peuvent être considérés comme personnels. Parmi les exemples cités se trouvent un nom réel, un alias, une adresse postale, un identifiant personnel unique, un identifiant en ligne, une adresse de protocole internet (une adresse « IP »), un nom de compte, les activités de recherche sur internet et les données de géolocalisation. Les inférences ainsi tirées de l’un des renseignements énuméré au paragraphe (o) qui permettent de créer un profil sur le consommateur « reflétant ses préférences, ses caractéristiques, ses tendances psychologiques, ses prédispositions, son comportement, ses attitudes, son intelligence, ses capacités et ses aptitudes » [traduit de l’anglais] pourraient de même considérées comme des renseignements personnels au sens du CCPA[6]. 
 
LES DROITS PRÉVUS 
 
Les principaux droits prévus au CCPA sont le droit à l’information, le droit d’accès, le droit d’opposition, le droit à l’oubli, ainsi que le droit à l’égalité des services et du prix.

Droit à l’information. En vertu du CCPA, les entreprises visées doivent informer au préalable les consommateurs de « la catégorie et des renseignements personnels spécifiques collectés à leur sujet »[7], du nom des tierces parties à qui les renseignements seront éventuellement transmis ainsi que des finalités de traitement prévues[8]. Les entreprises visées doivent par le fait même afficher une politique de confidentialité afin d’informer les consommateurs de leurs droits ainsi que des moyens offerts afin de les exercer[9].

Droit d’accès. À la lecture des articles 1798.100 et 1798.110 CCPA, les consommateurs ont un droit d’accès détaillé aux renseignements personnels collectés, vendus ou divulgués à leur sujet à des fins commerciales par une entreprise visée par le CCPA. Ils ont également le droit d’accéder à d’autres renseignements tels que la provenance des renseignements personnels, les objectifs commerciaux de l’entreprise en cause et les catégories de tiers à qui les renseignements sont divulgués.

Droit d’opposition. Les consommateurs ont le droit, à tout moment, de se retirer de la « vente »[10] des renseignements personnels leur appartenant tel que prévu à l’article 1798.120 CCPA. Pour ce faire, les entreprises visées par le CCPA doivent afficher un lien clair et visible à l’effet de « [n]e pas vendre mes renseignements personnels » [traduit de l’anglais] sur leur page Web[11]. Une distinction particulière avec la loi européenne de protection des données personnelles, le RGPD, repose sur le fait que le consentement du consommateur n’est pas requis afin de procéder à la vente de renseignement personnel de celui-ci, à moins que le consommateur ne soit âgé de moins de 16 ans[12]. Le consentement du tuteur légal doit toutefois être obtenu lorsque la vente de renseignement personnel concerne un consommateur âgé de moins de 13[13]. 

Droit à l’oubli. Les consommateurs ont le droit d’obtenir la suppression des renseignements personnels leur appartenant collectés par une entreprise visée, et ce, en tout temps[14].   

Droit à l’égalité des services et du prix. Il est défendu aux entreprises de discriminer un consommateur puisque celui-ci se prévaut de ses droits en vertu du CCPA, notamment en refusant de lui offrir des services ou en lui offrant un service, mais à un prix différent[15].  

LES SANCTIONS

Enfin, la loi prévoit deux mécanismes distincts, c’est-à-dire le droit d’action du Procureur Général de la Californie et le droit privé des consommateurs. Les pénalités en cas de violation sont substantielles.

Droit d’action du Procureur Général. D’abord, une entreprise enfreint la loi si elle omet de remédier à une violation alléguée dans les 30 jours suivant la réception d’une notification du Procureur Général à cet effet. Conformément à l’article 1798.155 CCPA, le Procureur Général de l’État de la Californie peut ensuite imposer des pénalités civiles pouvant aller jusqu’à 2500 $ par violation ou encore 7500 $ par violation intentionnelle lorsque l’entreprise visée ne remédie pas à la violation dans le délai de 30 jours.

Droit privé d’action des consommateurs. La loi prévoit, de manière distincte, un droit privé d’action à son article 1798.150 CCPA pour les consommateurs en cas d’extraction, de vol ou de divulgation non autorisée de certains renseignements sensibles tels que le numéro d’assurance sociale, le numéro du permis de conduire, les renseignements médicaux résultant du défaut par l’entreprise de mettre en œuvre et de maintenir des procédures de sécurité raisonnables. Ce droit privé d’action s’applique uniquement lorsque les renseignements susmentionnés ne sont pas cryptés ou caviardés. Également, le consommateur ne bénéficie du droit d’action que si l’entreprise visée omet de remédier au défaut dans les 30 jours suivant la réception d’une notification par le consommateur énonçant les dispositions spécifiques pour lesquelles une violation a eu lieu. L’entreprise visée doit alors remettre une lettre au consommateur à l’effet que la violation a été corrigée et qu’aucune autre violation ne surviendra dans le même délai. Autrement, les dommages et intérêts correspondent à une somme entre 100 $ et 750 $ par consommateur lésé et par incident, ou encore aux dommages réels subis, lorsque ceux-ci sont plus élevés. Comme le consommateur n’a pas à faire la preuve d’un quelconque dommage afin de bénéficier de l’indemnité minimale prévue, nous pouvons présager une hausse du nombre de recours collectifs dans les années à venir.

2. LE RÉGIME QUÉBÉCOIS DE LA LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DANS LE SECTEUR PRIVE

La Loi sur la protection des renseignements personnels dans le secteur privé[16] (ci-après « Loi sur le secteur privé ») fêtait son quart de siècle en novembre 2019[17]. En raison de la multiplication de lois toujours plus conservatrices en matière de protection des renseignements personnels à l’international (RGPD en 2016, CCPA en 2020, etc.), la Loi sur le secteur privé est aujourd’hui perçue comme dépassée[18]. La modernisation annoncée du cadre juridique québécois (privé) se fait donc attendre.

Notons qu’une application concomitante de la Loi sur la protection des renseignements personnels et les documents électroniques[19] (ci-après « LPRPDE ») fédérale survient si les renseignements personnels détenus par une entreprise sont partagés au-delà des frontières provinciales, c’est-à-dire si les activités d’une entreprise ne se déroulent pas entièrement au Québec. Cependant, la Loi sur le secteur privé étant réputée « essentiellement similaire » à la LPRDPE[20] et faisant davantage l’objet de critiques, l’exercice de comparaison avec celle-ci nous semblait plus pertinent[21].

L’APPLICATION DE LA LOI

Selon son article 1, la Loi sur le secteur privé s’applique aux « renseignements personnels sur autrui qu’une personne recueille, détient, utilise ou communique à des tiers à l’occasion de l’exploitation d’une entreprise au sens de l’article 1525 du Code civil ». Or, au sens du dernier alinéa de l’article 1525 C.c.Q., « [c]onstitue l’exploitation d’une entreprise l’exercice, par une ou plusieurs personnes, d’une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services » (soulignements et italiques ajoutés).

Par ailleurs, l’article 2 définit le renseignement personnel comme “tout renseignement qui concerne une personne physique et permet de l’identifier”. Notons toutefois que les renseignements personnels qui sont déclarés publics par une loi ne font pas l’objet des mesures de protection liées à la collecte et à la confidentialité prévues aux sections II et III de la Loi sur le secteur privé[22]. 

La vente n’est ni définie ni mentionnée dans la Loi sur le secteur privé. Le législateur préfère ainsi des termes génériques tels « utilisation » ou « communication »[23], lesquels n’évoquent pas aussi distinctivement le traitement de données à des fins commerciales, pourtant un pilier de l’économie actuelle.

LES DROITS PRÉVUS 

Consentement et nécessité. Le consentement[24] et la nécessité[25] sont les deux notions phares de la Loi sur le secteur privé[26]. Ainsi, une entreprise ne peut procéder à la collecte et à l’utilisation de renseignements personnels que si l’activité est nécessaire et que la personne concernée y consent – conditions cumulatives[27].  

Droit à l’information. Sur le contenu du droit à l’information, l’article 8 de la Loi sur le secteur privé prévoit qu’une entreprise qui collecte des renseignements personnels sur autrui doit divulguer :
-          l’objet du « dossier »[28];
-          l’utilisation qui sera faite des renseignements ainsi que les catégories de personnes qui y auront accès au sein de l’entreprise;
-          l’endroit où sera détenu son dossier ainsi que des droits d’accès ou de rectification.

Notons ici que la Commission d’accès à l’information du Québec (ci-après « CAI »), organisme chargé de l’application de la Loi sur le secteur privé, a elle-même jugé que la notion de dossier – employée pas moins de 48 fois dans la loi – était inadéquate. En effet, la CAI a plutôt proposé la formulation « finalité de la collecte », selon elle plus en phase avec l’univers numérique[29] dans lequel les entreprises ne détiennent plus réellement de dossier physique sur les individus.

Droit d’accès. La Section IV de la Loi sur le secteur privé énonce les droits relatifs à l’accès au dossier de renseignements personnels détenus par une entreprise sur autrui, à la demande de la personne visée[30]. Sommairement, chacun peut obtenir la confirmation de l’existence d’un dossier de renseignements personnels le concernant et en obtenir communication[31].

Autres droits. Au contraire du CCPA, la Loi sur le secteur privé n’édicte expressément aucun droit à l’oubli, à la portabilité des renseignements personnels, à l’égalité des services et du prix ou encore d’opposition.

Les sanctions

La CAI est chargée de l’application des lois sur la protection des renseignements personnels au Québec, y compris de la Loi sur le secteur privé[32]. Elle mène enquête de son propre chef ou suite à la réception d’une plainte[33]. Suite aux enquêtes, elle peut rendre toute ordonnance pour enjoindre une entreprise à se conformer à la loi[34]. Néanmoins, la CAI ne dispose d’aucun pouvoir afin d’imposer des sanctions pécuniaires sans soumettre le dossier au Directeur des poursuites pénales et criminelles (DPCP)[35]. Même alors, les sanctions sont dérisoires. En effet, selon la règle générale, une contravention à la Loi sur le secteur privé est punissable d’une amende de 1 000 $ à 10 000 $ ou, en cas de récidive,  de 10 000 à 20 000 $[36].

3. COMPARAISON GÉNÉRALE ET CONCLUSION

Application. La terminologie utilisée dans le CCPA semble plus étendue que celle de la Loi sur le secteur privé (ex. renseignement personnel). Toutefois, les retombées juridiques précises de ce constat apparaitront sans doute plus nettement avec le développement d’une jurisprudence sur l’application du CCPA[37].

Droits prévus. Le CCPA prévoit des droits supplémentaires au bénéfice des consommateurs, notamment le droit à l’oubli, le droit à l’opposition et le droit à un traitement juste et équitable. Ces derniers renforcent le principe constitutionnel de protection de la vie privée en octroyant aux consommateurs un contrôle accru sur leurs données personnelles. Notamment, le CCPA oublie la notion de consentement, souvent considérée dépassée[38], au profit de droits plus en phase avec la réalité comme le droit d’opposition qui, rappelons-le, permet à tout consommateur de s’opposer à l’utilisation commerciale de ses renseignements personnels. Au contraire, la notion de consentement demeure centrale dans la Loi sur le secteur privé.

Sanctions. Ce volet constitue le point faible de la loi québécoise comparativement au CCPA. En effet, comme mentionné, la teneur des sanctions pécuniaires prévues en diminue le pouvoir dissuasif sur les entreprises assujetties. Au contraire, le CCPA présente des sanctions pécuniaires importantes, notamment en lien avec le droit privé d’action des consommateurs. Dans le même sens, la CAI étant chargée de l’administration de toutes les lois québécoises sur PRP, son volume de dossiers annuel est élevé (2 341 demandes en 2018-2019[39]). Pourtant, elle détient des ressources financières et matérielles limitées[40], notamment aux fins de conduire des enquêtes et des procédures judiciaires. En somme, le CCPA semble un texte plus contraignant que la Loi sur le secteur privé en raison de la teneur comparative des sanctions qui y sont prévues.

En conclusion, le CCPA est un texte novateur duquel Loi sur le secteur privé pourrait s’inspirer, notamment car il semble plus en phase avec le contexte international numérique (ex. notion de vente, éventail de droits relatifs aux enjeux technologiques contemporains, sanctions dissuasives). Néanmoins, le CCPA est un texte très jeune dont la portée est encore incertaine. Par exemple, une controverse tire déjà le bout du nez au sujet du caractère ambigu de la terminologie employée[41]. Ainsi, au vu de l’annonce récente de la modernisation des Loi sur le secteur privé, nous remettons notre entière confiance dans les mains de la ministre de la Justice, Me Sonia Lebel, qui semble déjà avoir d’excellentes idées pour remettre la loi à l’heure du XIe siècle[42].

--


La protection des données personnelles vous intéresse? Le 27 mars prochain, joignez-vous à plus de 300 jeunes professionnels partageant votre passion pour le droit et la technologie. Cliquez ici pour vous inscrire à la 14e édition de la Conférence Legal.IT, la plus importante conférence au Canada sur l’impact des TI et leur potentiel sur le droit, organisée par le Jeune Barreau de Montréal.



--

Les chroniques du CTI sont rédigées par un ou plusieurs membres du Comité Technologies de l’information (CTI) dans le but de susciter les discussions et de soulever les réflexions au sein de la communauté juridique à propos des nouvelles technologies et le droit. Les auteurs sont donc seuls responsables du contenu des articles et l’opinion qui y est véhiculée n’est pas celle du JBM, mais bien celle des auteurs. Si vous désirez rédiger une chronique, envoyez un courriel au cti@ajbm.qc.ca.


[1] Cal. Civ. Code §§ 1798.100-1798.199.

[2] Cal. Civ. Code § 1798.185 (a)(7)(c).

[3] Lisa R. Lifshitz, « California now has toughest law in U.S. for the collection of personal information Canadian Lawyer », Canadian Lawyer, 19 septembre 2019, en ligne: https://www.canadianlawyermag.com/news/opinion/california-now-has-toughest-law-in-u.s.-for-the-collection-of-personal-information/304119.
[4] Cal. Civ. Code §§ 1798.140 (c).
[5] Art. 1798.150 (t) CCPA
[6] Cal. Civ. Code § 1798.140 (o) (1) (K).
[7]  Selon l’article 1798.100 CCPA : « categories and specific pieces of personal information the business has collected ».
[8] Cal. Civ. Code § 1798.100.
[9] Cal. Civ. Code § 1798.135 (a) (2) (A).
[10] Cal. Civ. Code § 1798.150 (t) CCPA.
[11] Cal. Civ. Code § 1798.135 (a) (1).
[12] Cal. Civ. Code § 1798.120 (c).
[13] Cal. Civ. Code § 1798.120 (c).
[14] Cal. Civ. Code § 1798.105 (a).
[15] Cal. Civ. Code § 1798.125 (a) (1).
[16]  RLRQ, c. P-39.1.
[17] Commission d’accès à l’information du québec, « 2019 : les 25 ans de la Loi sur le secteur privé », en ligne : https://www.cai.gouv.qc.ca/a-propos/notre-histoire/2019-les-25-ans-de-la-loi-sur-le-secteur-prive/.
[18] Pour des exemples de ces critiques, voir Antoine guilemain et Eloïse gratton, « La protection des renseignements personnels dans le secteur privé au Québec : rétrospectives et perspectives », dans Développements récents en droit à la vie privée (2019), vol. 465, Montréal, Éditions Yvon Blais, 67-134.
[19] L.C. 2000, c. 5.
[21] Pour un tableau comparatif du CCPA, RGPD, de la LPLRDE et de la Loi sur le secteur privé, voir Karl delwaide, Antoine aylwin « Tableau comparatif des lois sur la protection », en ligne : https://www.cai.gouv.qc.ca/documents/Fasken-Comparaison-lois-protection-renseignements-personnels-VF.pdf.
[22] Loi sur le secteur privé, art. 1, al. 5.
[23] À titre illustratif, Loi sur le secteur privé, art. 14, al. 1 : « Le consentement à la collecte, à la communication ou à l’utilisation d’un renseignement personnel doit être manifeste, libre, éclairé et être donné à des fins spécifiques. […] ».
[24]  Voir notamment Loi sur le secteur privé, art. 12 à 15.
[25]  Voir notamment Loi sur le secteur privé, art. 5.
[26] Laval (Ville de) c. X., [2003] IIJCan 44085 (C.Q.).
[27]  Antoine aylwin et Karl delwaide, « Leçons tirées de dix ans d’expérience : la Loi sur la protection des renseignements personnels dans le secteur privé du Québec », dans Service de la formation continue du Barreau du Québec, Développements récents en droit d’accès à l’information, Montréal, Éditions Yvon Blais, 2005, EYB2005DEV1092.
[28] Selon l’article 3, troisième alinéa, de la Loi concernant le cadre juridique des technologies de l’information (RLRQ, c. C1-1) : « Un dossier peut être composé d’un ou de plusieurs documents ». Par ailleurs, selon la même disposition, un document est constitué d’information portée par un support.
[29] Commission de l’accès à l’information, Rapport quinquennal 2016 « Rétablir l’équilibre », septembre 2016, en ligne : « https://www.cai.gouv.qc.ca/documents/CAI_RQ_2016.pdf », p. 80.
[30] Loi sur le secteur privé, art. 27 et suiv.
[31] Loi sur le secteur privé, art. 27 al. 1.
[32] Loi sur le secteur privé, art. 41.1 et suiv.
[33] Loi sur le secteur privé, art. 81.
[34] Loi sur le secteur privé, art. 55.
[35] Loi sur le secteur privé, art. 91 et suiv.
[36] Art. 91 al Loi sur le secteur privé : « Quiconque recueille, détient, communique à un tiers ou utilise un renseignement personnel sur autrui sans se conformer à une disposition des sections II, III ou IV de la présente loi est passible d’une amende de 1 000 $ à 10 000 $ et, en cas de récidive, d’une amende de 10 000 $ à 20 000 $.
Toutefois, dans le cas d’une contravention à l’article 17, l’amende est de 5 000 $ à 50 000 $ et, en cas de récidive, de 10 000 $ à 100 000 $ ».
[37] Une première poursuite pourrait néanmoins aboutir prochainement, voir « Salesforce Data Breach Suit Cites California Privacy Law », Bloomber Law, 4 février 2020, en ligne : https://news.bloomberglaw.com/privacy-and-data-security/salesforce-data-breach-suit-cites-california-privacy-law.
[38] Par exemple, voir Pierre Trudel, « Renseignements personnels: les vraies urgences », Le Devoir, en ligne : https://www.ledevoir.com/opinion/chroniques/573151/renseignements-personnels-les-vraies-urgences?fbclid=IwAR26KgZN9qq9DcNoZIyQK8xSoo6qtmPmqUXeM1htuLB5igVylk_Y4pjym_8.
[39] Commission d’accès à l’information du Québec, « Rapport annuel de gestion 2018-2019 », en ligne : « https://www.cai.gouv.qc.ca/documents/CAI_RAG_2018-2019.pdf », p. 3.
[40]  Son budget pour l’année 2018-2019 était de 7 592 900$, Id.
[41] « California AG Faces Criticism of Draft Regulations at Los Angeles CCPA Hearing », Wiley Law, en ligne : « https://www.wiley.law/alert-California_AG_Faces_Criticism_of_Draft_Regulations_at_Los_Angeles_CCPA_Hearing » (page consultée le 17 février 2020).
[42] Fanny Lévesque, “Données personnelles: une loi avec plus de mordant”, La Presse, 19 février 2020, en ligne : “https://www.lapresse.ca/actualites/politique/202002/11/01-5260568-donnees-personnelles-une-loi-avec-plus-de-mordant.php.”

Aucun commentaire:

Publier un commentaire

L'équipe du Blogue vous encourage à partager avec nous et nos lecteurs vos commentaires et impressions afin d'alimenter les discussions sur le Blogue. Par ailleurs, prenez note du fait qu'aucun commentaire ne sera publié avant d'avoir été approuvé par un modérateur et que l'équipe du Blogue se réserve l'entière discrétion de ne pas publier tout commentaire jugé inapproprié.