Chronique du CTI – Analyse comparative : la protection des renseignements personnels au Québec (loi sur le secteur privé) et en Californie (CCPA)

Par Soleïca Monnier, avocate, Fasken et Me Laurence Champagne

M^e Soleïca Monnier

M^e Laurence Champagne

   

v  Les opinions exprimées dans le présent article
n’engagent que les auteurs, M^e Soleïca Monnier (ministère de la
Justice du Québec) et M^e Laurence Champagne (district m). Ils ne
représentent pas nécessairement celles de leurs employeurs. 

1. LA
NOUVELLE LOI CALIFORNIENNE DE PROTECTION DES DONNÉES PERSONNELLES : CALIFORNIA
CONSUMER PRIVACY ACT

Le
promoteur immobilier et président du groupe Californians for Consumer
Privacy, Alastair Mactaggartes, a entamé l’initiative du California
Consumer Privacy Act (CCPA)[1], qui a
été acceptée au scrutin suite à l’obtention de 629 000 votes par les
citoyens. Le projet de loi amendant le Code civil californien a été approuvé par
le gouverneur de la Californie de l’époque, Jerry Brown, le 28 juin 2018, dans l’objectif de renforcer la protection
du droit constitutionnel à la vie privée. La date prévue d’entrée en vigueur
est le 1^er janvier 2020, toutefois, les sanctions prévues ne pourront
être mises en œuvre par le Procureur Général qu’après le 1^er juillet
2020[2].

Considérée comme étant la loi concernant la protection des
données personnelles la plus robuste aux États-Unis, elle a pour objectifs
d’octroyer aux citoyens californiens la propriété, le contrôle et la sécurité sur
leurs renseignements personnels, ainsi que de tenir les entreprises
responsables lorsqu’elles négligent de mettre en place des mesures raisonnables
afin de protéger l’information personnelle des citoyens[3].

L’APPLICATION DE LA LOI

Conformément à son article 1798.140g), le CCPA vise à
protéger le consommateur, c’est-à-dire le résident californien, qu’il soit en
Californie ou à l’extérieur de l’État de manière temporaire ou transitoire.

La nouvelle loi s’applique par ailleurs à toute entreprise à
but lucratif qui recueille des renseignements personnels et exerce des
activités en Californie pourvu que l’un des trois critères suivants soit satisfait :

–         
elle enregistre un
revenu global de plus de 25 millions de dollars américains;
–         
elle achète,
reçoit, vend ou partage les renseignements personnels de plus de 50 000
consommateurs, ménages ou appareils électroniques; ou
–         
elle tire plus de 50 %
de ses revenus annuels de la vente de renseignements personnels[4].
La loi s’applique de manière extraterritoriale aux
entreprises qui satisfont l’un des critères susmentionnés, et ce, malgré le
fait qu’elles n’aient aucune présence physique dans l’État californien. Une des
particularités de la loi californienne repose sur son vaste champ
d’application, notamment en raison de la définition donnée à certains termes.

À titre d’exemple, la notion de vente s’étend à « la location, la divulgation, la diffusion, la mise à
disposition, le transfert ou la communication d’information personnelle pour
une valeur monétaire ou autre considération »[5]
[traduit de l’anglais].

La notion de renseignement personnel a également une vaste portée. En effet, l’article 1798.140 (o) CCPA énonce qu’il s’agit des « renseignements qui identifient, se rapportent à, décrivent, peuvent être associées à, ou pourraient être raisonnablement liées, directement ou indirectement, à un consommateur ou à un ménage particulier » [traduit de l’anglais]. Le même article fournit, par ailleurs, une liste non exhaustive de renseignements qui peuvent être considérés comme personnels. Parmi les exemples cités se trouvent un nom réel, un alias, une adresse postale, un identifiant personnel unique, un identifiant en ligne, une adresse de protocole internet (une adresse « IP »), un nom de compte, les activités de recherche sur internet et les données de géolocalisation. Les inférences ainsi tirées de l’un des renseignements énuméré au paragraphe (o) qui permettent de créer un profil sur le consommateur « reflétant ses préférences, ses caractéristiques, ses tendances psychologiques, ses prédispositions, son comportement, ses attitudes, son intelligence, ses capacités et ses aptitudes » [traduit de l’anglais] pourraient de même considérées comme des renseignements personnels au sens du CCPA[6]. 

LES DROITS PRÉVUS 

Les principaux droits prévus au CCPA
sont le droit à l’information, le droit d’accès, le droit d’opposition, le
droit à l’oubli, ainsi que le droit à l’égalité des services et du prix.

Droit
à l’information.
En vertu du CCPA, les entreprises visées doivent informer au préalable les
consommateurs de « la catégorie et des renseignements personnels spécifiques
collectés à leur sujet »[7], du nom des tierces parties à qui
les renseignements seront éventuellement transmis ainsi que des finalités de
traitement prévues[8]. Les entreprises visées doivent par
le fait même afficher une politique de confidentialité afin d’informer les
consommateurs de leurs droits ainsi que des moyens offerts afin de les exercer[9].

Droit
d’accès. À la
lecture des articles 1798.100 et 1798.110 CCPA, les consommateurs ont un
droit d’accès détaillé aux renseignements personnels collectés, vendus ou
divulgués à leur sujet à des fins commerciales par une entreprise visée par le
CCPA. Ils ont également le droit d’accéder à d’autres renseignements tels
que la provenance des renseignements personnels, les objectifs commerciaux
de l’entreprise en cause et les catégories de tiers à qui les renseignements
sont divulgués.

Droit
d’opposition. Les
consommateurs ont le droit, à tout moment, de se retirer de la « vente »[10] des
renseignements personnels leur appartenant tel que prévu à l’article 1798.120
CCPA. Pour ce faire, les entreprises visées
par le CCPA doivent afficher un lien clair et visible à l’effet de « [n]e pas vendre mes renseignements personnels » [traduit de l’anglais] sur leur
page Web[11].
Une distinction particulière avec la loi européenne de protection
des données personnelles, le RGPD,
repose sur le fait que le consentement du consommateur n’est pas requis afin de
procéder à la vente de renseignement personnel de celui-ci, à moins que le consommateur
ne soit âgé de moins de 16 ans[12]. Le
consentement du tuteur légal doit toutefois être obtenu lorsque la vente de renseignement
personnel concerne un consommateur âgé de moins de 13[13]. 

Droit
à l’oubli. Les
consommateurs ont le droit d’obtenir la suppression des renseignements
personnels leur appartenant collectés par une entreprise visée, et ce, en tout
temps[14].   

Droit
à l’égalité des services et du prix. Il est défendu aux entreprises de
discriminer un consommateur puisque celui-ci se prévaut de ses droits en vertu
du CCPA, notamment en refusant de lui offrir des services ou en lui offrant un
service, mais à un prix différent[15].  

LES
SANCTIONS

Enfin, la
loi prévoit deux mécanismes distincts, c’est-à-dire le droit d’action du
Procureur Général de la Californie et le droit privé des consommateurs. Les
pénalités en cas de violation sont substantielles.

Droit
d’action du Procureur Général. D’abord, une entreprise
enfreint la loi si elle omet de remédier à une violation alléguée dans les 30
jours suivant la réception d’une notification du Procureur Général à cet effet.
Conformément à l’article 1798.155 CCPA, le Procureur Général de l’État de
la Californie peut ensuite imposer des pénalités civiles pouvant aller jusqu’à 2500 $
par violation ou encore 7500 $ par violation intentionnelle lorsque
l’entreprise visée ne remédie pas à la violation dans le délai de 30 jours.

Droit
privé d’action des consommateurs. La loi prévoit, de manière
distincte, un droit privé d’action à son article 1798.150 CCPA pour les
consommateurs en cas d’extraction, de vol ou de divulgation non autorisée de
certains renseignements sensibles tels que le numéro d’assurance sociale, le numéro
du permis de conduire, les renseignements médicaux résultant du défaut par l’entreprise de mettre en
œuvre et de maintenir des procédures de sécurité raisonnables. Ce droit privé
d’action s’applique uniquement lorsque les renseignements susmentionnés ne sont
pas cryptés ou caviardés. Également, le consommateur ne bénéficie du droit
d’action que si l’entreprise visée omet de remédier au défaut dans les 30 jours
suivant la réception d’une notification par le consommateur énonçant les
dispositions spécifiques pour lesquelles une violation a eu lieu. L’entreprise
visée doit alors remettre une lettre au consommateur à l’effet que la violation
a été corrigée et qu’aucune autre violation ne surviendra dans le même délai. Autrement,
les dommages et intérêts correspondent à une somme entre 100 $ et 750 $
par consommateur lésé et par incident, ou encore aux dommages
réels subis, lorsque ceux-ci sont plus élevés. Comme le consommateur n’a pas à
faire la preuve d’un quelconque dommage afin de bénéficier de l’indemnité
minimale prévue, nous pouvons présager une hausse du nombre de recours
collectifs dans les années à venir.

2. LE RÉGIME QUÉBÉCOIS
DE LA LOI SUR LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS DANS LE SECTEUR PRIVE

La Loi sur la protection
des renseignements personnels dans le secteur privé[16] (ci-après « Loi sur le secteur privé ») fêtait son
quart de siècle en novembre 2019[17]. En raison de la multiplication de lois toujours plus
conservatrices en matière de protection des renseignements personnels à
l’international (RGPD en 2016, CCPA en 2020, etc.), la Loi sur le secteur privé
est aujourd’hui perçue comme dépassée[18]. La modernisation annoncée du cadre juridique québécois
(privé) se fait donc attendre.

Notons qu’une application concomitante de la Loi sur la protection des renseignements
personnels et les documents électroniques[19] (ci-après « LPRPDE ») fédérale survient si les
renseignements personnels détenus par une entreprise sont partagés au-delà des
frontières provinciales, c’est-à-dire si les activités d’une entreprise ne se
déroulent pas entièrement au Québec. Cependant, la Loi sur le secteur privé étant
réputée « essentiellement similaire » à la LPRDPE[20] et faisant davantage l’objet de critiques, l’exercice de
comparaison avec celle-ci nous semblait plus pertinent[21].

L’APPLICATION DE LA LOI

Selon son article 1, la Loi sur le secteur privé s’applique
aux « renseignements personnels sur autrui qu’une personne recueille,
détient, utilise ou communique à des tiers à l’occasion de l’exploitation d’une
entreprise au sens de l’article 1525 du Code civil ». Or, au sens du
dernier alinéa de l’article 1525 C.c.Q., « [c]onstitue
l’exploitation d’une entreprise
l’exercice, par une ou plusieurs personnes, d’une activité économique
organisée, qu’elle soit ou non à caractère commercial, consistant dans la
production ou la réalisation de biens, leur administration ou leur aliénation,
ou dans la prestation de services » (soulignements et italiques ajoutés).

Par ailleurs, l’article 2 définit le renseignement personnel comme “tout
renseignement qui concerne une personne physique et permet de l’identifier”. Notons
toutefois que les renseignements personnels qui sont déclarés publics par une
loi ne font pas l’objet des mesures de protection liées à la collecte et à la
confidentialité prévues aux sections II et III de la Loi sur le secteur
privé[22]. 

La vente n’est ni définie
ni mentionnée dans la Loi sur le secteur privé. Le législateur préfère ainsi
des termes génériques tels « utilisation » ou
« communication »[23], lesquels n’évoquent pas aussi distinctivement le traitement
de données à des fins commerciales, pourtant un pilier de l’économie actuelle.

LES DROITS PRÉVUS 

Consentement et
nécessité. Le consentement[24] et la nécessité[25] sont les deux notions phares de la Loi sur le secteur privé[26]. Ainsi, une entreprise ne peut procéder à la collecte et à
l’utilisation de renseignements personnels que si l’activité est nécessaire et
que la personne concernée y consent – conditions cumulatives[27].  

Droit à l’information. Sur le contenu du droit à l’information, l’article 8
de la Loi sur le secteur privé prévoit qu’une entreprise qui collecte des
renseignements personnels sur autrui doit divulguer :
–         
l’objet du « dossier »[28];
–         
l’utilisation qui
sera faite des renseignements ainsi que les catégories de personnes qui y auront
accès au sein de l’entreprise;
–         
l’endroit où sera
détenu son dossier ainsi que des droits d’accès ou de rectification.

Notons ici que la Commission d’accès à l’information
du Québec (ci-après « CAI »), organisme chargé
de l’application de la Loi sur le secteur privé, a elle-même jugé que la notion
de dossier – employée pas moins de 48 fois dans la loi – était inadéquate. En
effet, la CAI a plutôt proposé la formulation « finalité de la
collecte », selon elle plus en phase avec l’univers numérique[29]
dans lequel les entreprises ne détiennent plus réellement de dossier physique
sur les individus.

Droit d’accès. La Section IV de la Loi sur le secteur privé énonce
les droits relatifs à l’accès au dossier de renseignements personnels détenus
par une entreprise sur autrui, à la demande de la personne visée[30]. Sommairement, chacun peut obtenir la confirmation de l’existence
d’un dossier de renseignements personnels le concernant et en obtenir
communication[31].

Autres droits. Au contraire du CCPA, la Loi sur le secteur privé n’édicte expressément
aucun droit à l’oubli, à la portabilité des renseignements personnels, à
l’égalité des services et du prix ou encore d’opposition.

Les
sanctions

La CAI est chargée de
l’application des lois sur la protection des renseignements personnels au
Québec, y compris de la Loi sur le secteur privé[32].
Elle mène enquête de son propre chef ou suite à la réception d’une plainte[33].
Suite aux enquêtes, elle peut rendre toute ordonnance pour enjoindre une
entreprise à se conformer à la loi[34].
Néanmoins, la CAI ne dispose d’aucun pouvoir afin d’imposer des sanctions
pécuniaires sans soumettre le dossier au Directeur des poursuites pénales et
criminelles (DPCP)[35].
Même alors, les sanctions sont dérisoires. En effet, selon la règle
générale, une contravention à la Loi sur le secteur privé est punissable d’une amende de 1 000 $ à 10 000 $ ou, en cas de
récidive,  de 10 000 à 20 000 $[36].

3.
COMPARAISON GÉNÉRALE ET CONCLUSION

Application. La terminologie utilisée dans le CCPA semble plus étendue
que celle de la Loi sur le secteur privé (ex. renseignement personnel).
Toutefois, les retombées juridiques précises de ce constat apparaitront sans
doute plus nettement avec le développement d’une jurisprudence sur
l’application du CCPA[37].

Droits prévus. Le CCPA prévoit des droits supplémentaires
au bénéfice des consommateurs, notamment le droit à l’oubli, le droit à
l’opposition et le droit à un traitement juste et équitable. Ces derniers
renforcent le principe constitutionnel de protection de la vie privée en
octroyant aux consommateurs un contrôle accru sur leurs données personnelles.
Notamment, le CCPA oublie la notion de consentement, souvent considérée
dépassée[38], au profit de droits plus en phase avec la réalité comme le droit
d’opposition qui, rappelons-le, permet à tout consommateur de s’opposer à
l’utilisation commerciale de ses renseignements personnels. Au contraire, la notion de consentement demeure centrale
dans la Loi sur le secteur privé.

Sanctions. Ce volet constitue le point faible de la loi québécoise
comparativement au CCPA. En effet, comme mentionné, la teneur des sanctions
pécuniaires prévues en diminue le pouvoir dissuasif sur les entreprises
assujetties. Au contraire, le CCPA présente des sanctions pécuniaires
importantes, notamment en lien avec le droit privé d’action des consommateurs. Dans
le même sens, la CAI étant chargée de l’administration de toutes les lois
québécoises sur PRP, son volume de dossiers annuel est élevé (2 341
demandes en 2018-2019[39]). Pourtant, elle détient des ressources financières et
matérielles limitées[40], notamment aux fins de conduire des enquêtes et des
procédures judiciaires. En somme, le CCPA semble un texte plus contraignant que
la Loi sur le secteur privé en raison de la teneur comparative des sanctions
qui y sont prévues.

En conclusion, le CCPA est un texte novateur duquel Loi sur le
secteur privé pourrait s’inspirer, notamment car il semble plus en phase avec
le contexte international numérique (ex. notion de vente, éventail de droits
relatifs aux enjeux technologiques contemporains, sanctions dissuasives). Néanmoins,
le CCPA est un texte très jeune dont la portée est encore incertaine. Par
exemple, une controverse tire déjà le bout du nez au sujet du caractère ambigu
de la terminologie employée[41]. Ainsi, au vu de l’annonce récente de la modernisation des Loi
sur le secteur privé, nous remettons notre entière confiance dans les mains de
la ministre de la Justice, M^e Sonia Lebel, qui semble déjà avoir
d’excellentes idées pour remettre la loi à l’heure du XIe siècle[42].

—

La protection des données personnelles vous intéresse? Le 27 mars prochain, joignez-vous à plus de 300 jeunes professionnels partageant votre passion pour le droit et la technologie. Cliquez ici pour vous inscrire à la 14e édition de la Conférence Legal.IT, la plus importante conférence au Canada sur l’impact des TI et leur potentiel sur le droit, organisée par le Jeune Barreau de Montréal.

—

Les chroniques du CTI sont rédigées par un ou plusieurs membres du Comité Technologies de l’information (CTI)
dans le but de susciter les discussions et de soulever les réflexions
au sein de la communauté juridique à propos des nouvelles technologies
et le droit. Les auteurs sont donc seuls responsables du contenu des
articles et l’opinion qui y est véhiculée n’est pas celle du JBM, mais
bien celle des auteurs. Si vous désirez rédiger une chronique, envoyez
un courriel au cti@ajbm.qc.ca.

---

[1] Cal. Civ. Code §§
1798.100-1798.199.

^[2] Cal. Civ. Code § 1798.185 (a)(7)(c).

[3] Lisa R. Lifshitz, « California now has
toughest law in U.S. for the collection of personal information Canadian Lawyer »,
Canadian Lawyer, 19 septembre 2019, en
ligne: https://www.canadianlawyermag.com/news/opinion/california-now-has-toughest-law-in-u.s.-for-the-collection-of-personal-information/304119.
[4] Cal. Civ.
Code §§ 1798.140 (c).
[5] Art. 1798.150 (t) CCPA
[6] Cal. Civ.
Code § 1798.140 (o) (1) (K).
[7]  Selon l’article 1798.100 CCPA : « categories
and specific pieces of personal information the business has collected ».
[8] Cal. Civ.
Code § 1798.100.
[9] Cal. Civ.
Code § 1798.135 (a) (2) (A).
[10] Cal. Civ.
Code § 1798.150 (t) CCPA.
[11] Cal. Civ.
Code § 1798.135 (a) (1).
[12] Cal. Civ.
Code § 1798.120 (c).
[13] Cal. Civ.
Code § 1798.120 (c).
[14] Cal. Civ.
Code § 1798.105 (a).
[15] Cal. Civ.
Code § 1798.125 (a) (1).
[16]  RLRQ, c. P-39.1.
[17] Commission d’accès à l’information du québec, « 2019 : les 25 ans de la Loi sur le secteur
privé », en
ligne : https://www.cai.gouv.qc.ca/a-propos/notre-histoire/2019-les-25-ans-de-la-loi-sur-le-secteur-prive/.
[18] Pour des
exemples de ces critiques, voir Antoine guilemain
et Eloïse gratton, « La
protection des renseignements personnels dans le secteur privé au Québec :
rétrospectives et perspectives », dans Développements
récents en droit à la vie privée (2019), vol. 465, Montréal, Éditions Yvon
Blais, 67-134.
[19] L.C. 2000,
c. 5.
[20] Commission à la protection de la vie privée au
canada, « Lois provinciales réputées essentiellement similaires à
la LPRPDE », en ligne : https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/la-loi-sur-la-protection-des-renseignements-personnels-et-les-documents-electroniques-lprpde/r_o_p/lois-provinciales-essentiellement-similaires-a-la-lprpde/ .
[21] Pour un
tableau comparatif du CCPA, RGPD, de la LPLRDE et de la Loi sur le secteur
privé, voir Karl delwaide, Antoine
aylwin « Tableau comparatif
des lois sur la protection », en ligne : https://www.cai.gouv.qc.ca/documents/Fasken-Comparaison-lois-protection-renseignements-personnels-VF.pdf.
[22] Loi sur le
secteur privé, art. 1, al. 5.
[23] À titre
illustratif, Loi sur le secteur privé, art. 14, al. 1 : « Le
consentement à la collecte, à la communication ou à l’utilisation
d’un renseignement personnel doit être manifeste, libre, éclairé et être donné
à des fins spécifiques. […] ».
[24]  Voir notamment Loi sur le secteur privé, art.
12 à 15.
[25]  Voir notamment Loi sur le secteur privé, art.
5.
[26] Laval (Ville de) c. X., [2003] IIJCan 44085 (C.Q.).
[27]  Antoine aylwin
et Karl delwaide, « Leçons tirées
de dix ans d’expérience : la Loi sur la protection des renseignements
personnels dans le secteur privé du Québec », dans Service de la formation
continue du Barreau du Québec, Développements
récents en droit d’accès à l’information, Montréal, Éditions Yvon Blais,
2005, EYB2005DEV1092.
[28] Selon
l’article 3, troisième alinéa, de la Loi
concernant le cadre juridique des technologies de l’information (RLRQ, c.
C1-1) : « Un dossier peut être composé d’un ou de plusieurs
documents ». Par ailleurs, selon la même disposition, un document est
constitué d’information portée par un support.
[29] Commission de l’accès à l’information, Rapport quinquennal 2016 « Rétablir
l’équilibre », septembre 2016, en ligne : « https://www.cai.gouv.qc.ca/documents/CAI_RQ_2016.pdf », p.
80.
[30] Loi sur le
secteur privé, art. 27 et suiv.
[31] Loi sur le
secteur privé, art. 27 al. 1.
[32] Loi sur le
secteur privé, art. 41.1 et suiv.
[33] Loi sur le
secteur privé, art. 81.
[34] Loi sur le
secteur privé, art. 55.
[35] Loi sur le
secteur privé, art. 91 et suiv.
[36] Art. 91 al
Loi sur le secteur privé : « Quiconque recueille, détient, communique
à un tiers ou utilise un renseignement personnel sur autrui sans se conformer à
une disposition des sections II, III ou IV de la présente loi est passible
d’une amende de 1 000 $ à 10 000 $ et, en cas de récidive, d’une amende de
10 000 $ à 20 000 $.
Toutefois, dans le cas d’une contravention à l’article
17, l’amende est de 5 000 $ à 50 000 $ et, en cas de récidive, de 10 000 $
à 100 000 $ ».
[37] Une
première poursuite pourrait néanmoins aboutir prochainement, voir « Salesforce
Data Breach Suit Cites California Privacy Law », Bloomber Law, 4 février 2020, en ligne : https://news.bloomberglaw.com/privacy-and-data-security/salesforce-data-breach-suit-cites-california-privacy-law.
[38] Par
exemple, voir Pierre Trudel,
« Renseignements personnels: les vraies urgences », Le Devoir, en ligne : https://www.ledevoir.com/opinion/chroniques/573151/renseignements-personnels-les-vraies-urgences?fbclid=IwAR26KgZN9qq9DcNoZIyQK8xSoo6qtmPmqUXeM1htuLB5igVylk_Y4pjym_8.
[39] Commission d’accès à l’information du Québec,
« Rapport annuel de gestion 2018-2019 », en ligne :
« https://www.cai.gouv.qc.ca/documents/CAI_RAG_2018-2019.pdf », p. 3.
[40]  Son budget pour l’année 2018-2019 était de 7
592 900$, Id.
[41] «
California AG Faces Criticism of Draft Regulations at Los Angeles CCPA Hearing
», Wiley Law, en ligne : « https://www.wiley.law/alert-California_AG_Faces_Criticism_of_Draft_Regulations_at_Los_Angeles_CCPA_Hearing »
(page consultée le 17 février 2020).
[42] Fanny Lévesque, “Données personnelles: une loi
avec plus de mordant”, La Presse, 19
février 2020, en ligne : “https://www.lapresse.ca/actualites/politique/202002/11/01-5260568-donnees-personnelles-une-loi-avec-plus-de-mordant.php.”