Projet de loi n° 64 : les entreprises québécoises sont-elles prêtes pour des changements majeurs?

04 octobre, 2021

En quoi consiste le projet de loi 64?

Le 12 juin 2020, le projet de loi 64 a été présenté au Québec à des fins de modernisation des lois en matière de protection des renseignements personnels dans les secteurs privé et public. Intitulé Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, ce projet de loi contient des exigences plus strictes en matière de protection des renseignements personnels, notamment une plus grande transparence ainsi que le renforcement des mesures de protections et du consentement. Ces exigences sont, sanctionnées par des amendes élevées et les pouvoirs de la Commission d’accès à l’information sont renforcés.

Pourquoi ce projet de loi est-il important?

Ce projet de loi représente un changement majeur pour les entreprises québécoises en matière de gestion et de protection des renseignements personnels. Voici quelques-unes des principales dispositions qui, selon nous, entraîneront les répercussions les plus importantes sur les activités des entreprises :

Amendes plus élevées : Le projet de loi fixe de nouvelles infractions pénales assorties d’amendes élevées (jusqu’à 4 % du chiffre d’affaires annuel) et permet à la Commission d’accès à l’information (CAI) d’imposer aux entreprises des sanctions pécuniaires administratives pouvant atteindre : i) 10 000 000 $ CA, ou ii) le montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice précédent si ce dernier montant est plus élevé.
Exigences plus strictes en matière de protection des renseignements personnels : Ces exigences comprennent, entre autres, l’exécution d’évaluations des facteurs relatifs à la vie privée (EFVP) obligatoires, l’exécution d’évaluations pour la communication de renseignements personnels à l’extérieur du Québec afin de maintenir une protection adéquate, un consentement « distinct » et « exprès » et de nouveaux droits individuels tels que la transférabilité des données.

Les entreprises québécoises sont-elles prêtes à se conformer au projet de loi 64?

En collaboration avec l’Association canadienne des compagnies d’assurances de personnes (ACCAP) et la Fédération des chambres de commerce du Québec (FCCQ), PwC Canada a mené un sondage en mai 2021 pour comprendre le degré de préparation, la sensibilisation et les effets escomptés des changements législatifs proposés dans le projet de loi 64. Nous avons interrogé près de 75 décideurs de haut rang au Québec responsables des enjeux de confidentialité et de données dans des secteurs et des entreprises de différentes tailles.

Nous vous présentons ci-dessous les résultats du rapport et les points saillants :

Seulement 35 % des entreprises prévoient d’être entièrement prêtes à se conformer
Près de quatre entreprises sur dix, en particulier les petites et moyennes entreprises, déclarent ne pas comprendre toute l’ampleur des répercussions du projet de loi 64 sur leurs activités et n’ont pas encore mis en place de mécanismes robustes de protection des renseignements personnels
Les entreprises s’attendent à devoir doubler les équipes chargées de la protection des renseignements personnels pour se conformer
Pour la moitié des répondants, ce sont les nouvelles obligations en matière de transfert de données à l’extérieur du Québec qui auront le plus d’incidence sur leurs activités

Téléchargez le PDF

Et maintenant?

Plusieurs modifications ont été apportées au cours du processus mené par le comité en juin 2021 avant le début de la pause estivale. Si certaines des nouvelles obligations représentent des améliorations pour les entreprises, d’autres suscitent des inquiétudes, notamment les suivantes :

Divulguer les noms des tiers auxquels les renseignements sont susceptibles d’être communiqués
Désactiver par défaut les fonctionnalités permettant d’identifier et de localiser une personne ou d’en effectuer le profilage (plutôt que d’avoir la possibilité de les désactiver)
Anonymiser les renseignements personnels plutôt que les détruire uniquement s’ils doivent être utilisés « en raison d’un intérêt sérieux et légitime »

Le 24 août dernier, le comité a terminé l’étude article par article du projet de loi, et celui-ci a été adopté le 21 septembre.

Comment se préparer?

Les grandes entreprises du Québec travaillent actuellement à la mise en place de programmes pour se préparer, tandis que de nombreuses petites et moyennes entreprises sont freinées par les coûts nécessaires pour se conformer dans une conjoncture économique déjà difficile.

Nous avons déjà constaté avec le Règlement général sur la protection des données (RGPD) que les entreprises qui adoptent une approche de la protection des renseignements personnels stratégique centrée sur le client plutôt qu’une approche axée uniquement sur la conformité sont en mesure de tirer parti de la situation. Investir dans les domaines clés reposant sur la confiance dans les données (découverte, gouvernance, protection et minimalisation des données) peut permettre d’améliorer l’expérience client et d’instaurer la confiance nécessaire pour dégager la valeur des données et stimuler l’innovation et le développement économique. Cela nécessite toutefois une réflexion stratégique, le soutien de la direction et les fonds et ressources nécessaires pour y parvenir.