•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

De lourdes pénalités sont prévues pour les entreprises négligentes avec vos données

Éric Caire.

Éric Caire, le ministre délégué à la Transformation numérique gouvernementale.

Photo : La Presse canadienne / Ryan Remiorz

La Presse canadienne

Les entreprises ont deux ans pour se conformer aux dispositions de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ancien projet de loi 64). En adoptant une « loi qui a des dents », selon le ministre Éric Caire, Québec signale que la négligence ne sera plus tolérée en matière de gestion des données personnelles.

Une culture de négligence s'était installée au sujet de la collecte des renseignements personnels au sein de certaines organisations, affirme Éric Caire, le ministre délégué à la Transformation numérique gouvernementale, en entrevue. La loi sur l'accès à l'information, qui n'avait pas été mise à jour depuis les années 1970 pour les organismes publics et depuis le début des années 1990 pour le secteur privé, avait besoin d'un dépoussiérage.

Le vol massif des données des membres du Mouvement Desjardins, dévoilé au printemps 2019, a démontré les tristes conséquences des lacunes entourant la gestion des données personnelles.

Collecter des renseignements personnels, c'est quelque chose d'extrêmement sérieux, qui amène une responsabilité qui doit être prise au sérieux.

Une citation de :Éric Caire, ministre délégué à la Transformation numérique gouvernementale

L'ampleur des sanctions prévues démontre ce sérieux, croit M. Caire. Les sanctions administratives pourront atteindre 2 % du chiffre d'affaires mondial ou 20 millions de dollars. Pour les sanctions pénales, prévues pour les cas les plus graves, il reviendra au juge de déterminer le montant des sanctions, mais la loi prévoit jusqu'à 4 % du chiffre d'affaires ou 25 millions de dollars.

Des mains sur un clavier d'ordinateur

La négligence ne sera plus tolérée en matière de gestion des données personnelles.

Photo : La Presse canadienne / Jonathan Hayward

Aux propriétaires de petites entreprises inquiets par les sommes en cause, M. Caire assure que la Commission d'accès à l'information (CAI), qui sera chargée de faire appliquer la loi, prendra en compte la capacité de payer des entreprises. Les sanctions administratives imposées aux PME fautives ne seront pas du même ordre que celles imposées aux grandes sociétés. Le but n'est pas d'amener une entreprise à la faillite.

Outre la responsabilisation des dirigeants, la loi prévoit le consentement explicite quant à l'utilisation qui sera faite des données personnelles des Québécois. Si une entreprise souhaite utiliser des données à une autre fin, elle devra redemander un consentement.

La loi inclut aussi un droit à l'effacement ou un droit à l'oubli, qui permet aux utilisateurs qui voient des informations personnelles embarrassantes circuler sur le web de demander à ce qu'elles soient désindexées. Les informations d'intérêt public ne pourront toutefois pas être désindexées.

La loi 64 n'empêchera pas le vol de données par des pirates informatiques mal intentionnés, nuance le député de La Peltrie.

Le risque zéro n'existe pas, mais ça sera plus compliqué.

Une citation de :Éric Caire, ministre délégué à la Transformation numérique gouvernementale

Les entreprises qui respectent les normes et directives établies par la CAI ne s'exposeront pas à une sanction de sa part, si elles sont victimes d'une attaque et qu'elles démontrent qu'elles ont géré les données collectées dans les règles de l'art. Les citoyens garderont tout de même le droit d'entreprendre une action collective.

Deux ans pour s'ajuster

Québec se donne deux ans avant d'appliquer la loi. La Commission d'accès à l'information (CAI) devra se préparer à l'exécution de ses nouveaux pouvoirs et au recrutement d'experts en technologie. Elle doit aussi établir les normes et directives que devront respecter les entreprises, qui sont encore à déterminer. On veut donner le temps à tout le monde de bien comprendre la loi, assure M. Caire.

Dans l'attente de ces normes et directives, il reste un flou, estime Francis Bérubé, analyste principal à la Fédération canadienne de l'entreprise indépendante (FCEI). Un grand travail de communication et d'accompagnement va être nécessaire avec ce projet de loi là.

M. Caire assure que la CAI va faire un travail afin de clarifier et simplifier les choses pour éviter toute ambiguïté.

Se préparer à l'application de la nouvelle législation pourrait être une tâche ardue pour les petites entreprises, juge toutefois Charles Milliard, président et chef de la direction de la FCCQ.

Un sondage effectué par l'organisation en juin démontre que 4 entreprises sur 10 ne comprennent pas les effets de la loi 64 sur leurs activités. On a la conviction que les PME n'ont pas les ressources juridiques et technologiques pour bien comprendre tous les enjeux à l'intérieur de la période, dit M. Milliard.

La CAI et les entreprises vont aussi se trouver en concurrence pour embaucher des experts en gestion des données dans un contexte de pénurie de main-d'œuvre, poursuit M. Milliard. On a peur qu'il manque d'expertise sur le terrain pour bien faire arriver ça dans le temps qui est imparti.

M. Caire reconnaît que la loi 64 peut amener certains problèmes pour les entreprises, mais il juge que la protection des renseignements personnels le justifie. Le fardeau est proportionnel à la valeur de l'actif qu'ils ont collecté. Ils doivent comprendre ça. Je comprends que c'est plate quand en cours de route les choses changent. Je leur réponds d'aller demander aux citoyens qui se sont fait voler leurs renseignements personnels ce que ça veut dire pour eux dans leur vie.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !