2021-01-11 Articles
Dossier spécial
Le Projet de loi nº 64 : Comment s’y préparer? (3e Partie)
Dans ce troisième volet portant sur le Projet de loi nº 64 (ci-après « Projet de loi »)[1] nous traiterons des droits de retrait du consentement, de destruction, d’anonymisation, d’accès des personnes concernées, de rectification, et de faire cesser la diffusion ou d’exiger la désindexation, toujours en regard des principales modifications qui seraient apportées à la Loi sur la protection des renseignements personnels dans le secteur privé.[2]
Le droit de retrait du consentement
Toute personne qui exploite une entreprise et qui utilise des renseignements personnels à des fins de prospection commerciale ou philanthropique doit s’identifier auprès de la personne à qui elle s’adresse et l’informer de son droit de retirer son consentement à ce que les renseignements personnels la concernant soient utilisés à ces fins. Advenant que le consentement soit retiré, les renseignements personnels doivent cesser d’être utilisés.[3]
Le droit de destruction ou d’anonymisation
Une fois les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise doit le détruire ou l’anonymiser, sous réserve d’un délai de conservation prévu par une loi.[4]
L’anonymisation fait référence au fait que le renseignement ne permet plus, de façon irréversible, d’identifier directement ou indirectement la personne physique concernée. L’anonymisation d’un renseignement doit se faire selon les meilleures pratiques généralement reconnues.[5] Le Projet de loi ne propose aucune technique définie d’anonymisation. Cela dit, en 2014, le Groupe de travail « Article 29 » sur la protection des données qui comprenait les autorités de protection des données personnelles européennes a publié l’Avis 05/2014 sur les Techniques d’anonymisation. Les données seront anonymisées si elles résistent aux trois risques suivants :
- Individualisation : Existe-t-il une possibilité d’isoler une partie ou la totalité des attributs permettant d’identifier une personne dans l’ensemble de données?;
- Corrélation : Est-ce possible de relier entre elles, au moins, deux données se rapportant à la même personne ou un groupe de personnes concernées?;
- Inférence : On fait référence à la possibilité de déduire, avec un degré de probabilité élevé, la valeur d’un attribut à partir des valeurs d’un ensemble d’autres attributs;[6]
Un exemple de technique d’anonymisation est la randomisation qui consiste à altérer la véracité des données afin d’affaiblir le lien entre les données et l’individu.[7]
Aussi, l’anonymisation se distingue de la dépersonnalisation d’un renseignement personnel. Nous avons abordé la notion de dépersonnalisation dans notre article portant entre autres sur le consentement.[8] La dépersonnalisation est lorsqu’un renseignement ne permet plus d’identifier directement la personne.[9] Ainsi, l’adverbe indirectement est central dans la distinction entre les deux notions.
À titre d’exemple, un système cryptographique à clé secrète est une technique de dépersonnalisation. Ainsi, la personne qui a possession de la clé pourrait ré-identifier chaque personne concernée en décryptant l’ensemble de données.
Le droit d’accès des personnes concernées
Le Projet de loi stipule que toute personne qui exploite une entreprise et détient un renseignement personnel sur autrui doit, à la demande de la personne concernée, lui en confirmer l’existence et lui donner communication de ce renseignement en lui remettant une copie.[10]
De même, si le renseignement personnel est informatisé, la personne peut demander à ce que ce renseignement lui soit communiqué sous la forme d’une transcription écrite et intelligible.[11]
Sous réserve de difficultés pratiques sérieuses, la personne peut également obtenir communication d’un renseignement personnel informatisé dans un format technologique structuré et couramment utilisé. À sa demande, le renseignement personnel la concernant peut aussi être communiqué à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement.[12]
Le droit de rectification
Selon l’article 113 du Projet de loi, une personne peut exiger la rectification d’un renseignement personnel la concernant dans la mesure où il est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la loi.[13]
Le droit de faire cesser la diffusion ou d’exiger la déxindexation
Le Projet de loi propose l’ajout d’un nouveau droit en matière de protection des renseignements personnels, soit celui de faire cesser la diffusion ou d’exiger la désindexation. Ainsi, une personne concernée par un renseignement personnel peut exiger d’une personne qui exploite une entreprise qu’elle cesse la diffusion de ce renseignement personnel la concernant ou encore exiger qu’elle désindexe tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique, lorsque la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire.[14]
De plus, une personne peut également se prévaloir de ce droit, ou encore exiger que l’hyperlien permettant d’accéder à ce renseignement soit réindexé, lorsque les conditions suivantes sont réunies :[15]
- La diffusion de ce renseignement lui cause un préjudice grave relatif au droit au respect de sa réputation ou de sa vie privée;
- Ce préjudice est manifestement supérieur à l’intérêt du public de connaître ce renseignement ou à l’intérêt de toute personne de s’exprimer librement;
- La cessation de la diffusion, la réindexation ou la désindexation demandée n’excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice.
Par ailleurs, dans l’évaluation des critères du droit d’une personne de se prévaloir de son droit de faire cesser la diffusion ou d’exiger la désindexation, ou encore d’exiger que l’hyperlien permettant d’accéder à ce renseignement soit réindexé, lorsque les conditions ci-dessus sont réunies, il est tenu compte notamment :
- Du fait que la personne est une personnalité publique;
- Du fait que la personne est mineure;
- Du fait que le renseignement est à jour et exact;
- De la sensibilité du renseignement;
- Du contexte dans lequel s’effectue la diffusion du renseignement;
- Du délai écoulé entre la diffusion du renseignement et la demande faite en vertu de ce droit;
- Si le renseignement concerne une procédure criminelle ou pénale, de l’obtention d’un pardon ou de l’application d’une restriction à l’accessibilité des registres des tribunaux judiciaires.
Les délais
Dans un article provenant de l’équipe de prévention des réclamations et dans la mesure où les avocats seront appelés à conseiller leurs clients au sujet de ce Projet de loi, il nous était impossible de ne pas traiter du respect du délai suivant.
Aussi, le responsable de la protection des renseignements personnels doit répondre par écrit à la demande d’accès ou de rectification, et ce, avec diligence et au plus tard dans les 30 jours de la date de la réception de la demande.[16]
Enfin, le responsable de la protection des renseignements personnels doit motiver tout refus d’acquiescer à une demande et indiquer la disposition de la loi sur laquelle ce refus s’appuie, les recours qui s’offrent au requérant en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé et le délai dans lequel ils peuvent être exercés. Un devoir d’assistance incombe au responsable de la protection des renseignements personnels afin d’aider le requérant à comprendre le refus.[17]
Dans notre dernier article, nous traiterons de la communication d’un renseignement personnel à la suite d’un décès, de certains délais en matière d’appel et de contestation, des sanctions en cas d’infraction et du droit de poursuite privée.
[1] Projet de loi nº 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 42e lég. (Qc), 1re sess., 2020.
[2] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1.
[3] Id., art. 111.
[4] Id., art. 111.
[5] Id.
[6] Groupe de travail « Article 29 » sur la protection des données, Avis 05/2014 sur les Techniques d'anonymisation, 10 avril 2014, p. 12-13.
[7] Id.
[8] Ce texte peut être consulté à l’adresse suivante : Le Projet de loi nº 64 : Comment s'y préparer? 2e Partie
[9] Id., art. 102.
[10] Id., art. 112.
[11] Id.
[12] Id.
[13] Id., art. 113.
[14] Id.
[15] Id.
[16] Id., art. 116.
[17] Id., art. 118.