Le gouvernement a déposé en juin dernier le projet de loi 64 qui vise à moderniser les mesures législatives de protection des renseignements personnels. Projet d’envergure, il comprend 165 articles qui touchent pas moins de 21 lois différentes, dont la Loi sur la protection des renseignements personnels dans le secteur privé. Cette dernière a bien besoin d’être réformée, notamment parce que, dans sa forme actuelle, elle n’est pas à même de répondre aux défis que posent le commerce électronique et l’exploitation massive de données en ligne.
Éclipsé par le flot de critiques entourant le projet de loi 61 déposé quelques jours plus tôt cet été, le dépôt du projet a fait peu de vagues. Il vient d’être étudié par les élus dans le cadre d’une brève consultation particulière de la Commission des institutions, qui n’a pas fait jaser non plus. Il y a pourtant beaucoup à dire ; l’étude du projet de loi et son contenu devrait en inquiéter plus d’un.
Les quatre jours de consultation du gouvernement ont pris fin la semaine dernière. Certaines organisations dont le point de vue est pourtant essentiel étaient absentes : le Barreau du Québec, la Protectrice du citoyen et la Commission des droits de la personne et de la jeunesse ont tous les trois dû renoncer à participer aux auditions faute de temps pour se préparer adéquatement. D’autres organisations, comme la Ligue des droits et libertés, ont souligné lors de leur présentation avoir manqué de temps pour développer des positions sur certains des enjeux abordés dans le projet.
Pourquoi une telle urgence de la part du gouvernement québécois ? Le gouvernement fédéral étudie depuis des années déjà une réforme potentielle de sa loi, similaire, sur la protection des renseignements personnels. Dans les deux cas, les réformes sont nécessaires et réclamées depuis longtemps déjà; elles ne devraient pas pour autant être faites à la va-vite. Mieux vaut bien faire les choses, considérant les enjeux complexes soulevés par la réforme.
Devrait-on prévoir un droit à l’oubli, qui oppose d’une part l’intérêt public, la liberté d’expression et le droit à l’information, et d’autre part, la protection de la vie privée et la dignité humaine ? Est-ce aux entreprises privées qu’il revient de déterminer cet équilibre, comme le propose le projet de loi ? Comment s’assurer de la sécurité du transfert transfrontalier des renseignements personnels ? Les simples obligations contractuelles entre les entreprises concernées présenteraient-elles des garanties suffisantes, comme semble le croire le gouvernement ?
Devrait-on prévoir des règles particulières pour les mineurs ? Comment aviser et outiller les consommateurs qui seraient victimes d’un vol ou d’une utilisation illicite de leurs renseignements personnels détenus par une entreprise ? Dans quelles situations l’utilisation ou la communication de renseignements personnels sans consentement explicite devrait-il être permis ? Voilà quelques-unes des questions qui méritent une réflexion éclairée par les élus et plus largement, par la société. Malheureusement, dans sa mouture actuelle, le projet de loi néglige certaines des approches plus protectrices adoptées par la législation européenne qu’il prend pourtant pour modèle et laisse certainement aux entreprises le soin de trancher un trop grand nombre de questions délicates.
En procédant à une consultation aussi rapide, le gouvernement se prive de la possibilité de retravailler réellement sa réforme à la suite des commentaires et recommandations d’experts, d’organisations et de citoyens que ces questions préoccupent.
Le projet de loi n’est toutefois pas dépourvu de bonnes mesures. Il répond à plusieurs demandes de la Commission d’accès à l’information et des groupes de défense des consommateurs : des sanctions administratives pénales sévères pour les entreprises qui enfreignent les règles, un recours en dommages-intérêts pour les consommateurs victimes, la portabilité des données, la destruction ou l’anonymisation éventuelle des renseignements collectés, etc. L’introduction du principe de confidentialité par défaut et la nécessité d’un consentement spécifique pour toutes collectes ou utilisations supplémentaires sont aussi de grands pas en avant, auxquels plusieurs dispositions apportent malheureusement des limites importantes.
La réforme proposée se doit de faire beaucoup mieux en ce qui concerne le consentement éclairé des consommateurs dont les données sont collectées, utilisées et conservées par les entreprises, particulièrement en ligne. Alors que le gouvernement dit vouloir redonner le plein contrôle de leurs renseignements personnels aux consommateurs, il prévoit surtout des obligations de transparence pour les entreprises. Un consommateur sera davantage informé du traitement de ses renseignements (traitement automatisé, profilage, vente à des tiers), mais ne pourra pas s’y opposer davantage. Sans cette possibilité, le consentement des consommateurs, pourtant requis, est trop souvent illusoire ou inexistant.
Par conséquent, Union des consommateurs, comme plusieurs autres intervenants, demande au gouvernement de reporter l’adoption du projet de loi et de se livrer à une consultation plus large.
Pour information complémentaire :
Anaïs Beaulieu-Laporte,
analyste, politiques et réglementation en matière de télécommunications, radiodiffusion, Internet, vie privée
ABeaulieu-Laporte@uniondesconsommateurs.ca