Vie privée au Québec: la loi 25

En 2018, peu après l’entrée en vigueur du Règlement général sur la protection des données (RGPD) de l’Union européenne, Nicolas Vermeys, professeur de droit à l’Université de Montréal, a entendu des bribes de conversations lors d’un congé sabbatique en Virginie où il assistait à une conférence.

« Deux juristes étaient assis dans la rangée devant moi », raconte Nicolas Vermeys, dont les travaux portent sur l’incidence des technologies de l’information sur le droit. « Ils parlaient de la loi européenne en disant qu’elle changeait la donne, qu’elle était sans précédent, ce genre de choses. »

« Et j’ai voulu leur demander en quoi elle était vraiment différente. En fait, ce sont les amendes. Les amendes ont beaucoup augmenté et c’est ce qui a poussé les entreprises à l’étranger à prêter attention, parce qu’elles ne pouvaient pas se permettre de faire autrement. »

Le RGPD a attiré l’attention du monde des affaires en renforçant les sanctions en cas d’atteinte à la vie privée. Pendant ce temps, la nouvelle loi 25 du Québec, qui s’inspire du RGPD, a été beaucoup moins médiatisée. La couverture médiatique au Québec a été modeste, et l’intérêt des médias hors Québec a été presque inexistant.

C’est dommage, car même si la loi 25 est, comme le dit M. Vermeys, un « copier-coller » du RGPD à bien des égards, elle va considérablement plus loin que la loi européenne à d’autres égards importants. Et comme le RGPD, la loi 25 est extraterritoriale, ce qui signifie qu’une entreprise relève de son champ d’application si ses actions ont des répercussions sur les consommateurs et les consommatrices au Québec.

« Cela signifie que toute personne victime d’une atteinte à la vie privée liée à une entité établie au Québec peut être impliquée dans une action collective putative intentée au Québec, quel que soit son lieu de résidence. Et toute entreprise qui fait des affaires au Québec est assujettie à la loi 25 », explique Catherine Samaha, candidate au doctorat dans le cadre d’un projet de recherche conjoint entre l’Université de Montréal et la Sorbonne à Paris. Elle étudie les plateformes numériques et les actions collectives.

La loi 25 adopte le principe de la « protection de la vie privée par défaut », en donnant aux consommateurs et aux consommatrices un droit automatique à la confidentialité des renseignements personnels détenus par les entreprises privées. Par exemple, toute technologie de suivi ou de profilage sur le site Web d’une entreprise doit être désactivée à moins que l’utilisateur n’ait donné son consentement exprès. La loi 25 est donc beaucoup plus contraignante que le RGPD, qui exige que les responsables du traitement des données emploient des « mesures techniques et organisationnelles appropriées » pour protéger les renseignements personnels, ce que l’on appelle la « protection de la vie privée dès la conception ».

La loi québécoise exige que les entreprises réalisent des « évaluations des facteurs relatifs à la vie privée » (EFVP) lors de l’acquisition ou de la création de systèmes impliquant des données privées, lors de la communication de tout renseignement personnel à l’extérieur du Québec et avant de divulguer des renseignements personnels sans consentement à des fins de recherche. Le RGPD exige des EFPV uniquement lorsque le traitement des données présente un « risque élevé » pour les droits des individus.

La loi 25 serre également la vis en faisant du consentement l’autorité par défaut pour le traitement des renseignements personnels d’une personne, et stipule que le consentement de l’individu doit être obtenu pour chaque utilisation particulière des données. Le consentement n’est pas l’autorité par défaut en vertu du RGPD, et la loi européenne donne aux États membres plus d’exemptions à la règle du consentement que ne le fait la loi 25, y compris en ce qui concerne le respect des obligations légales et de « l’intérêt public ».

Ce ne sont là que quelques-unes des grandes différences entre la loi 25 et le RGPD qui, sans doute, font que la Loi 25 présente un risque plus important pour le secteur privé en ce qui concerne le respect de la loi. Les sanctions prévues par la loi 25 en cas de non-respect peuvent être sévères : une amende de 15 000 dollars à 25 millions de dollars, ou 4 % du chiffre d’affaires mondial de l’entreprise pour l’année précédente, selon le montant le plus élevé.

Le monde des affaires a eu plus de cinq ans pour s’adapter au RGPD. Les entreprises sont-elles prêtes pour la loi 25?

« De manière anecdotique, je peux affirmer que bon nombre de nos clients exerçant des activités importantes au Québec commencent à se conformer à la loi », a déclaré Adam Kardash, associé en droit de la vie privée et de la gestion des données au sein du cabinet Osler.

« On peut s’attendre à ce qu’un grand nombre d’entreprises commencent tout juste à déployer des efforts dans ce sens. Un travail considérable devra être accompli au cours des 60 derniers jours. »

« Certaines entreprises sont préparées, d’autres non », a déclaré M. Vermeys. « Je pense que beaucoup de petites entreprises n’ont aucune idée de ce qui les attend. »

Étant donné la relative méconnaissance de la loi 25 en dehors du Québec, il est probable que peu d’entreprises à l’extérieur du Québec soient au courant de ce que la loi pourrait exiger d’elles. Selon Me Kardash, les grandes entreprises qui traitent des renseignements personnels sont déjà au fait des obligations qui leur incombent en vertu des lois provinciales, fédérales et internationales pertinentes

« Il faut garder à l’esprit que le Québec est un très petit marché, a-t-il déclaré. Les petites entreprises en général sont peut-être moins conscientes des responsabilités qui leur incombent en vertu de la loi 25. Mais toute entreprise qui traite de grandes quantités de renseignements personnels se voit constamment demander par ses clients et  fournisseurs comment elle répond aux préoccupations en matière de protection de la vie privée. Il est donc beaucoup plus probable qu’elle y soit préparée. »

Mais les effets de la loi 25 ne se limiteront pas aux amendes, a déclaré Mme Samaha. La loi 25 n’indemnise pas les victimes d’atteintes à la vie privée. C’est là que l’option de l’action collective entre en jeu.

« Les victimes chercheront à être indemnisées par le biais d’actions collectives, et nous assisterons à une augmentation importante du nombre d’actions collectives dans le domaine de la protection de la vie privée », a déclaré Mme Samaha.

D’une part, la procédure québécoise en matière d’actions collectives a été conçue pour être favorable aux demandeurs et demanderesses. La barre en matière de certification est moins élevée au Québec que dans les provinces de common law.

D’autre part, la jurisprudence sur les actions collectives liées à la protection de la vie privée ne semble pas pencher en faveur des demandeurs et demanderesses dans la plupart des cas. En 2021, la Cour supérieure du Québec a rejeté une action collective en matière de protection de la vie privée dans l’affaire Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), soit la première action collective en matière de protection de la vie privée au Canada à être jugée sur le fond, parce que les demandeurs et demanderesses n’avaient pas réussi à démontrer qu’une atteinte portée à leurs renseignements personnels leur avait causé un préjudice autre qu’un simple désagrément.

« À mon avis, la loi 25 change la donne », a souligné Mme Samaha.

La loi 25 oblige les entreprises à prendre des mesures proactives pour protéger la vie privée des individus. Les tribunaux québécois vont infliger de lourdes amendes aux entreprises qui ne prendront pas ces mesures proactives.

« Cette loi doit donc changer le point de vue des tribunaux, selon Mme Samaha, il ne sera ni raisonnable ni logique de pénaliser les entreprises en vertu de la loi pour leur incapacité à prendre des mesures proactives, tout en rejetant les actions collectives déposées pour les mêmes motifs. »

La loi 25 et le seuil peu élevé pour la certification des actions collectives au Québec pourraient-ils entraîner une augmentation du nombre d’actions collectives en matière de protection de la vie privée impliquant des entreprises hors Québec? Personne ne le sait avec certitude, mais il n’y a rien de tel qu’une action collective pour faire réagir le secteur privé.