De lourdes pénalités sont prévues pour les entreprises négligentes avec vos données

Les entreprises ont deux ans pour se conformer aux dispositions de la Loi sur la modernisation des dispositions législatives sur la protection des renseignements personnels (le projet de loi 64)qui régit la protection des renseignements personnels. En adoptant une « loi qui a des dents », Québec signale que la négligence ne sera plus tolérée en matière de gestion des données personnelles.

Une culture de négligence s'était installée au sujet de la collecte des renseignements personnels au sein de certaines organisations, affirme Éric Caire, le ministre délégué à la Transformation numérique gouvernementale, en entrevue. La loi sur l'accès à l'information, qui n'avait pas été mise à jour depuis les années 1970 pour les organismes publics et depuis le début des années 1990 pour le secteur privé, avait besoin d'un dépoussiérage.

Le vol massif des données des membres du Mouvement Desjardins, dévoilé au printemps 2019, a démontré les tristes conséquences des lacunes entourant la gestion des données personnelles.

Collecter des renseignements personnels, c'est quelque chose d'extrêmement sérieux, qui amène une responsabilité qui doit être prise au sérieux.

L'ampleur des sanctions prévues démontre ce sérieux, croit M. Caire. Les sanctions administratives pourront atteindre 2 % du chiffre d'affaires mondiales ou 20 millions de dollars. Pour les sanctions pénales, prévues pour les cas les plus graves, il reviendra au juge de déterminer le montant des sanctions, mais la loi prévoit jusqu'à 4 % du chiffre d'affaires ou 25 millions de dollars.

Aux propriétaires de petites entreprises inquiets par les sommes en cause, M. Caire assure que la Commission d'accès à l'information (CAI), qui sera chargée de faire appliquer la loi 64, prendra en compte la capacité de payer des entreprises. Les sanctions administratives imposées aux PME fautives ne seront pas du même ordre que celles imposées aux grandes sociétés. Le but n'est pas d'amener une entreprise à la faillite.

Outre la responsabilisation des dirigeants, la loi 64 prévoit le consentement explicite quant à l'utilisation qui sera faite des données personnelles des Québécois. Si une entreprise souhaite utiliser des données à une autre fin, elle devra redemander un consentement.