Revue de 2021 : tendances en litige

La protection des renseignements personnels au Québec : développements récents et points à retenir pour les entreprises

Auteures

L’année 2021 aura été importante pour la protection des données personnelles au Québec.

À l’issue d’un long processus législatif, l’Assemblée nationale du Québec a adopté une nouvelle loi sur la protection des renseignements personnels, intitulée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Connue sous le nom de projet de loi 64, cette loi met à jour et modernise la Loi sur la protection des renseignements personnels dans le secteur privé (la Loi sur le secteur privé), ainsi que la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.

Le 3 décembre, le législateur québécois a également présenté un nouveau projet de loi visant à moderniser le cadre juridique applicable aux données sur les soins de santé et les services sociaux, soit la Loi modifiant la Loi sur les services de santé et les services sociaux et d’autres dispositions législatives. La même journée, Québec a adopté un projet de loi créant le ministère de la Cybersécurité et du Numérique, le premier ministère de ce genre en Amérique du Nord, dont le portefeuille comprendra la technologie numérique, les services électroniques et la cybersécurité. 

Les tribunaux québécois ont également été plus occupés que jamais avec des litiges résultant de violations de la sécurité dans divers contextes, dont des cyberattaques, la perte d’appareils et d’autres types de vol de données personnelles et ont rendu quelques décisions importantes dans le cadre d’actions collectives intentées en cette matière.

Le présent article fournit un aperçu des récents développements jurisprudentiels en matière de protection des renseignements personnels et offre aux organisations des conseils pratiques pour protéger adéquatement les données personnelles et répondre aux incidents de sécurité à la lumière des nouvelles exigences énoncées dans la nouvelle version de la Loi sur le secteur privé.

Étude de cas : Facebook et accès par des tiers

Dans la récente affaire Thiel c. Facebook, la Cour supérieure a autorisé une action collective contre le géant de la technologie qui aurait permis à des tiers d’accéder aux données personnelles de ses utilisateurs sans avoir obtenu leur consentement éclairé, en contravention de la Charte des droits et libertés de la personne, du Code civil du Québec et des dispositions de la Loi sur la protection du consommateur. Il était allégué que Facebook avait conclu des partenariats de partage de données avec au moins 60 fabricants d’appareils, dont Apple, Amazon, BlackBerry, Microsoft et Samsung.

Les organisations qui recueillent des renseignements personnels devront informer les personnes concernées des « noms des tiers » à qui les renseignements pourraient être communiqués au moment de la collecte.

Les demandeurs affirmaient que non seulement les membres du groupe n’avaient pas consenti aux pratiques contestées de partage de données avec des tiers, mais qu’ils n’avaient pas pu le faire, puisque Facebook ne les avait pas informés de ces pratiques. Ils n’étaient donc pas au courant de ces pratiques, qui n’étaient pas autorisées par la loi.

Compte tenu des difficultés à établir un fondement pour une demande de dommages-intérêts compensatoires, les demandeurs ne cherchaient à obtenir que des dommages-intérêts punitifs dont le montant serait déterminé par le tribunal en fonction de la preuve présentée au procès.

En l’espèce, la cour a jugé que même s’il n’était pas possible pour les demandeurs de déterminer objectivement quelles données d’utilisateur avaient été partagées de façon inappropriée, les allégations factuelles étaient suffisantes pour démontrer une atteinte potentiellement importante au droit à la protection des renseignements personnels, ce qui justifiait l’octroi de dommages-intérêts punitifs.

Même si les tribunaux québécois ont toujours reconnu la possibilité d’accorder seulement des dommages-intérêts punitifs, le projet de loi 64 permet maintenant d’octroyer des dommages-intérêts punitifs d’au moins 1 000 $ dans le cas d’une atteinte intentionnelle ou résultant d’une faute lourde à un droit protégé en vertu de la Loi sur le secteur privé et des articles 35 à 40 du Code civil du Québec. Pour se conformer à leurs obligations, les organisations qui recueillent des renseignements personnels devront informer les personnes concernées des « noms des tiers » à qui les renseignements pourraient être communiqués au moment de la collecte.

Étude de cas : Nissan et la rançon de données

Dans la même lignée, la Cour d’appel du Québec a autorisé un appel en partie et a rétabli une demande d’action collective réclamant des dommages-intérêts punitifs après un incident de cybersécurité où trois dirigeants de Nissan Canada avaient reçu un courriel menaçant d’utiliser les renseignements personnels de leurs clients à des fins illicites s’ils refusaient de payer une rançon en bitcoins.

Bien que le juge de première instance ait rejeté cette demande à l’étape de l’autorisation, la Cour d’appel a jugé que le délai d’un mois qui s’est passé entre le moment où la menace avait été reçue et le moment où les clients de Nissan avaient été informés pourrait suffire à justifier l’octroi de dommages-intérêts punitifs. Nissan a allégué qu’elle avait mené une enquête interne de l’incident avant d’informer ses clients et il reste à voir si cela sera suffisant pour justifier son retard à informer les clients.

Alors que l’ancienne Loi sur le secteur privé n’établissait pas d’obligation légale de signaler les violations de données personnelles, sa nouvelle mouture établit de nouvelles exigences de signalement des incidents de confidentialité qui entreront en vigueur en septembre 2022. Aucun délai précis n’accompagne cette nouvelle exigence. Les organisations devront signaler rapidement les incidents de confidentialité susceptibles de causer un préjudice grave à la Commission d’accès à l’information du Québec et à toutes les personnes touchées.

Étude de cas : L’OCRCVM et l’intervention après l’incident

La première affaire canadienne d’atteinte aux données à être jugée sur le fond a été instruite en 2021 au Québec. Il s’agissait d’une action collective intentée après qu’un inspecteur de l’Organisme canadien de réglementation des valeurs mobilières (OCRCVM) ait perdu son ordinateur portable dans un train. L’appareil contenait les données personnelles de clients de courtiers en valeurs mobilières qui avaient été recueillies dans le cadre d’inspections menées par l’OCRCVM auprès de ces courtiers; malgré les efforts de l’organisme, l’ordinateur n’a jamais été retrouvé.

Suivant les principales décisions rendues en cette matière, la Cour supérieure a confirmé qu’il n’était pas nécessaire que les données personnelles des membres du groupe aient été utilisées de façon illicite, pourvu que ceux-ci puissent prouver des dommages compensatoires. Toutefois, sur ce point, la cour a rappelé que de simples craintes, angoisses et inquiétudes ressenties par les personnes touchées en lien avec la perte de leurs renseignements personnels étaient des inconvénients normaux auxquels toute personne vivant en société est confrontée et qu’elle devrait être obligée à accepter.

En ce qui concerne les dommages-intérêts punitifs, la cour a conclu que la faute non intentionnelle de la défenderesse ne justifiait pas de la condamner à ceux-ci, puisqu’elle avait réagi de façon diligente, rapidement et conformément aux normes attendues dans une telle situation. La preuve a montré que la défenderesse avait mené des enquêtes et des vérifications internes, a rapidement informé les autorités, a engagé une firme de services-conseils pour effectuer une expertise et une enquête informatiques, a élaboré une stratégie de gestion des risques liés à la protection des renseignements personnels et a avisé les commissariats à la protection de la vie privée fédéral et provincial, ainsi que les courtiers et les membres du groupe. L’organisme avait également fourni aux investisseurs toutes les mesures requises de surveillance et de protection par des agences de surveillance du crédit.

Le projet de loi 64 exige que toute personne ayant des motifs de croire qu’il s’est produit un incident de confidentialité doit prendre des mesures raisonnables pour diminuer les risques de préjudice et éviter de nouveaux incidents. Bien qu’elle ne précise pas encore la nature de ces « mesures raisonnables », l’affaire OCRCVM fournit certainement des conseils utiles pour aider les organisations à intervenir de manière adéquate en cas d’incident semblable.

La suite
  • Même si les nouvelles exigences seront mises en œuvre par phases au cours des trois prochaines années, on peut certainement s’attendre à ce que les dispositions du projet de loi 64 aient des répercussions profondes sur la façon dont les organisations canadiennes traitent les renseignements personnels et l’élaboration et l’interprétation des lois liées la protection des renseignements personnels au Canada, notamment dans le cadre d’actions collectives.
  • En vertu de la Loi sur le secteur privé, les organisations qui partagent les données des utilisateurs avec des tiers de manière inappropriée s’exposent maintenant à des dommages d’au moins 1 000 $ en cas d’une atteinte intentionnelle ou résultant d’une faute lourde. Les organisations qui recueillent des renseignements personnels devront informer les personnes concernées des « noms des tiers » à qui les renseignements pourraient être communiqués au moment de la collecte.
  • De nouvelles exigences de signalement des atteintes à la protection des renseignements personnels sont à venir en vertu de la Loi sur le secteur privé. Les organisations doivent s’assurer de mettre à jour leurs processus internes pour se conformer à ces exigences qui entrent en vigueur en septembre 2022.
  • Conformément à la nouvelle Loi sur le secteur privé, les organisations ayant subi une violation des données devront prendre des mesures raisonnables pour réduire le risque de préjudice et éviter de nouveaux incidents. Même si ces mesures restent à déterminer, il peut s’agir notamment de mener des vérifications internes et des enquêtes informatiques, d’informer rapidement les autorités, d’élaborer une stratégie de gestion des risques liés à la protection des renseignements personnels et d’aviser les parties concernées.
  • Au-delà de la conformité réglementaire et législative, les entreprises auraient intérêt à surveiller l’évolution de la jurisprudence liée à la nouvelle Loi sur le secteur privé et à faire preuve de vigilance en maintenant un cadre de gouvernance des données solide qui utilise les meilleures pratiques actuelles en matière de gestion et de protection des données.

Consulter d’autres articles du rapport :

Les actions collectives au Canada : à venir en 2022

Des développements en matière de préjudice lié à la vaccination réaffirment que la preuve du lien de causalité continue à être soumise à des critères stricts

 
Lisez notre résumé en français ici.

Vous pouvez lire le rapport complet sur les tendances en litige de 2021 en anglais ici.

Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.

Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.

Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.

© Torys, 2024.

Tous droits réservés.
 

Catégories

TwitterLinkedInPDFEmail
Copy URLOuvre un nouvel onglet

Inscrivez-vous pour recevoir les dernières nouvelles

Restez à l’affût des nouvelles d’intérêt, des commentaires, des mises à jour et des publications de Torys.

Inscrivez-vous maintenant
LinkedIn