Les nouvelles lois sur la protection des renseignements personnels du Québec confèrent-elles un avantage concurrentiel aux entreprises québécoises?

 
Un argument récurrent des partisans de la protection des renseignements personnels, des organismes de réglementation et des décideurs est qu’une meilleure protection des données représente un avantage concurrentiel en renforçant la fidélisation des consommateurs, en améliorant la réputation et en augmentant la confiance des investisseurs.

La récente réforme québécoise des lois sur la protection des renseignements personnels risque de mettre cet argument à l’épreuve. En effet, en adoptant la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels¹ (Loi 25), le législateur québécois s’est doté d’un régime qui va bien au-delà de la norme canadienne, notamment en ce qui concerne les exigences relatives au consentement du consommateur, à la transparence – y compris en matière de prise de décisions automatisée – et aux restrictions sur le profilage et le marketing ciblé. Par conséquent, les entreprises en démarrage et en croissance qui forment l’important secteur technologique du Québec, ainsi que les nombreuses PME qui font tourner l’économie de la province, doivent maintenant se conformer à ces lois rigoureuses, ce qui, dans bien des cas, n’est pas une mince affaire.

Ces nouvelles exigences donneront-elles aux entreprises en démarrage du Québec un avantage concurrentiel par rapport à leurs homologues du reste du Canada ou des États-Unis?

Les entreprises axées sur la protection des renseignements personnels : un meilleur investissement?

La Loi 25 exige que les entreprises de toutes tailles se dotent d’un cadre de protection des renseignements personnels solide. Ce cadre doit comprendre un certain nombre de politiques et de procédures liées à la protection des renseignements personnels, une formation des employés, un responsable de la protection des renseignements personnels désigné, des contrats avec les fournisseurs prévoyant des exigences minimales en matière de protection des renseignements personnels et la capacité de vérifier que ces fournisseurs respectent leurs obligations.

Bien qu’il s’agisse de pratiques exemplaires à l’échelle du Canada, bon nombre d’entreprises en démarrage ne disposent pas de ressources suffisantes pour mettre en œuvre des programmes de conformité complets tant qu’elles n’ont pas une clientèle et des sources de revenus bien établies, alors que pour y arriver, il faut souvent posséder déjà une quantité importante de renseignements personnels. Ces entreprises pourraient ainsi se retrouver en situation de non-conformité et faire face à d’importants risques réglementaires.

D’autre part, la mise en œuvre d’un programme de protection des renseignements personnels solide est une exigence courante des investisseurs après la clôture d’une opération. Les investisseurs veulent éviter d’avoir à supporter les coûts, en temps, en ressources humaines et en capital, de la mise en œuvre d’un programme de conformité adéquat. Un programme solide peut également éviter que des données ou des technologies soient utilisées en violation de la loi. Cela réduit aussi le risque d’amendes ou de poursuites tant pour des violations passées que futures, surtout depuis la décision #2002-5 du Commissariat à la protection de la vie privée du Canada² (communément appelée la décision « Marriott »), où l’acquéreur d’une entreprise a été tenu responsable des lacunes préexistantes dans l’infrastructure de protection des données de la cible. Par conséquent, la mise en place d’un programme complet de protection des renseignements personnels à un stade précoce pourrait faire des entreprises en démarrage du Québec une meilleure cible d’investissement pour les sociétés de capital de risque.

Qu’en est-il de la croissance commerciale?

La valeur d’une entreprise technologique en démarrage peut en grande partie dépendre des renseignements qu’elle détient sur les clients. Bien que les consommateurs soient favorables aux nouvelles exigences de transparence, qui leur donnent plus de visibilité quant à l’utilisation et à la transmission de leurs renseignements et plus de contrôle sur la manière dont ils peuvent être utilisés sur les plateformes, la Loi 25 pourrait faire en sorte qu’il soit plus difficile pour les PME et les entreprises en démarrage de signer des ententes de partage de données rentables – monnaie courante dans le domaine de la fidélisation ou des technologies financières – ce qui les rendrait moins attrayantes pour les acquéreurs qui souhaitent combiner ces données ou les utiliser d’une nouvelle manière. Il pourrait également être plus difficile pour ces entreprises de commercialiser leurs produits auprès de clients éventuels que pour leurs homologues dans le reste de l’Amérique du Nord.

Les exigences accrues constituent-elles un obstacle à l’innovation?

La Loi 25 pourrait également nuire à la capacité des entreprises d’utiliser les nouvelles technologies qui visent à simplifier les processus et à accroître la productivité. Par exemple, de nombreuses applications d’intelligence artificielle et d’apprentissage machine comportent des décisions automatisées fondées sur des renseignements personnels pour ouvrir de nouveaux comptes, traiter les demandes ou exploiter autrement la technologie. Les nouvelles exigences de la Loi 25 comprennent l’obligation d’aviser les consommateurs de ces processus automatisés et de leur en expliquer le fonctionnement sur demande. Bien que ces exigences puissent accroître la confiance et attirer des clients de plus en plus informés, les petites entreprises pourraient avoir du mal à s’y conformer. Elles pourraient également ne pas être en mesure d’expliquer leurs processus de prise de décisions automatisée.

Cette situation accroît le risque d’atteinte à la réputation et de sanctions financières pour les entreprises aux ressources limitées, comme les entreprises en démarrage, et peut ainsi retarder leur adoption de technologies de pointe.

La Loi 25 aura-t-elle un effet dissuasif sur les entreprises et les investissements étrangers?

La réforme législative risque de dissuader les entreprises technologiques canadiennes ou américaines d’offrir des services au Québec, comme c’est le cas depuis longtemps pour les concours, qui ont été fermés aux résidents du Québec en raison d’exigences réglementaires plus strictes dans la province. On peut se demander si les entreprises internationales verront l’avantage concurrentiel de s’aligner sur le droit québécois, puisqu’il est habituellement très difficile d’appliquer plusieurs règles différentes aux données. Toutefois, bien que les Québécois puissent être privés de l’accès à certains produits novateurs, les entreprises technologiques québécoises pourraient accaparer le marché si leur posture de conformité est favorablement perçue par le marché.

Il reste à voir quel sera l’impact de la réforme sur l’économie du Québec et dans quelle mesure les entreprises québécoises pourront en profiter. Toutefois, bien qu’on s’attende à ce que d’autres gouvernements, y compris d’autres provinces canadiennes, emboîtent le pas en renforçant les exigences en matière de protection des données, il ne fait aucun doute que cette évolution sera suivie de près par les gouvernements, les organismes de réglementation et les entreprises partout au Canada et ailleurs.