Le Québec aux avant-postes en matière de protection des données personnelles
Collaboration spéciale
Ce texte fait partie du cahier spécial Le droit au Québec
Deux événements presque simultanés ont forcé l’irruption de la technologie numérique dans la pratique générale du droit. La pandémie, en donnant un coup d’accélérateur au télétravail, a décuplé les enjeux de cybersécurité et de gouvernance technologique des entreprises. Dès juin 2020, le gouvernement du Québec a entrepris de moderniser ses lois de protection des renseignements personnels. Depuis septembre 2021, les entreprises québécoises évoluent dans un cadre sensiblement plus sévère.
Selena Lu, associée au cabinet Lavery, n’hésite pas à raconter ce qu’elle appelle sa « conversion covidienne ». « Je ne suis pas une fille de techno, je suis une fille de fusions et acquisitions, du droit classique des affaires, et j’ai dû apprendre très vite, en pleine pandémie. Tout a changé presque d’un coup : la manière de considérer les contrats, notamment quant aux garanties, la manière de faire une vérification diligente, en plus d’imposer une gouvernance technologique. »
« Les avocats ont désormais l’obligation d’avoir des connaissances minimales en langage informatique », note Vincent Gautrais, professeur et titulaire de la Chaire de l’Université de Montréal en droit de la sécurité et des affaires électroniques. « Beaucoup d’entreprises ne sont pas à jour, et tous nos étudiants sont happés par la pratique privée. »
Les changements soudains depuis deux ans ne sont pas un coup de tonnerre dans un ciel bleu, mais les questions de technologies numériques sont longtemps restées cantonnées dans des sphères plutôt spécialisées du droit. « J’avais été très à la mode à la fin des années 1990 quand je venais de terminer ma thèse doctorale sur le contrat numérique, juste avant l’éclatement de la bulle techno en 2000, se rappelle Vincent Gautrais. La folie est repartie en 2015 avec l’intelligence artificielle. »
« Jusqu’à tout récemment, la gouvernance technologique était perçue comme une problématique de grandes entreprises, mais les PME et même les OBNL ont aussi pris conscience qu’ils doivent y réfléchir », ajoute Selena Lu. Elle explique qu’une chocolaterie qui a sa recette sur un ordinateur ou un cabinet de psychologues qui tient les dossiers de ses clients sur ordinateur ont, eux aussi, un enjeu de cybersécurité.
Le Québec pionnier
Il est fort probable que les avocats québécois à qui ces questions sont familières seront très demandés partout sur le continent. Le Québec a en effet pris une grosse avance sur toutes les provinces canadiennes, et même sur le gouvernement fédéral avec sa nouvelle « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels ».
Aussi appelée loi 25 ou projet de loi 64, cette nouvelle loi, sanctionnée par l’Assemblée nationale le 22 septembre 2021 après 15 mois de travaux, introduit une série de nouvelles obligations. Par exemple, le conseil d’administration d’une entreprise québécoise devra nommer un responsable des renseignements personnels. Une entreprise coupable d’avoir manqué à ses obligations devra acquitter des amendes allant de 15 000 dollars à 25 millions de dollars, et jusqu’à 4 % de son chiffre d’affaires mondial — et le double en cas de récidive.
« Avec cette loi, le Québec s’est rapproché du système européen et son Règlement général sur la protection des données [RGPD] », note Selena Lu. Elle cite notamment l’introduction du concept de droit à l’oubli, qui permettra à une personne d’exiger le retrait de certaines informations et de certains hyperliens.
La loi 25 doit entrer en vigueur en septembre 2023, ce qui ne laisse aux entreprises que 18 mois pour s’adapter. « Ce qui sera déterminant, ce sont les ressources que l’on donnera à la Commission d’accès à l’information). C’est bien beau, les fortes pénalités. Mais si la Commission n’a pas les ressources et le personnel pour suivre, ça n’aboutira à rien. Ça va prendre de la capacité de sanction », ajoute l’associée.
La cybersécurité est partout
On associe la cybersécurité aux attaques spectaculaires de rançonnage et de sabotage. En réalité, à une époque où même une cafetière peut être wifi, les entreprises ont tellement d’accès électroniques que n’importe quel pirate armé d’un clavier peut simplement s’installer, espionner et voler les renseignements qui l’intéressent.
Selena Lu voit désormais des enjeux de cybersécurité et de gouvernance technologique presque partout. « Je représente un OBNL qui reçoit des dons, et donc des informations financières sur les donateurs. L’organisme fonctionne avec des bénévoles, qui ont accès aux comptes à partir de n’importe quel portail, jusque dans des cafés, il n’y a pas de liste des bénévoles, des codes d’accès, des mots de passe. Vous vous rendez compte des risques ? »
« Cela remet en question ce que l’on entend par “force majeure” », explique-t-elle. En principe, une entreprise peut se soustraire à ses obligations contractuelles en invoquant un cas de force majeure, c’est-à-dire un événement imprévisible et irrésistible. « Mais justement, dans le contexte où 20 % des entreprises sont victimes d’une cyberattaque chaque année, on ne peut plus plaider qu’on ne le savait pas, que c’était imprévisible », termine-t-elle.
兩個幾乎同時發生的事件迫使數字技術進入了一般的法律實踐。大流行通過促進遠程工作,使公司的網絡安全和技術治理的挑戰增加了十倍。截至2020年6月,魁北克政府已承諾對其保護個人信息的法律進行現代化改造。自2021年9月以來,魁北克公司一直在更加嚴格的框架內運營。
Lavery 的合夥人Selena Lu毫不猶豫地講述了她所謂的「新冠轉變」。 「我不是技術女孩,我是併購女孩,經典的商法女孩,在大流行中我必須快速學習。一切幾乎同時發生了變化:考慮合同的方式,特別是關於擔保的方式,進行盡職調查的方式,以及實施技術治理。 」
「現在要求律師具備最低限度的計算機語言知識,」蒙特利爾大學安全和電子商務法講座教授兼持有人 Vincent Gautrais 指出。 「許多公司都不是最新的,我們所有的學生都在私人執業。 」
過去兩年的突如其來的變化並非晴天霹靂,而是數字技術問題長期以來一直局限於相當專業的法律領域。 「在1990年代末,我剛剛完成關於數字合同的博士論文,那時我非常時尚,就在2000年技術泡沫破滅之前,Vincent Gautrais 回憶道。2015年,人工智能再次開始瘋狂。 」
Selena Lu 補充說:「直到最近,技術治理仍被認為是大公司的問題,但中小企業甚至 NPO 也意識到他們必須考慮這一點。」她解釋說,巧克力工廠的配方在計算機上或將客戶文件保存在計算機上的心理學家辦公室也存在網絡安全問題。
開拓魁北克
熟悉這些問題的魁北克律師很可能在整個非洲大陸都有很高的需求。魁北克確實領先於加拿大所有省份,甚至領先於聯邦政府,其新的「使保護個人信息的立法條款現代化的法案」。
這項新法律也稱為第 25 號法案或第 64 號法案,經過 15 個月的工作,於 2021 年 9 月 22 日由國民議會批准,引入了一系列新義務。例如,魁北克公司的董事會必須任命一名負責個人信息的人員。未能履行義務的公司將不得不支付 15,000 至 2500 萬美元不等的罰款,最高可達其全球營業額的 4%──如果再犯,則罰款翻倍。
Selena Lu 指出:「通過這項法律,魁北克更接近歐洲體系及其通用數據保護條例 [GDPR]。」她特別提到了被遺忘權概念的引入,這將允許一個人要求刪除某些信息和某些超鏈接。
第 25 號法將於 2023 年 9 月生效,這給公司只有 18 個月的時間來適應。 「決定性的是給予信息獲取委員會的資源。一切都很好,重罰。但是,如果委員會沒有資源和人員跟進,那將一事無成。這將需要製裁能力。」合夥人補充道。
網絡安全無處不在
網絡安全與壯觀的勒索軟件和破壞攻擊有關。事實上,在一個咖啡機都可以成為 wifi 的時代,企業擁有如此多的電子訪問權限,任何配備鍵盤的黑客都可以簡單地開店、監視和竊取他們關心的任何信息。
Selena Lu 現在幾乎無處不在地看到網絡安全和技術治理問題。 「我代表一個接受捐贈的非營利組織,因此接受捐贈者的財務信息。該組織與志願者合作,他們可以從任何門戶訪問帳戶,即使在咖啡館,也沒有志願者名單、訪問代碼和密碼。你意識到風險嗎? 」
「這讓人質疑‘不可抗力’是什麼意思。」她解釋道。原則上,公司可以通過援引不可抗力的情況來避免其合同義務,即不可預見和不可抗拒的事件。 「但確切地說,在每年有 20% 的公司成為網絡攻擊受害者的情況下,我們不能再辯稱我們不知道,這是不可預見的。」她總結道。
《責任報》2022年4月2日
 |
| Le Devoir 2022.04.02 |
