Vos données personnelles… pas si personnelles
Actuellement, une entreprise québécoise ayant fait preuve de négligence en matière de conservation des renseignements personnels des Québécois pourrait se voir imposer une amende maximale de 100 000 $ en cas de récidive. On pense tout de suite à Desjardins qui a connu une fuite de données personnelles qui a touché plus de 6 millions de personnes. Mais les exemples ne font que se multiplier (Industrielle Alliance, Capital One, Equifax et TransUnion). Il est tout de même inquiétant de constater les répercussions sur nos compagnies québécoises compte tenu des lourdes conséquences humaines et financières qu’un vol d’identité peut entraîner.
En revanche, une société européenne, comme British Airways, a écopé en 2019 d’une amende de 300 millions $ pour un vol de données qui aurait touché près de 500 000 personnes. En effet, en 2016, l’Union européenne a adopté le Règlement général sur la protection des données[1] (le« RGPD »).À ce jour, il s’agit de la loi la plus stricte au monde concernant le traitement des renseignements personnels par les entreprises privées. Les pénalités sont extrêmement onéreuses. Elles peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise fautive. En juillet dernier, la chaîne hôtelière Marriott a reçu une amende de 162 millions de dollars, alors que plus de 500 millions de personnes ont été touchées lors d’un piratage de données. Le RGPD vise à remettre aux mains des citoyens le contrôle de leurs données personnelles tout en augmentant leur niveau de protection.
En effet, les quantités de données échangées chaque jour ont drastiquement augmenté et les moyens d’échanges se sont multipliés. La loi québécoise[2] n’est plus du tout adaptée à ces échanges quotidiens, surtout à l’air où le digital est omniprésent. Heureusement, le Québec cherche finalement (depuis 1994) à serrer la vis aux entreprises privées et a proposé, au début janvier 2020, un projet de loi pour moderniser les lois applicables et donc pénaliser davantage les entreprises qui ne protègent pas suffisamment les renseignements personnels de leurs clients. Étant donnée la quantité de renseignements personnels de nature extrêmement sensible détenus par plusieurs entreprises, il serait souhaitable que le Québec s’inspire de l’Union européenne.
[1] Le Règlement no 2016/679, dit Règlement général sur la protection des données (RGPD), adopté le 27 avril 2016. Date d’entrée en vigueur : 25 mai 2018.
[2] Loi sur la protection des renseignements personnels dans le secteur privé, P-39.1