Pléiade de changements législatifs en cybersécurité et un ministère de la Cybersécurité et du Numérique :
impacts sur la profession et la pratique

Le 21 septembre 2021, l’Assemblée nationale du Québec a adopté le projet de loi no 64 (« PL-64 »), modernisant la protection des renseignements personnels, tel que par l’introduction d’obligations préventives en matière de gouvernance et de sécurité de l’information1, et en conférant des droits plus étendus aux individus. De concert, la Commission d’accès à l’information se voit dotée de pouvoirs plus étendus2. Souvent caractérisée à tort de réplique du RGPD3, le PL-64 contient ses particularités québécoises, en outre, des restrictions quant à la dépersonnalisation des renseignements personnels4

Par ailleurs, il ne s’agissait pas de la première réforme législative en la matière en 2021. En effet, bien que moins connu, le projet de loi no 955, adopté au début de l’été, avait déjà introduit un nouveau cadre de gestion des données numériques gouvernementales, reconnaissant les besoins de valorisation et mobilisation des données, ainsi que ceux relatifs à la qualité, la sécurité et la pérennité des systèmes technologiques. Cette approche s’avère d’ailleurs compatible avec le dépôt du projet de loi
no 19 (« PL-19 »), en décembre 2021, lequel porte sur l’accès aux données de santé dans un cadre de sécurité informationnelle en modifiant 27 lois.

Quelques semaines à peine après l’adoption du PL-64, l’adoption du projet de loi no 6, la Loi édictant la Loi sur le ministère de la Cybersécurité et du Numérique6 (« Loi sur le ministère ») officialise la création du ministère de la Cybersécurité et du Numérique, doté d’un budget de 4 milliards de dollars.

Quels sont les impacts pour la pratique du droit et la profession? Bien qu’il soit tôt pour le savoir, voici nos prédictions après une année chargée :

1  Mentionnée noir sur blanc dans le texte de la Loi sur le ministère, l’identité numérique est sur toutes les bouches; des consultations publiques reflétant la portée du projet devront être prévues en 2022. Par ailleurs, cette loi modifie la Loi concernant le cadre juridique des technologies de l’information7, permettant l’intégration de standards émis par le ministère dans le domaine de la preuve juridique. On peut parier que l’industrie des technologies juridiques, qui a le vent dans les voiles, saura prendre la balle au bond!

 2 En introduisant les « standards » développés par le ministère comme source normative, la Loi sur le ministère introduit un nouveau contexte règlementaire ayant la capacité d’impacter rapidement la pratique juridique8.

 3 Des investissements majeurs dans des chantiers publics en matière de cybersécurité, couplés d’incitatifs à l’innovation, comme le programme PICQ, vont permettre un essor de l’industrie de la cybersécurité au Québec.

 4 Cela étant dit, en prenant de l’ampleur, cette industrie rencontrera également son lot de défis juridiques face au même cadre règlementaire qui favorise son développement. Afin d’assurer la sécurité des réseaux, des systèmes et autres actifs corporatifs, les outils de cybersécurité analysent souvent des quantités massives de données, telles que des courriels, des historiques d’activité, les habitudes des utilisateurs, les fichiers accédés, les adresses IP et les mots de passe. Plusieurs outils de cybersécurité ont les capacités d’anticiper les évènements de sécurité, voire même de procéder par eux même à certaines remédiations.

 5 Alors que les entreprises se dotent d’outils de cybersécurité sophistiqués pour protéger leurs actifs, les notions de droit constitutionnel plus classiques, comme la surveillance face aux attentes raisonnables des individus, seront sujettes à des interprétations technologiques nouvelles.

 6 Le manque d’expertise, la mobilité des travailleur.se.s, la commercialisation de produits de cybersécurité augmenteront les risques de menaces internes, surtout dans les infrastructures essentielles qui ont essuyé la moitié des rançongiciels l’année dernière9.

 7  La réciprocité des lois applicables aux institutions publiques, privées et gouvernementales permettra une stabilité contractuelle, et éventuellement, l’automation de la gestion du droit règlementaire par des microcontrats, contrats intelligents, et l’émergence de structures alternatives de gestion des données. Le centre d’accès dans PL-19 est un élément précurseur à considérer.

 8 Le modèle suggéré par PL-19 pour la gestion des données pourrait inspirer des réformes législatives en matière de systèmes bancaires de type « ouverts ».

9 PL-64 sera appliqué avec rigueur en cas de négligence. Actuellement, il existe peu de litiges en matière d’incident de sécurité au Québec. Ce constat pourrait changer rapidement avec les réformes actuelles.

10 Bien que la jurisprudence se fasse bien mince en termes de litiges relatifs à des brèches de sécurité, des changements sont à prévoir.

Définitivement, la technologie, la gestion et le droit devront faire bon ménage.

  1. Pensons notamment aux obligations relatives aux Évaluations des facteurs relatifs à la vie privée, maintenant l’article 3.3. de la Loi sur la protection des renseignements personnels dans le secteur privé annotée (« LPRPSP »), lesquelles entreront en vigueur le 22 septembre 2023.
  2. La CAI se verra octroyer de nouveaux pouvoirs, en outre, en matière d’enquête (art. 49), d’accès aux documents (art. 103), d’avis de tout incident de confidentialité impliquant les renseignements personnels (art. 3.5) et de poursuivante (art. 91 et 92). La loi modifie également les dispositions pénales applicables en cas de contravention à la loi, notamment en augmentant les montants des amendes (art. 64 & 65), en établissant des sanctions administratives pécuniaires, des modalités de recouvrement et de réclamation des sommes dues (art 90) et des dommages-intérêts punitifs (art. 93).
  3. Règlement général sur la protection des données, Rectificatif au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) JOUE L127 2 du 23/05/2018
  4. Des lignes directrices sont attendues.
  5. Projet de loi n° 95, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives
  6. Projet de loi n° 6, Loi édictant la Loi sur le ministère de la Cybersécurité et du Numérique et modifiant d’autres dispositions
  7. Loi concernant le cadre juridique des technologies de l’information, RLRQ c C-1.1
  8. Ce contexte règlementaire risque fort d’avoir des répercussions au niveau des infrastructures essentielles, et ses sous-traitants, ce qui n’est pas étranger à l’approche prise par les États-Unis avec le National Institute of Standards and Technologies. Il est intéressant de noter qu’un précédent existe en droit règlementaire pour une défense sur la complexité règlementaire.
  9. Centre canadien pour la cybersécurité, Centre de la sécurité des télécommunications, Gouvernement du Canada, Bulletin sur les cybermenaces : La menace des rançongiciels en 2021, (16 novembre 2021), en ligne : https://www.cyber.gc.ca/sites/default/files/2021-12/Cyber-ransomware-update-threat-bulletin_fra.pdf.