La modernisation de la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi »), dont l’entrée en vigueur des nouvelles dispositions s’échelonne sur une période de trois ans (de septembre 2022 à septembre 2024), amène son lot de nouvelles obligations pour les employeurs. Nous vous présentons ci-dessous certaines de ces nouveautés qui forceront nécessairement les employeurs à adapter leurs processus et pratiques afin de se conformer aux nouvelles exigences de la Loi.
Septembre 2022
Responsable de la protection des renseignements personnels
Tout employeur assujetti à la Loi doit maintenant désigner un responsable de la protection des renseignements personnels qui voit au respect et à la mise en œuvre de la Loi. Un employeur peut assigner ce rôle à qui il le souhaite. À défaut, la Loi prévoit que le responsable de la protection des renseignements personnels est de facto la personne ayant la plus haute autorité au sein de l’organisation.
Enfin, le titre et les coordonnées de ce responsable doivent être publiés sur le site Web de l’employeur ou, s’il n’a pas de site, rendus accessibles par tout autre moyen approprié.
Incident de confidentialité
En cas i) d’accès, d’utilisation ou de communication d’un renseignement personnel non autorisés par la Loi, ii) de perte d’un renseignement personnel ou iii) de toute autre atteinte à la protection d’un renseignement personnel (un « incident de confidentialité »), l’employeur est maintenant tenu de :
- Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent; et
- Déterminer si l’incident de confidentialité présente un risque qu’un préjudice sérieux soit causé. Si tel est le cas, il doit, avec diligence, en aviser les personnes concernées et la Commission d’accès à l’information.
Les éléments suivants doivent notamment être pris en considération afin de déterminer si l’incident de confidentialité présente un risque de préjudice sérieux :
- La sensibilité du renseignement concerné;
- Les conséquences appréhendées de son utilisation; et
- La probabilité qu’il soit utilisé à des fins préjudiciables.
De plus, les employeurs doivent maintenant tenir un registre des incidents de confidentialité, dont une copie devra être transmise à la Commission d’accès à l’information si celle-ci en fait la demande. Ce registre doit notamment inclure les informations suivantes : les circonstances de l’incident, le nombre de personnes visées, l’évaluation de la gravité du risque de préjudice et les mesures prises en réaction à l’incident. Les dates pertinentes devraient aussi y figurer : survenance de l’incident, détection par l’organisation, transmission des avis (s’il y a lieu), etc.1
À partir de maintenant, un employeur doit donc avoir les réflexes d’identifier les incidents de confidentialité au sein de son organisation, d’en évaluer la gravité et de tenir un registre. Par exemple, dans le cas où un employé transmet par courriel à un tiers externe de l’organisation des données personnelles d’employés, il n’est plus suffisant de simplement dire au destinataire de supprimer le courriel; comme mentionné précédemment, les nouvelles dispositions de la Loi exigent beaucoup plus.
Septembre 2023
Consentement et information à fournir lors de la collecte de renseignements personnels
L’employeur devra, dès l’automne 2023, faire preuve d’une grande transparence dans sa collecte et son utilisation de données et obtenir préalablement le consentement des candidats ou employés concernés.
Afin d’être valide, le consentement donné devra être manifeste, libre et éclairé, et être donné à des fins spécifiques. Pour ce faire, il devra être demandé en termes simples et clairs et, lorsque demandé par écrit, celui-ci devra et être présenté distinctement de toute autre information présentée.
À noter également que le consentement ne sera valide que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.
En plus de ce qui précède, l’employeur devra également aviser tout candidat ou employé :
- Des fins auxquelles ces renseignements sont recueillis;
- Des moyens par lesquels les renseignements sont recueillis;
- Des droits d’accès et de rectification prévus par la Loi;
- De son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis; et
- Du nom du tiers pour qui la collecte est faite, du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements, le cas échéant.
Ces changements législatifs auront un impact notable sur le consentement et les informations à fournir lors de la collecte de renseignements personnels dans le cadre du processus d’embauche et, par la suite, sur la collecte de données des employés.
Par exemple, les clauses de consentement dans le cadre d’un processus d’embauche, comme la vérification d’antécédents, devront être revues afin d’assurer que l’employeur informe le candidat qu’il transmettra les informations de celui-ci à une firme d’enquête externe, le cas échéant, et que le consentement ne sera valide que pour la durée du processus d’embauche.
Pour ce qui est de la pratique d’inclure les demandes de consentement à la collecte de renseignements personnels dans le manuel d’employés ou dans un contrat d’emploi où le consentement est trop souvent « noyé » dans un paragraphe portant sur divers sujets, cette façon de faire ne sera plus souhaitable puisque le consentement obtenu ne sera pas valide à la lumière des nouvelles dispositions législatives. Nous encourageons donc les employeurs à présenter la demande de consentement séparément des autres informations, en plus d’informer le candidat ou l’employé que l’employeur peut lui apporter une assistance pour l’aider à comprendre la portée du consentement si ce dernier le requiert.
Surveillance d’employé
À partir du 22 septembre 2023, un employeur qui entend recourir à une technologie comprenant des fonctions permettant d’identifier, de localiser ou encore de profiler un employé devra en informer ce dernier.
L’employeur devra également revoir ses pratiques en la matière, notamment s’il utilise certains logiciels de surveillance des employés, comme un détecteur d’activité sur un ordinateur de travail ou un logiciel de géolocalisation. Il devra dorénavant s’assurer de la nécessité de recourir à de telles technologies et informer les employés des moyens offerts pour activer ces fonctions.
À noter que lorsqu’un employeur prend une décision basée sur des renseignements personnels, par exemple, congédier un employé sur la base d’informations obtenues dans le cadre de surveillance technologique, les renseignements devront être conservés pendant au moins un an.
Politique et pratique de gouvernance
À partir du 22 septembre 2023, les employeurs auront l’obligation d’établir et de mettre en œuvre des politiques et des pratiques visant à protéger les renseignements personnels en termes simples et clairs, de même que de publier des informations détaillées au sujet de celles-ci.
Elles devront notamment établir i) les règles en matière de conservation et de destruction des renseignements personnels, ii) les rôles et responsabilités des employés et iii) un processus de traitement des plaintes.
Pour plusieurs, il s’agira d’une nouvelle tâche, mais pour d’autres, il s’agira uniquement de mettre à jour leurs politiques et de s’assurer que les employés peuvent facilement y avoir accès. Une fois les politiques en place, il sera essentiel d’informer les employés, notamment par l’entremise d’un communiqué et/ou d’une formation.
Conclusion
Bien qu’il ne s’agisse ici que d’un aperçu des nombreux changements à venir pour les entreprises, ces modifications à la Loi requièrent une adaptation des employeurs opérant leurs activités au Québec afin d’éviter les risques accrus relativement non seulement aux possibles incidents, mais aussi aux sanctions administratives et pénales, dont le montant des amendes a substantiellement augmenté.
Pour en connaître davantage ou pour obtenir conseil quant à ces nouvelles obligations pour les employeurs envers leurs employés, communiquez avec notre groupe de droit du travail et de l’emploi.
__________
1 Voir : Registre des incidents de confidentialité | Commission d’accès à l’information du Québec. Voir aussi : https://www2.publicationsduquebec.gouv.qc.ca/dynamicSearch/telecharge.php?type=1&file=77600.pdf.
