Protection des renseignements personnels au Québec – Aperçu des modifications à la loi applicable au secteur privé

I. Modernisation des lois sur la protection des renseignements personnels

Annoncé depuis près d’un an, le projet de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « projet de loi » ou « PL 64 ») a été présenté à l’Assemblée nationale, le 12 juin dernier.

Une fois adopté, le projet de loi présenté par la ministre de la Justice et responsable des Institutions démocratiques, de la Réforme électorale et de l’Accès à l’information, entraînera des modifications significatives à plusieurs lois afin de moderniser le cadre normatif applicable à la protection des renseignements personnels au Québec.

La démarche de modernisation vise en effet tant les entreprises que les organismes publics et partis politiques et requerra des efforts de mise en conformité pour toutes ces organisations. En effet, la nature des nouvelles obligations et l’importance des sanctions financières potentielles en cas de violations font en sorte que la protection des renseignements personnels ne pourra plus être ignorée en toute impunité.

Le projet de loi propose notamment d’accorder de nouveaux droits aux personnes, dont les droits à la portabilité, à l’effacement et au déréférencement. L’application et le respect de ces droits requerront nécessairement l’adaptation et la mise en place des processus d’affaires au sein de nombreuses entreprises.

Notre équipe pourra vous accompagner dans cette démarche en procédant à une analyse des processus existants, d’identification des écarts et en formulant les recommandations de mise en œuvre requises aux fins de conformité à la loi telle que modifiée.

Nous débutons cette série de publications sur le projet de loi en présentant un aperçu des principales modifications à la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP »), qui s’applique à toute entreprise œuvrant dans la province.

A. Champ d’application

Le champ d’application de cette loi demeurera essentiellement inchangé en ce qui a trait aux entreprises. Le projet de loi précise toutefois :

• les renseignements personnels visés comprennent ceux recueillis par l’entreprise, même si leur conservation est assurée par un tiers.
• les renseignements relatifs à la fonction (nom, titre, adresse professionnelle) ne seront plus assujettis à la LPRPSP, mettant ainsi fin à une jurisprudence divisée de la Commission d’accès à l’information (CAI) sur la qualification des coordonnées professionnelles à titre de renseignement personnel.

B. Responsabilité de la protection des renseignements personnels

Le projet de loi introduit de façon expresse le principe de responsabilité de l’entreprise qui recueille des renseignements, lequel est un des principes de base en matière de protection des renseignements personnels.

De façon plus significative pour les entreprises, le statut de « responsable de la protection des renseignements personnels » chargé de veiller à assurer le respect et la mise en œuvre de la LPRPSP, incombera désormais au plus haut dirigeant de l’entreprise. Les coordonnées de celui-ci ou de la personne à qui la fonction sera déléguée devront être publiées sur le site Internet de l’entreprise ou autrement rendues accessibles en l’absence de site.

C. Gouvernance : adoption de politiques et pratiques

Le PL 64 propose l’introduction d’une obligation applicable à toute entreprise d’adopter et d’appliquer des politiques et des pratiques de gouvernance afin d’assurer la protection des renseignements personnels, qui devront notamment encadrer :

• la conservation et la destruction des renseignements;
• les rôles et responsabilités des membres du personnel;
• le processus de traitement des plaintes.

Ces politiques devront être approuvées par le responsable de la protection des renseignements personnels et être accessibles au public par le site Internet de l’entreprise. L’entreprise recueillant des renseignements personnels par le biais d’un moyen technologique devra diffuser, et publier sur son site Internet, une politique de confidentialité.

Sous le volet gouvernance, le projet de loi prévoit également l’obligation de procéder à une analyse de risques en regard de tout projet impliquant la collecte ou l’utilisation de renseignements personnels. Comme pour toute obligation de ce type, les entreprises devront se doter d’une documentation adéquate.

Le futur article 3.3 introduit par ailleurs l’obligation d’assurer une forme de portabilité des renseignements recueillis.

D. Nature du consentement et utilisations secondaires

Le projet de loi apporte également certaines clarifications relatives à la notion de consentement à la collecte et à l’utilisation de renseignements personnels.

• Le consentement devra être manifeste, libre, éclairé, sollicité à des fins spécifiques et de façon distincte à toute autre information communiquée;
• Le consentement devra être manifesté de façon expresse, dès qu’il s’agit d’un renseignement personnel sensible, soit un renseignement qui suscite un haut degré d’attente raisonnable en matière de vie privée.
• Selon les dispositions proposées, il y aura ouverture à l’utilisation secondaire d’un renseignement personnel sans le consentement de la personne concernée, lorsque :
  • l’utilisation est pour des fins compatibles avec celles pour lesquelles il a été recueilli (excluant la prospection commerciale ou philanthropique);
  • l’utilisation est au bénéfice de la personne concernée;
  • lorsque l’utilisation est nécessaire à des fins d’étude, de recherche de statistiques et que le renseignement est dépersonnalisé (soit qu’il ne permet plus d’identifier directement la personne concernée).

E. Collecte de renseignements personnels

Le projet de loi propose d’élargir l’information devant être divulguée au moment de la collecte et des obligations de l’entreprise.

• En plus de préciser les fins visées par la collecte, l’entreprise devra préciser :
  • les moyens utilisés;
  • le droit de la personne de retirer son consentement;
  • le cas échéant,
    • le nom du tiers pour lequel la collecte est effectuée;
    • la possibilité que les renseignements soient communiqués à l’extérieur du Québec.
• Le législateur propose de mettre fin au régime d’exception prévu par la LPRPSP quant à la collecte, l’utilisation et la communication à des fins de prospection commerciale ou philanthropique. De fait, toute entreprise utilisant des renseignements personnels pour de telles fins devra le divulguer et la personne concernée pourra retirer son consentement à une telle utilisation.

F. Collecte à des fins de profilage

Le projet de loi prévoit l’obligation de divulguer au préalable l’utilisation d’une technologie permettant d’identifier, de localiser ou d’effectuer du profilage, ainsi que les moyens offerts pour désactiver les fonctions permettant l’identification, la localisation ou le profilage.

À ce stade-ci, on suggère de définir le profilage comme suit : « la collecte et […] l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne. »

G. Communication à des fournisseurs et dans le cadre de transactions

Le législateur propose des précisions aux règles applicables à la communication des renseignements personnels recueillis par l’entreprise à des fournisseurs.

De telles communications seront assujetties à certaines conditions, notamment à la mise en place par le mandataire, l’exécutant du contrat ou par l’autre partie à la transaction commerciale de mesures visant à préserver la confidentialité des renseignements.

Le projet de loi propose par ailleurs de combler une lacune importante en introduisant expressément une exception permettant la communication de renseignements personnels dans le cadre de transaction commerciale, tel que les autres lois canadiennes le prévoient.

H. Transfert des renseignements à l’extérieur du Québec

Le projet de loi renforce les règles applicables à la communication des renseignements personnels recueillis par l’entreprise à l’extérieur du Québec, qui sont actuellement énoncées aux articles 17 et 20 LPRPSP.

• Une analyse préalable devra être effectuée, afin de tenir compte des facteurs relatifs à la vie privée, qui sont ainsi répertoriés :
  • la sensibilité du renseignement;
  • la finalité de son utilisation;
  • les mesures de protection dont il bénéficierait;
  • le régime juridique applicable dans l’État visé par la communication, notamment en perspective de son degré d’équivalence par rapport aux principes prévalant au Québec en matière de protection des renseignements personnels.

La communication pourra être effectuée si l’évaluation démontre que le niveau de protection de renseignement serait équivalent à celui du Québec et nécessitera la conclusion d’une entente écrite.

Au plus grand bénéfice des entreprises, le gouvernement s’inspire de l’approche de l’Union européenne et annonce la publication par la ministre d’une liste d’États bénéficiant d’un régime jugé équivalent.

I. Anonymisation et destruction des renseignements personnels

Le projet de loi vient préciser qu’en marge de la destruction, l’anonymisation des renseignements personnels permet de conserver des renseignements lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies (sous réserve de délai de conservation prévu par la loi).

J. Notification obligatoire en matière d’incident à la confidentialité des données

Le projet de loi introduit finalement un processus de notification obligatoire en cas d’incident en matière de sécurité des données. L’introduction d’un tel régime est recommandée depuis 2011 par la Commission d’accès à l’information et s’inscrit en droite ligne avec les obligations édictées par le parlement canadien et l’Union européenne qui ont respectivement adopté de tels régimes de notification obligatoire dans les dernières années.

Les points à retenir quant à cet aspect :

• La notion « d’incident de confidentialité » inclut :
  • l’accès, l’utilisation ou la communication non autorisés à un renseignement personnel;
  • la perte ou toute autre atteinte à un renseignement personnel.
• Lorsqu’elle a des motifs de croire qu’un tel incident impliquant un renseignement personnel est survenu, l’entreprise devra prendre les mesures raisonnables pour éviter la survenance d’un préjudice et la récurrence d’incidents de même nature.
• En cas d’incident comportant un risque de préjudice sérieux, l’entreprise devra aviser la CAI, ainsi que toute personne dont les renseignements personnels sont affectés par l’incident.
• Afin de guider les entreprises dans la détermination d’un tel seuil, le projet de loi énonce une liste d’éléments devant être considérés aux fins d’appréciation du risque de préjudice :
  • la sensibilité du renseignement;
  • les conséquences appréhendées de son utilisation;
  • la probabilité qu’il soit utilisé à des fins préjudiciables.
• Le contenu et les modalités des avis seront précisés par règlement.
• Toute entreprise devra maintenir un registre des incidents de confidentialité, qui devra être transmis à la CAI sur demande et qui peut s’avérer très utile dans le cadre de la vérification diligente d’un fournisseur ou d’une cible dans le contexte d’une acquisition.
• La CAI se voit accorder le pouvoir d’ordonner l’application de toute mesure visant à protéger les droits accordés aux personnes concernées en vertu de la loi, pour le temps et aux conditions qu’elle détermine.

K. Configuration par défaut

Les entreprises qui recueillent des renseignements personnels par l’entremise de produits ou de services technologiques devront désormais s’assurer que les paramètres ou les configurations de ceux-ci assurent le plus haut niveau de confidentialité par défaut, imposant par le fait même l’adaptation des processus de déploiement d’applications numériques.

L. Traitement et décision par une intelligence artificielle

L’effort de modernisation tient également compte du déploiement d’applications supportées par l’intelligence artificielle, en proposant d’imposer à l’entreprise l’obligation d’informer les personnes concernées du traitement automatisé, des facteurs considérés dans la décision et d’un processus de révision de la décision par un membre du personnel.

M. Droit au déréférencement

L’article 28.1 propose de reconnaître le droit d’une personne d’exiger d’une entreprise de cesser la diffusion d’un renseignement personnel la concernant et de désindexer tout hyperlien permettant l’accès à ce renseignement en certaines circonstances, notamment lorsque la diffusion contrevient à la loi ou à une ordonnance judiciaire.

Une personne pourrait également faire une telle demande lorsque les conditions suivantes sont remplies :

• la diffusion lui cause un préjudice grave en perspective de son droit au respect de sa réputation ou vie privée;
• le préjudice est manifestement supérieur à l’intérêt public de connaître ce renseignement ou au droit à la libre expression (balance des inconvénients);
• la demande n’excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice.

Dans l’évaluation du critère pouvant être qualifié de balance des inconvénients, il sera tenu compte notamment :

• de la notoriété de la personne;
• si la personne est mineure;
• de l’exactitude de l’information diffusée;
• de la sensibilité du renseignement;
• du contexte de la diffusion, et du délai écoulé entre le début de celle-ci et la demande.

N. Communication des renseignements personnels suite à un décès

Le projet de loi prévoit également une exception quant à la communication de renseignements personnels à un conjoint ou proche parent lors du décès d’une personne. Cette exception à la non-communication trouve application lorsque la communication est susceptible d’aider le requérant dans le processus de deuil. Par ailleurs, la personne visée ne doit pas avoir manifesté un refus à ce droit d’accès, avant son décès.

O. Sanctions

Finalement, l’adoption du projet de loi aura pour effet de renforcer significativement l’imputabilité des entreprises en imposant des amendes élevées en cas d’infraction, et la création de sanctions administratives en cas de manquements aux obligations stipulées à la LPRPSP.

• D’abord, quant aux sanctions administratives, le PL 64 prévoit que celles-ci pourront être infligées notamment à la suite d’une collecte ou une utilisation s’inscrivant en contravention des prescriptions de la LPRPSP ou pour un manquement à l’obligation de notifier la survenance d’un incident de confidentialité.
• Le PL 64 octroie à la CAI le mandat d’élaborer un cadre général d’application pour ces sanctions administratives qui devra notamment préciser :
  • les objectifs poursuivis par l’implantation d’un tel régime;
  • les critères devant guider le décideur dans l’imposition d’une amende, notamment :
    • la gravité de la faute;
    • la sensibilité des renseignements;
    • le nombre de personnes affectées;
    • les mesures mises en place pour remédier au manquement;
    • la collaboration offerte par l’entreprise;
    • la compensation offerte aux personnes visées.
• Le montant maximal de la sanction administrative est de 50 000 $ (personne physique) et de 10 000 000 $ (pour les entreprises) ou du montant correspondant à 2 % du chiffre d’affaires mondial de son exercice financier précédent, si ce dernier montant est plus élevé.
• Le PL 64 modifie également les sanctions pénales déjà stipulées à la LPRPSP et en augmente considérablement la portée. Pour une personne morale, une infraction à la LPRPSP engendrera une amende se situant entre 15 000 $ et 25 000 000 $ ou du montant correspondant à 4 % du chiffre d’affaires mondial du dernier exercice financier, si ce dernier est plus élevé. En cas de récidive, les amendes sont portées au double.
• Les infractions visées par le régime pénal comprennent notamment toute collecte, détention, communication ou utilisation d’un renseignement personnel qui est contraire aux impératifs de la LPRPSP ou tout manquement à la déclaration obligatoire de la survenance d’un incident de confidentialité.

P. Droit de poursuite privée

Finalement, le PL 64 stipule également un droit aux personnes visées par une atteinte illicite aux droits conférés par la LPRPSP de poursuivre l’entreprise en défaut en dommages-intérêts et prévoit la condamnation à des dommages-intérêts punitifs d’au moins 1 000 $ lorsque l’atteinte est intentionnelle ou lorsqu’elle découle d’une faute lourde.

II. Conclusion

Selon notre analyse préliminaire, l’adoption des dispositions proposées aux termes du projet de loi permettrait d’assurer l’adéquation avec les dispositions du Règlement général sur la protection des données (RGPD).

Le projet de loi prévoit actuellement une période transitoire d’une année entre son adoption et l’entrée en vigueur des nouvelles dispositions sauf en ce qui a trait au droit à la portabilité en regard duquel le projet de loi propose de reporter son entrée en vigueur pendant trois ans.

Étant donné l’importance des modifications et des nouveautés proposées, de telles périodes sont opportunes pour permettre aux entreprises de faire l’examen de leurs pratiques actuelles, identifier les écarts et mettre en place les modifications requises pour assurer leur conformité.

Pour consulter l’article avec les références, cliquez ici.