Protection des renseignements personnels : une entrée en vigueur échelonnée sur trois ans une fois la loi sanctionnée

Le 21 septembre, l’Assemblée nationale du Québec a adopté la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. L’adoption de cette loi vient ainsi clore un long processus législatif qui a débuté le 12 juin 2020 par la présentation du projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« PL 64 »). Au cours de ce processus, plusieurs amendements ont été adoptés pour prendre en considération certaines préoccupations soulevées lors des consultations particulières et l’étude détaillée du PL 64 par la Commission des institutions de l’Assemblée nationale.

Comme mentionné dans un article précédent, cette pièce législative vient modifier et ajouter plusieurs droits et obligations en ce qui a trait à la protection des renseignements personnels. Et, même si l’entrée en vigueur de cette loi s’échelonnera sur trois ans, les entreprises faisant affaire au Québec seraient avisées d’entreprendre dès maintenant les démarches requises pour assurer la conformité de leurs pratiques en ce domaine. Il en est de même pour les organismes publics, ce qui fera l’objet d’un autre article prochainement.

En effet, un an après la date de sanction de la loi, les dispositions suivantes ajoutées à la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP ») entreront en vigueur :

  • désignation d’un responsable de la protection des renseignements personnels (article 3.1);
  • obligation d’aviser la Commission d’accès à l’information, et les personnes concernées, de tout incident de confidentialité impliquant un renseignement personnel qui présente un risque qu’un préjudice sérieux soit causé (articles 3.5 à 3.8);
  • communication d’un renseignement personnel nécessaire aux fins de la conclusion d’une transaction commerciale, sans le consentement de la personne concernée (article 18.4);
  • communication de renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production statistiques (articles 21 à 21.0.2).

Deux ans après la date de sanction de la loi, ce sont la plupart des dispositions de la LPRPSP modifiées par le PL 64, qui entreront en vigueur. Il en va ainsi de l’obligation faite aux entreprises :

  • d’établir et de mettre en œuvre des politiques et pratiques encadrant la gouvernance à l’égard des renseignements personnels et qui sont propres à assurer la protection de ces renseignements (article 3.2);
  • de procéder à une évaluation des facteurs relatifs à la vie privée
    • de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (article 3.3);
    • avant de communiquer à l’extérieur du Québec un renseignement personnel (article 17);
  • de déterminer les fins de la collecte avant celle-ci, d’informer les personnes concernées de ces fins lors de la collecte, sur demande ou le cas échéant, incluant le recours à une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer un profilage de la personne concernée ou encore lorsqu’une décision se fonde exclusivement sur un traitement automatisé (articles 4, 5, 8, 8.1, 12.1);
  • d’obtenir un consentement manifeste, libre, éclairé, donné à des fins spécifiques et ne valant que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé. Il convient de rappeler que lorsque la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information communiquée à la personne concernée (article 14);
  • de rédiger en termes simples et clairs une politique de confidentialité et de la diffuser sur son site Internet ou par tout moyen propre à atteindre les personnes concernées (article 8.2);
  • de s’assurer que, par défaut, les paramètres de confidentialité du produit ou du service technologique offert au public assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée (article 9.1). Il convient de préciser que cette disposition ne s’applique pas aux paramètres de confidentialité d’un témoin de connexion;
  • de détruire ou d’anonymiser pour les utiliser à des fins sérieuses et légitimes les renseignements personnels lorsque les fins auxquelles ils ont été recueillis ou utilisés sont accomplies (article 23);
  • de prendre en considération les demandes formulées par une personne concernée par un renseignement personnel visant à cesser la diffusion de ce renseignement, à désindexer tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique ou encore à le réindexer (article 28.1).

Enfin, trois ans après la date de sanction de la loi, entrera en vigueur l’obligation pour une entreprise de communiquer un renseignement personnel informatisé recueilli auprès du requérant (et non pas créé ou inféré à partir d’un renseignement personnel) dans un format technologique structuré et couramment utilisé si ce dernier le demande, ainsi que le communiquer à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement (droit à la portabilité) (article 27 alinéa 3).

Ainsi, bien qu’une période transitoire soit prévue pour l’entrée en vigueur de plusieurs des nouvelles dispositions de la LPRPSP, il ne faut pas sous-estimer l’ampleur de la tâche que représentera la mise en conformité avec ces nouvelles obligations. C’est pourquoi au cours des prochaines semaines, nous allons publier plusieurs articles et offrir des formations afin de présenter l’impact de ces modifications.

Vous pouvez consulter un résumé des mesures ici.

Flèche vers le haut Montez