Réforme législative au Québec sur la protection des renseignements personnels - Points clés à considérer pour les entreprises du secteur privé

Comme nous l’avons souligné dans notre publication antérieure, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « projet de loi 64 ») apporte des modifications significatives à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, à la Loi sur la protection des renseignements personnels dans le secteur privé, ainsi qu’à la Loi concernant le cadre juridique des technologies de l’information.

Alors que la majorité des dispositions du projet de loi 64 entrent en vigueur le 22 septembre 2023, d’importantes nouvelles exigences entreront en vigueur dans moins d’un mois, le 22 septembre 2022. Une dernière disposition entrera en vigueur le 22 septembre 2024. Le présent article porte sur les principaux changements qui impacteront le secteur privé.

22 septembre 2022

Signalement d’incidents de confidentialité

À compter du 22 septembre 2022, après un incident présentant un « risque de préjudice sérieux » pour des individus, les organisations devront aviser l’autorité réglementaire québécoise en matière de protection des renseignements personnels, la Commission d’accès à l’information (la « CAI »), ainsi que les individus affectés. Aucun délai précis n’est établi pour signaler un incident, mais la loi prévoit que le signalement doit être effectué « avec diligence » (ou « promptly » en anglais). Le seuil de « risque de préjudice sérieux » sera évalué en fonction de facteurs similaires à ceux qui sont considérés avec le test de « risque réel de préjudice grave » au niveau fédéral, en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») : la sensibilité des renseignements concernés, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables. Les organisations ont également l’obligation de tenir un registre d’incidents de confidentialité et d’en transmettre une copie à la CAI si cette dernière en fait la demande.

En outre, le 29 juin 2022, le gouvernement du Québec a publié un projet de Règlement sur les incidents de confidentialité (le « Règlement »). Le Règlement fournit des détails supplémentaires concernant les exigences en matière de notification et de tenue de registres. Bien qu’il s’agisse d’un projet pouvant toujours faire l’objet de modifications, en vertu de cette version du Règlement, les organisations devront notamment fournir à la CAI une description des éléments les ayant amenées à conclure qu’il existe un risque de préjudice sérieux pour les individus affectés. Les organisations devront aussi conserver les renseignements relatifs aux incidents de confidentialité pour une période minimale de cinq ans, ce qui excède le délai de deux ans prévu dans la règlementation fédérale.

Personne responsable de la protection des renseignements personnels

En vertu des nouvelles dispositions, la personne ayant la plus haute autorité au sein d’une organisation sera par défaut considérée comme personne responsable de la protection des renseignements personnels. Cette fonction peut être déléguée par écrit, en tout ou en partie, à une autre personne au sein de l’organisation ou une tierce partie. L’organisation doit également s’assurer que le titre et les coordonnées de la personne responsable sont publiées sur son site web.

Déclarations relatives aux données biométriques

 À compter du 22 septembre 2022, les organisations qui utilisent des données biométriques pour vérifier ou confirmer l’identité d’individus devront préalablement déclarer cette pratique à la CAI. Les organisations auront aussi l’obligation d’aviser la CAI de la création de toute banque de données biométriques au plus tard 60 jours avant sa mise en service.

22 septembre 2023

La grande majorité des modifications qu’apporte le projet de loi 64 entreront en vigueur à cette date.

Établissement et publication de politiques de gouvernance et de confidentialité

Les organisations devront établir et publier des politiques et des pratiques sur la protection des renseignements personnels. Ces politiques et pratiques doivent (i) fournir un cadre pour la conservation et la destruction des renseignements, (ii) définir les rôles et responsabilités des employés tout au long du cycle de vie des renseignements et (iii) fournir un processus de traitement des plaintes concernant la protection des renseignements. Des informations détaillées au sujet de ces politiques et pratiques, rédigées en termes simples et clairs, doivent être publiées sur le site web de l'organisation.

Parallèlement, les organisations qui recueillent des renseignements personnels par des moyens technologiques seront tenues de publier une politique de confidentialité sur leur site web. Cette politique doit également être rédigée en termes simples et clairs.

Évaluation de facteurs relatifs à la vie privée

Les organisations auront l’obligation de procéder à une évaluation de facteurs relatifs à la vie privée (« ÉFVP ») pour tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

L’ÉFVP doit être « proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support ».

Nouvelles exigences en matière de consentement

Les modifications de septembre 2023 mettent à jour les exigences de consentement applicables.

Toute personne qui recueille des renseignements personnels auprès d’une personne concernée doit informer cette personne de ce qui suit :

• les fins auxquelles ces renseignements sont recueillis;
• les moyens par lesquels les renseignements sont recueillis;
• les droits d’accès et de rectification prévus par la loi; et
• son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis.

Cette information doit être transmise à la personne concernée en termes simples et clairs.

Pour procéder à la collecte et à la communication de renseignements personnels, le consentement doit être « manifeste, libre, éclairé et être donné à des fins spécifiques ». Une demande de consentement faite par écrit doit également être présentée distinctement de toute autre information communiquée à la personne concernée. De plus, le consentement n’est valide que pour « la durée nécessaire à la réalisation des fins auxquelles il a été demandé ».

Toutefois, le projet de loi 64 prévoit certaines exceptions à l'obligation de consentement. Par exemple, il sera possible d'externaliser des renseignements personnels sans le consentement de la personne concernée si ces renseignements sont nécessaires à l'exécution d'un mandat ou à la réalisation d'un contrat ou de services confiés et que l'organisation respecte les formalités prévues par la loi.

De nouvelles exigences sont également instaurées pour le consentement de personnes mineures de moins de 14 ans :

Les renseignements personnels concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès de celui-ci sans le consentement du titulaire de l’autorité parentale ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice de ce mineur.

Communication à l’extérieur du Québec

Une ÉFVP devra être réalisée avant que des renseignements personnels ne puissent être communiqués à l’extérieur du Québec. Avant de procéder à une telle communication, les organisations devront tenir compte des éléments suivants :

• la sensibilité du renseignement;
• la finalité de son utilisation;
• les mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait; et
• le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les principes de protection des renseignements personnels qui y sont applicables.

La communication devra aussi faire l’objet d’une entente écrite qui tient compte des résultats de l’ÉFVP et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de l’ÉFVP.

Droit à l’oubli

Les individus pourront exiger des organisations qu’elles cessent de diffuser leurs renseignements personnels ou encore que soit désindexé tout hyperlien rattaché à leur nom et permettant d’accéder à leurs renseignements personnels, lorsque la diffusion des renseignements contrevient à la loi ou à une ordonnance judiciaire.

Sanctions administratives pécuniaires et pénales

La CAI aura le pouvoir d'imposer des sanctions administratives pécuniaires pouvant aller jusqu'à 50 000 dollars pour une personne physique, et pour les personnes morales, jusqu'à 10 000 000 de dollars ou 2 % du chiffre d'affaires mondial de l'exercice précédent, selon le montant le plus élevé.

L’individu ou l’organisation en défaut aura le droit de demander le réexamen de la décision rendue par la CAI. La décision de réexamen pourra par ailleurs être contestée devant la Cour du Québec.

La CAI pourra également intenter des poursuites pénales. Le montant maximal pour les sanctions pénales sera de 100 000 dollars pour une personne physique, et de 25 000 000 de dollars ou 4 % du chiffre d’affaires mondial pour les personnes morales.

Déclarations relatives à la prise de décision automatisée

Les organisations devront informer les personnes concernées lorsque leurs renseignements personnels sont utilisés pour rendre une décision fondée exclusivement sur le traitement automatisé de ces renseignements. Une personne concernée devra avoir la possibilité de soumettre ses observations à un individus au sein de l'organisation qui est en mesure de revoir la décision.

Utilisation aux fins d’identification, de localisation et de profilage

Les organisations devront informer les personnes dont les renseignements personnels sont recueillis de l'utilisation d'une technologie comportant des fonctions permettant l'identification, la localisation ou le profilage de ces personnes.

Anonymisation des renseignements personnels

En vertu de la législation actuelle, les organisations ont l'obligation de détruire les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis ou utilisés ont été accomplies. À compter du 22 septembre 2023, ces renseignements pourront également être anonymisés afin de pouvoir être utilisés « à des fins sérieuses et légitimes ». Un renseignement personnel est anonymisé en vertu de la loi lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement la personne concernée. L'anonymisation doit par ailleurs se faire selon les meilleures pratiques généralement reconnues.

Paramètres de confidentialité par défaut

Le projet de loi 64 précise que les organisations qui recueillent des renseignements personnels et offrent des produits ou services technologiques comportant des paramètres de confidentialité doivent s'assurer que ces paramètres offrent par défaut le plus haut niveau possible de confidentialité. Cette exigence ne s'applique pas aux témoins de connexion (ou « cookies »).

22 septembre 2024

Droit à la portabilité des renseignements personnels

La seule disposition qui entrera en vigueur à cette date concerne la communication et le transfert de renseignements personnels. En vertu du droit à la portabilité des renseignements personnels, les organisations seront tenues de fournir aux personnes qui en font la demande les renseignements personnels recueillis à leur sujet dans un format technologique structuré et couramment utilisé. Parallèlement, les personnes concernées pourront demander à ce que leurs renseignements personnels soient communiquées à toute personne ou organisme autorisé par la loi à les recueillir.

Conclusion

Avec l'entrée en vigueur de certaines dispositions du projet de loi 64, le Québec deviendra la première juridiction au Canada à moderniser sa législation sur la protection des renseignements personnels. Il est attendu de la CAI qu'elle continue à publier des lignes directrices et des précisions sur les moyens d'assurer la conformité à la loi, en particulier en ce qui concerne l'interprétation et l'application du seuil de « risque de préjudice sérieux » et du « test de proportionnalité » de l'ÉFVP.

Si vous avez des questions sur la façon dont ces changements affecteront votre entreprise, nous vous invitons à contacter notre Groupe de cybersécurité et de protection des données.