La nouvelle loi québécoise sur la protection de la vie privée (projet de loi 64) est arrivée – Les entreprises canadiennes doivent en prendre note!

12 octobre 2021 | David Krebs, Alexandre Ajami, Amanda Cutinha

Alors que les tentatives du gouvernement fédéral de moderniser la loi canadienne, par le biais du projet de loi C-11, font du surplace dans le champ miné de la protection de la vie privée, le Québec a franchi la première étape de sa démarche visant à harmoniser sa loi avec celle d’autres territoires, dont le Règlement général sur la protection des données (« RGPD ») de l’Union européenne. Le projet de loi 64 du Québec, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été sanctionné le 22 septembre 2021 et la majorité de ses dispositions entreront en vigueur dans deux ans. [1]

Le projet de loi vise à moderniser le cadre applicable à la protection des renseignements personnels au Québec et à fournir à l’organisme de réglementation (la Commission d’accès à l’information) des outils pertinents et efficaces pour faire respecter les exigences du nouveau régime. Ces outils comprennent notamment l’imposition de sanctions dont les petites ou grandes organisations ne pourront faire fi facilement.

À l’instar de l’approche progressive adoptée pour le RGPD, le projet de loi 64 donnera aux organisations établies au Québec et à celles qui se trouvent à l’extérieur des frontières de la province deux ans pour se préparer à la transition vers ce nouveau régime. Les organisations doivent toutefois prendre note que certains de ces changements entreront en vigueur dans un an. Fait important, ceux-ci comprennent les dispositions relatives au signalement obligatoire des incidents de confidentialité impliquant un renseignement personnel et à la nomination d’un responsable de la protection des renseignements personnels.

Application

Comme c’est déjà le cas, le projet de loi 64 ne s’applique pas seulement aux organisations établies au Québec; il s’applique également à toute collecte de renseignements personnels qui est effectuée au Québec, que l’organisation soit établie ou non dans la province. En ce sens, il n’est pas très différent de la Personal Information Protection Act (« PIPA ») de l’Alberta ou de la loi fédérale canadienne sur la protection de la vie privée, la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »). De plus, le projet de loi 64 peut également s’appliquer aux entreprises de compétence fédérale qui sont autrement assujetties à la LPRPDE puisqu’il a déjà été décidé que la loi québécoise s’applique à de telles entreprises.

Changements apportés à la loi sur le secteur privé

Le projet de loi 64 modifie un certain nombre de lois québécoises, dont la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi »). Ces changements s’articulent autour des éléments suivants : les exigences relatives à la collecte, à l’utilisation et à la communication des renseignements personnels; les exigences en matière de gouvernance à l’égard des renseignements personnels et le signalement des incidents de confidentialité impliquant un renseignement personnel; et les mécanismes d’application.

Règles régissant la collecte, l’utilisation et la communication des renseignements personnels

Le projet de loi instaure de manière proactive de nouvelles règles régissant la collecte, l’utilisation et la communication des renseignements personnels. Il exige que les organisations qui recueillent des renseignements personnels au Québec prennent les mesures suivantes :

  • obtenir un consentement valable, notamment un consentement exprès dans certaines situations;
  • fournir des informations en utilisant des termes simples et clairs (notamment par l’intermédiaire d’une politique de confidentialité) lors de la collecte de renseignements personnels;
  • lorsque des moyens technologiques permettant d’identifier une personne, de la localiser ou d’effectuer un profilage de celle-ci sont utilisés, fournir de l’information supplémentaire à ce sujet;
  • informer les personnes concernées lorsque des renseignements personnels sont utilisés pour que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci;
  • détruire les renseignements personnels lorsque les fins auxquelles ils ont été recueillis sont accomplies ou les anonymiser, mais uniquement à des fins légitimes.

Exigences en matière de gouvernance à l’égard des renseignements personnels et le signalement des incidents de confidentialité impliquant un renseignement personnel

En plus des exigences relatives à la collecte, à l’utilisation et à la communication des renseignements personnels, les organisations qui recueillent des renseignements personnels au Québec doivent respecter des exigences en matière de gouvernance. Certaines de ces exigences entreront en vigueur dans un an, et non dans deux ans, notamment celles concernant la nomination d’un responsable de la protection des renseignements personnels et le signalement obligatoire des incidents de confidentialité impliquant un renseignement personnel.

À compter de l’an prochain, les organisations qui recueillent des renseignements personnels au Québec seront tenues de nommer un responsable de la protection des renseignements personnels qui aura le mandat d’assurer le respect et la mise en œuvre de la Loi. Le responsable de la protection des renseignements personnels sera réputé être la personne ayant la plus haute autorité, à moins que cette fonction ne soit déléguée par écrit à une autre personne. Les coordonnées du responsable de la protection des renseignements personnels devront être publiées sur le site Web de l’organisation.

À compter de l’an prochain également, les organisations devront signaler les incidents de confidentialité impliquant un renseignement personnel à l’organisme de réglementation, la Commission d’accès à l’information (« CAI »), lorsque l’atteinte aux renseignements personnels présente un risque qu’un préjudice sérieux soit causé à une personne. À l’instar du seuil applicable au « risque réel de préjudice grave » prévu dans la PIPA et la LPRPDE, le projet de loi 64 prévoit que l’évaluation du « risque de préjudice sérieux» doit porter sur la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité que ce renseignement soit utilisé à des fins préjudiciables. Comme dans le cadre de la LPRPDE, les organisations devront tenir un registre des incidents de confidentialité.

Politiques et évaluation de l’impact sur la vie privée

Dans deux ans, les organisations devront publier des règles de gouvernance et, si les renseignements sont recueillis par des moyens technologiques, une politique de confidentialité. Le projet de loi 64 exige que les organisations procèdent à une évaluation des facteurs relatifs à la vie privée des systèmes qui traitent des renseignements personnels; elles doivent également procéder à cette évaluation lorsque des renseignements personnels sont transférés à l’extérieur du Québec. Il s’agira vraisemblablement pour les organisations d’une tâche importante à accomplir.

Les organisations devront de plus conclure des ententes écrites contenant des dispositions précises avec les fournisseurs de services ou entreprises de traitement des renseignements personnels (c’est-à-dire des ententes avec des tiers traitant des renseignements au nom de l’organisation).

Mécanismes d’application et sanctions

Pour assurer la conformité avec ces règles, le projet de loi 64 contient des mécanismes d’application, notamment : des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 2 % du chiffre d’affaires mondial en cas de non-conformité; la création d’infractions pénales en cas de contravention à la Loi dans certaines circonstances; et l’établissement d’un droit privé d’action pour les personnes touchées par une contravention à la Loi.

Que faut-il faire maintenant?

La première étape consiste à déterminer si le projet de loi 64 s’applique aux activités de collecte et de traitement des renseignements personnels par votre organisation. Tenez compte de vos opérations ainsi que de l’endroit où se déroulent vos activités de collecte de renseignements personnels.

S’il est probable que votre organisation sera touchée, l’étape suivante consiste à évaluer son niveau actuel de conformité aux lois applicables existantes, comme la LPRPDE, la PIPA ou le RGPD. À certains égards, les exigences imposées dans le projet de loi 64 vous seront déjà familières, comme le signalement obligatoire des incidents de confidentialité impliquant un renseignement personnel.

Cependant, d’autres changements obligeront les entreprises à mettre en œuvre des pratiques et des procédures de documentation qui, à ce jour, ne sont exigés nulle part dans la législation canadienne. Il s’agit notamment de changements concernant la manière dont le consentement doit être obtenu, les types de renseignements personnels qui sont assujettis à la loi (les données dépersonnalisées sont prises en compte) ainsi que la réalisation d’évaluations des facteurs relatifs à la vie privée. Ces changements auront une incidence sur les pratiques et les procédures internes, ainsi que sur les politiques de confidentialité des organisations destinées au public.

Troisièmement, établissez un plan concernant les lacunes dans votre organisation, les moyens de les corriger et les ressources nécessaires pour le faire. Il ne fait aucun doute que le projet de loi 64 aura des répercussions sur l’évaluation des risques de conformité d’une organisation, ce qui devrait être examiné par la direction.

Si vous avez des questions sur le projet de loi 64, David Krebs, Alexandre Ajami et notre équipe en protection de la vie privée sont à votre disposition.


[1] Certaines dispositions entreront en vigueur au cours dans un an et des dispositions sur le droit à la portabilité entreront en vigueur dans trois ans.

Avis de non-responsabilité

Les renseignements affichés sur ce blogue contiennent des points de droit variés fournis uniquement à des fins informatives et non commerciales. Ces renseignements ne constituent pas un avis juridique de la part de l’auteur. Nous mettons en garde les lecteurs de ne pas prendre de décision particulière sans avoir préalablement obtenu l’avis juridique d’un professionnel qualifié. Toute personne qui décide de prendre une décision en s’appuyant sur ces renseignements le fait à ses propres risques.