Dans notre publication du 12 octobre 2021, nous faisions état de la sanction du projet de loi 64, intitulé Loi modernisant les dispositions législatives en matière de protection des renseignements personnels du Québec. Comme nous l’indiquions à ce moment, la majeure partie des modifications entrera en vigueur le 22 septembre 2023. Il y a toutefois plusieurs dispositions qui entrent en vigueur dès le 22 septembre 2022.
Certaines de ces modifications sont moins critiques, incluant des changements au niveau du fonctionnement et des pouvoirs de la Commission d’accès à l’information (la « Commission »), qui est l’organe de régulation chargé de l’application des diverses lois sur la protection des renseignements personnels au Québec.
Le présent bulletin souligne quatre changements d’importance qui auront un impact sur les entreprises privées faisant affaires au Québec, lesquels sont en vigueur dès le 22 septembre 2022.
1. Responsable de la protection des renseignements personnels
La personne ayant la plus haute autorité doit veiller à assurer le respect et la mise en œuvre de la Loi sur les protections des renseignements personnels dans le secteur privé.
Cette personne exerce la fonction de responsable de la protection des renseignements personnels, à moins qu’elle délègue cette fonction par écrit, en tout ou en partie, à toute autre personne. Cette personne n’a pas à être un membre du personnel de l’entreprise.
Par ailleurs, le titre et les coordonnées de la personne responsable de la protection des renseignements personnels doivent être publiés sur le site Internet de l’entreprise ou si elle n’a pas de tel site, rendus accessibles par tout autre moyen approprié.
2. Incidents de confidentialité
Les nouvelles dispositions portant sur les incidents de confidentialité entrent également en vigueur le 22 septembre 2022. Il existe déjà des dispositions au même effet dans la loi fédérale portant sur la protection des renseignements personnels et dans la loi de l’Alberta sur la protection des renseignements personnels. Les dispositions québécoises sont similaires, sans toutefois être identiques aux dispositions fédérales (dans la loi fédérale, l’expression consacrée est « atteinte aux mesures de sécurité »).
Un incident de confidentialité signifie l’accès non autorisé, l’utilisation non autorisée ou la communication non autorisée d’un renseignement personnel. Un incident de confidentialité inclut également la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Une personne qui exploite une entreprise et qui a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient doit prendre des mesures « raisonnables » pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents du même genre ne se produise.
Au surplus, dans un tel cas, si l’incident présente un « risque qu’un préjudice sérieux soit causé », l’entreprise ayant subi l’incident :
- doit aviser la Commission avec « diligence »;
- doit aviser toute personne dont le renseignement personnel est concerné par l’incident, mais il n’y a pas de délai pour ce faire (d’ailleurs la personne ne doit pas être avisée de l’incident tant que cela serait susceptible d’entraver une enquête); et
- peut aviser toute autre personne ou organisme susceptible de diminuer le risque, mais il ne s’agit pas d’une obligation, et une telle communication doit être conservée dans les registres de l’entreprise.
Alors que la loi fédérale réfère à un « risque réel de préjudice grave », la loi québécoise prévoit plutôt le concept de « risque qu’un préjudice soit causé ». Pour évaluer un tel risque, il est nécessaire de considérer notamment la sensibilité du renseignement, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables.
Si un incident de confidentialité ne présente pas un risque qu’un risque sérieux ne soit causé, il demeure néanmoins obligatoire pour l’entreprise de l’inscrire dans un registre des incidents de confidentialité, lequel peut être consulté par la Commission.
Le 29 juin 2022, le gouvernement du Québec a publié un projet de Règlement sur les incidents de confidentialité. À la date du présent bulletin, la version définitive n’a toujours pas été publiée.
Ce règlement prévoit le contenu de ce qui suit en cas d’incident de confidentialité :
- le contenu des avis à la Commission;
- le contenu des avis aux personnes concernées; et
- ce qui doit être inclus dans le registre des incidents de confidentialité de l’entreprise (ce registre doit être conservé pour une période de cinq (5) ans après la connaissance de l’incident, alors que le délai est plutôt de deux (2) ans dans la loi fédérale).
Les modalités de ce projet de règlement ressemblent beaucoup à celles prévues en vertu de la loi fédérale, mais il existe néanmoins certaines différences. Par voie de conséquence, si un incident de confidentialité se produit, il sera alors nécessaire de faire les distinctions qui s’imposent entre les obligations québécoises et les obligations fédérales.
Il y a également lieu de garder à l’esprit que la Commission pourra, lorsqu’un incident de confidentialité sera apporté à son attention, ordonner à toute personne, après lui avoir fourni l’occasion de présenter ses observations, l’application de toute mesure qu’elle juge nécessaire pour protéger les droits des personnes concernées.
3. Communication de renseignements personnels aux fins de la conclusion d’une transaction commerciale
La loi fédérale prévoit déjà la possibilité de communiquer des renseignements personnels nécessaires aux fins de la conclusion d’une transaction commerciale, mais on ne trouvait pas une disposition similaire dans la loi québécoise. Cela est maintenant permis, sans le consentement des personnes concernées, à compter du 22 septembre 2022.
Les règles applicables sont similaires à celles qui sont prévues dans la loi fédérale, avec quelques nuances toutefois. Dans tous les cas, une entente doit être préalablement convenue prévoyant plusieurs obligations de la part de la partie qui reçoit les renseignements.
Tout comme dans la loi fédérale, si la transaction commerciale est conclue, il est nécessaire d’aviser les personnes concernées, dans un délai raisonnable après la conclusion de la transaction commerciale, que la nouvelle partie détient maintenant les renseignements personnels.
Une transaction commerciale signifie l’aliénation ou la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, une modification de sa structure juridique par fusion ou autrement, l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou d’une sûreté prise pour garantir l’une de ses obligations.
4. Caractéristiques et mesures biométriques
La Loi concernant le cadre juridique des technologies de l’information prévoit déjà quelques dispositions portant sur les caractéristiques et les mesures biométriques.
À compter du 22 septembre 2022, la création d’une banque de caractéristiques ou de mesures biométriques doit être divulguée à la Commission avec diligence et dans tous les cas, au plus tard soixante (60) jours avant sa mise en service.
De plus, il est maintenant obligatoire d’aviser la Commission avant la mise en place d’une vérification ou de la confirmation de l’identité d’une personne au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques.
Selon la Commission, il existe trois (3) grandes catégories de biométrie : (1) la biométrie morphologique (par exemple, la reconnaissance des empreintes digitales, de la forme de la main, du visage, de la rétine et de l’iris de l’œil), (2) la biométrie comportementale (par exemple, le tracé de la signature, l’empreinte d’une voix, la démarche, la façon de taper sur un clavier), et la biométrie biologique (par exemple, l’ADN, le sang, la salive, l’urine, les odeurs).
Conclusion
Tel qu’indiqué précédemment, des modifications beaucoup plus importantes touchant les entreprises entreront en vigueur le 22 septembre 2023. Les entreprises faisant affaires au Québec doivent donc entreprendre l’étude de la mise en place de ces nouvelles obligations d’ici-là. La Commission a commencé à publier quelques documents d’information à ce sujet (de façon plutôt limitée toutefois), mais on peut s’attendre à ce que davantage d’information soit publiée dans les prochains mois afin d’assister les entreprises dans leur processus de conformité.
Il y a également lieu de garder à l’esprit qu’à compter du 22 septembre 2023, des sanctions pénales et des sanctions administratives pécuniaires importantes seront prévues en cas de non-respect de la loi québécoise.
Avis de non-responsabilité
Cette publication est fournie à titre informatif uniquement. Elle peut contenir des éléments provenant d’autres sources et nous ne garantissons pas son exactitude. Cette publication n’est ni un avis ni un conseil juridique.
Miller Thomson S.E.N.C.R.L., s.r.l. utilise vos coordonnées dans le but de vous envoyer des communications électroniques portant sur des questions juridiques, des séminaires ou des événements susceptibles de vous intéresser. Si vous avez des questions concernant nos pratiques d’information ou nos obligations en vertu de la Loi canadienne anti-pourriel, veuillez faire parvenir un courriel à privacy@millerthomson.com..
© 2022 Miller Thomson S.E.N.C.R.L., s.r.l. Cette publication peut être reproduite et distribuée intégralement sous réserve qu’aucune modification n’y soit apportée, que ce soit dans sa forme ou son contenu. Toute autre forme de reproduction ou de distribution nécessite le consentement écrit préalable de Miller Thomson S.E.N.C.R.L., s.r.l. qui peut être obtenu en faisant parvenir un courriel à newsletters@millerthomson.com.
