Aller au contenu

2021-11-15 Articles

Le projet de loi nº 64 : Quoi de neuf? (2e Partie)

Partagez

Dans ce deuxième article sur les développements récents concernant le Projet de Loi nº 64 (ci-après « PL-64 »)[1] sanctionné le 22 septembre 2021, nous poursuivons avec certains amendements aux dispositions du PL-64, toujours en regard des principales modifications qui seront apportées à la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « LPRPSP »).[2] Nos quatre (4) articles publiés en janvier 2021 portant sur le PL-64 demeurent pertinents sous réserve de ces amendements.

Amendements aux principales dispositions du PL-64 

Veuillez noter qu’il ne s’agit pas d’une étude exhaustive de l’ensemble des amendements apportés au PL-64 en ce qui concerne la LPRPSP. Nous nous sommes concentrés sur les amendements touchant les dispositions du PL-64 dont il fut question dans nos quatre (4) articles de janvier 2021.

Article amendé du PL-64 Article amendé de la LPRPSP Sujet des articles Description de l’amendement
95 3.1 Désigner un responsable de la protection des renseignements personnels Initialement, le PL-64 prévoyait que la personne qui détient la plus haute autorité dans l’entreprise exerce la fonction de responsable de la protection des renseignements personnels. Cette fonction pouvait être déléguée par écrit, en tout ou en partie à un membre du personnel. Désormais, cette fonction peut être déléguée à toute personne, et non plus uniquement à un membre du personnel.
95 3.2 Établir et mettre en œuvre des politiques et des pratiques encadrant la gouvernance de l’entreprise à l’égard des renseignements personnels Il n’est plus nécessaire de publier ces politiques et ces pratiques sur le site Internet de l’entreprise. Seules des informations détaillées au sujet de ces dernières doivent être publiées, notamment en ce qui concerne le contenu exigé au premier alinéa, en termes simples et clairs, sur le site Internet de l’entreprise ou, si elle n’a pas de site, rendues accessibles par tout autre moyen approprié.
95 3.3 Évaluer les facteurs relatifs à la vie privée Premièrement, l’amendement précise les situations où une évaluation des facteurs relatifs à la vie privée est requise. Aussi, elle doit être effectuée lors de tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

Second ajout : Critère de proportionnalité dans la réalisation de l’évaluation des facteurs relatifs à la vie privée. « La réalisation d’une évaluation des facteurs relatifs à la vie privée doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support ».
99 8 Faire preuve de transparence dans la collecte de renseignements personnels et devoir d’information L’article 99 du PL-64 prévoit plusieurs éléments dont la personne concernée doit être informée lors de la collecte de ses renseignements personnels et par la suite sur demande. Auparavant, le PL-64 prévoyait que la personne qui recueille des renseignements personnels auprès de la personne concernée devait notamment l’informer du nom du tiers pour qui la collecte est faite.

L’amendement au PL-64 ajoute que la personne concernée doit aussi être informée du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements personnels aux fins visées au paragraphe 1º du premier alinéa de l’article 8.
99 8.1 Faire preuve de transparence dans la collecte de renseignements personnels et devoir d’information Alors qu’auparavant le PL-64 prévoyait que la personne qui exploite une entreprise et qui a recours à une technologie comprenant des fonctions permettant d’identifier une personne, de la localiser ou d’effectuer un profilage de celle-ci devait l’informer des moyens offerts, pour désactiver ces fonctions. Dorénavant, l’amendement mentionne qu’elle doit l’informer de la manière d’activer ces fonctions. Autrement dit, le paramétrage de base d’une technologie permettant l’identification, la localisation ou le profilage doit être la désactivation de ces fonctions.
99 8.3 Faire preuve de transparence dans la collecte de renseignements personnels et devoir d’information L’amendement à cet article prévoit que toute personne qui fournit ses renseignements personnels suivant l’article 8 consent non seulement à leur utilisation, mais aussi à leur communication aux fins visées au paragraphe 1º du premier alinéa de cet article.
100 9.1 Paramètres de confidentialité d’un produit ou d’un service technologique offert au public L’article 9.1 de la LPRPSP est remplacé par le suivant :

« Une personne qui exploite une entreprise et qui recueille des renseignements personnels en offrant au public un produit ou un service technologique disposant de paramètres de confidentialité doit s’assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.

Ne sont pas visés au premier alinéa les paramètres de confidentialité d’un témoin de connexion ».
102 12 Obtenir le consentement à l’utilisation de renseignements personnels Le PL-64 prévoyait que le consentement à l’utilisation d’un renseignement personnel doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible. L’amendement précise ce qu’est un renseignement personnel sensible, à savoir : un renseignement qui de par sa nature notamment médicale, biométrique ou autrement intime ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée.

Le PL-64 mentionnait trois (3) cas où un renseignement personnel pouvait être utilisé à une autre fin que celle pour laquelle il a été recueilli. L’amendement ajoute deux (2) autres cas :

• Lorsque son utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité;

• Lorsque son utilisation est nécessaire à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la personne concernée.

Également, le PL-64 est amendé afin de prévoir qu’une personne qui exploite une entreprise et qui utilise des renseignements dépersonnalisés doit prendre les mesures raisonnables afin de limiter les risques que quiconque procède à l’identification d’une personne physique à partir de renseignements dépersonnalisés.
102 12.1 Faire preuve de transparence dans la collecte de renseignements personnels et devoir d’information Le PL-64 amendé prévoit que toute personne qui exploite une entreprise et qui utilise des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci doit en informer la personne concernée au plus tard au moment où il l’informe de cette décision et non plus au moment de la décision ou avant.
102 14 Obtenir le consentement à l’utilisation de renseignements personnels L’amendement au PL-64 précise que lorsque la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information communiquée à la personne concernée.

Dorénavant, outre le titulaire de l’autorité parentale, le tuteur d’un mineur peut donner le consentement pour le mineur de moins de 14 ans. Pour celui qui a plus de 14 ans, le consentement peut être donné par le mineur, le titulaire de l’autorité parentale ou par le tuteur.
103 17 Évaluer les facteurs relatifs à la vie privée Le PL-64 exigeait qu’une personne qui exploite une entreprise et qui veut communiquer à l’extérieur du Québec un renseignement personnel doit au préalable effectuer une évaluation des facteurs relatifs à la vie privée et tenir compte de plusieurs éléments. L’amendement au PL-64 modifie certains éléments dont elle doit tenir compte, entre autres, des mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait. Elle doit aussi tenir compte du régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les principes de protection des renseignements personnels qui y sont applicables.

Également, pour communiquer un renseignement à l’extérieur du Québec, il n’est plus nécessaire de démontrer que le renseignement bénéficierait d’une protection équivalente à celle prévue à la LPRPSP. La protection doit être adéquate.
103 17.1 Évaluer les facteurs relatifs à la vie privée Retrait de la publication à la Gazette officielle du Québec d’une liste d’États dont le régime juridique encadrant les renseignements personnels équivaut aux principes de protection des renseignements personnels applicables au Québec. L’article 17.1 est donc retiré.
107 18.4 Communiquer un renseignement personnel à un tiers sans le consentement de la personne concernée Le PL-64 prévoyait qu’un renseignement personnel nécessaire aux fins de la conclusion d’une transaction commerciale pouvait être communiqué par une personne qui exploite une entreprise partie à la transaction, sous réserve de la conclusion d’une entente préalable entre les parties à la transaction visant à protéger ce renseignement personnel.

L’amendement modifie et élargit la définition d’une transaction commerciale. Elle implique l’aliénation ou la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, d’une modification de sa structure juridique par fusion ou autrement, de l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou d’une sûreté prise pour garantir une de ses obligations.
111 23 Droit de destruction ou d’anonymisation Initialement, lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé étaient accomplies, la personne qui exploite une entreprise pouvait soit le détruire ou l’anonymiser. L’amendement mentionne que « lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise doit le détruire ou l’anonymiser pour l’utiliser à des fins sérieuses et légitimes, sous réserve d’un délai de conservation prévue par une loi. »

Cet article du PL-64 a aussi été amendé afin de modifier la définition d’un renseignement anonymisé en ce qu’un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne.

Enfin, les renseignements doivent être anonymisés selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement.
112 27 Droit d’accès des personnes concernées L’amendement prévoit que le droit d’obtenir un renseignement personnel informatisé dans un format technologique structuré et couramment utilisé ou de demander la communication de ce renseignement à toute personne ou à tout organisme autorisé par la loi à le recueillir ne s’applique pas aux renseignements inférés ou créés à partir d’un renseignement personnel du requérant.
113 28.1 Droit de faire cesser la diffusion ou d’exiger la désindexation ou la réindexation d’un hyperlien Dans l’évaluation d’une demande de cessation de diffusion du renseignement, de désindexation ou de réindexation de tout hyperlien rattaché à son nom, il n’est plus tenu compte de l’âge de la personne concernée, mais du fait que le renseignement concerne la personne alors qu’elle est mineure.

Également, l’amendement ajoute :
« Lorsqu’il acquiesce à la demande, le responsable de la protection des renseignements personnels atteste, dans sa réponse écrite en vertu de l’article 32, de la cessation de diffusion du renseignement personnel ou de la désindexation ou de la réindexation de l’hyperlien. »
132 64 Dépôt du recours en contestation d’une ordonnance prise par la section de surveillance de la Commission d’accès à l’information Le PL-64 prévoyait que le dépôt du recours en contestation d’une ordonnance prise par la section de surveillance de la Commission d’accès à l’information ne suspendait pas l’exécution de cette ordonnance.

L’amendement ajoute : « Toutefois, sur requête instruite et jugée d’urgence, un juge de la Cour du Québec peut en ordonner autrement en raison de l’urgence ou du risque d’un préjudice sérieux et irréparable ».
150 90.1 Sanctions administratives pécuniaires L’article énumère les situations donnant lieu à des sanctions administratives pécuniaires. À la suite d’un amendement, une sanction peut être imposée à quiconque recueille, utilise, communique, conserve ou détruit des renseignements personnels en contravention à la loi (LPRPSP).

À cela s’ajoute la situation où les mesures de sécurité propres à assurer la protection des renseignements personnels ne sont pas prises conformément à l’article 10 de la LPRPSP.

Également, une sanction administrative peut être imposée à un agent de renseignements personnels qui contrevient aux articles 70, 70.1, 71, 72, 78, 79 ou 79.1.

Par ailleurs, 2 autres alinéas ont été ajoutés à l’article 90.1, à savoir :

« À la suite d’un manquement visé au premier alinéa, une personne peut, en tout temps, s’engager auprès de la Commission à prendre les mesures nécessaires pour remédier au manquement ou en atténuer les conséquences. Cet engagement doit énoncer les actes ou les omissions qui constituent un manquement et les dispositions en cause. Celui-ci peut également inclure les conditions que la Commission estime nécessaires et il peut prévoir l’obligation de payer une somme d’argent.

Si l’engagement est accepté par la Commission et qu’il est respecté, la personne qui exploite une entreprise ne peut faire l’objet d’une sanction administrative pécuniaire à l’égard des actes ou des omissions mentionnés dans l’engagement ».
150 90.2 Sanctions administratives pécuniaires Le PL-64 mentionne que « La Commission élabore et rend public un cadre général d’application de sanctions administratives pécuniaires » dans lequel elle précise plusieurs éléments.

Dans la première version du PL-64, le paragraphe 2, mentionnait comme élément à être précisé : « les critères qui doivent guider les personnes désignées dans la décision d’imposer une sanction lorsqu’un manquement est constaté… ».

Dorénavant, l’article se lit comme suit :
« les critères qui doivent guider les personnes désignées dans la décision d’imposer une sanction lorsqu’un manquement est constaté, ainsi que dans la détermination du montant de la sanction… ».

D’ailleurs, il y a ajout d’un critère au paragraphe 2 g) pour guider les personnes désignées dans leur décision d’imposer une sanction et dans la détermination du montant de la sanction, à savoir :
« la capacité de payer de la personne en défaut, compte tenu notamment de son patrimoine, de son chiffre d’affaires ou de ses revenus ».
151 91 Dispositions pénales Dans la première version du PL-64, l’amende pour la personne physique qui commettait une infraction était entre
5 000 $ et 50 000 $. Le PL-64 amendé prévoit désormais que l’amende pour la personne physique est entre 5 000 $ et 100 000 $.

Également le PL-64 amendé ajoute 3 infractions pénales :

• Quiconque recueille, utilise, communique, conserve ou détruit des renseignements personnels en contravention à la loi (LPRPSP);

• Quiconque contrevient à l’interdiction prévue à l’article 8.4 de la loi (LPRPSP) (en raison de l’article 108 de la Loi sur les agents d’évaluation du crédit);

• Quiconque ne prend pas les mesures de sécurité propres à assurer la protection des renseignements personnels conformément à l’article 10.
151 92.2 Dispositions pénales Initialement, le PL64 prévoyait que toute poursuite pénale devait être intentée dans un délai de trois (3) ans de la perpétration de l’infraction. La version finale du PL-64 prévoit dorénavant un délai de cinq (5) ans de la perpétration de l’infraction.
151 92.3 Dispositions pénales Ajout de cet article dans la version finale du PL-64 afin de préciser les facteurs dont le juge tient compte dans la détermination de la peine.
152 93.1 Dommages-intérêts La version finale du PL-64 prévoit à son article 93.1 :
« Lorsqu’une atteinte illicite à un droit conféré par la présente loi ou par les articles 35 à 40 du Code civil cause un préjudice et que cette atteinte est intentionnelle ou résulte d’une faute lourde, le tribunal accorde des dommages-intérêts punitifs d’au moins
1 000 $ ».

Cet amendement soumet le recours pour dommages-intérêts punitifs aux règles générales de la responsabilité civile.

Ceci complète notre deuxième article portant sur les développements récents touchant le PL-64 eu égard à la LPRPSP. Avocats : soyez proactifs et mettez à jour vos connaissances en matière de protection des renseignements personnels dès maintenant! Vos clients apprécieront pouvoir bénéficier suffisamment de temps pour élaborer un cadre propice au respect des nouvelles exigences, qui avouons-le sont tout de même considérables.

 

Références :

[1] Projet de loi nº 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 42e lég. (Qc), 1re sess., 2020.

[2] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1.

Projet de loi nº 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 42e lég. (Qc), 1re sess., 2020 (sanctionné le 22 septembre 2021).

Antoine Aylwin, Kateri-Anne Grenier et Julie Uzan-Naulin, Loi sur la protection des renseignements personnels dans le secteur privé annotée, Octobre 2021, en ligne :

https://www.fasken.com/fr/knowledge/projet-de-loi-64/2021/10/loi-sur-la-protection-des-renseignements-personnels-dans-le-secteur-prive#:~:text=Cette%20Loi%2C%20qui%20entre%20en,aux%20entreprises%20du%20secteur%20priv%C3%A9

Jennifer Stoddart, Julie Uzan-Naulin, Mathilde Romano, Le début d’un temps nouveau pour le secteur privé : le projet de loi 64 sur la protection des renseignements personnels est adopté, Bulletin #32, | Série spéciale – Projet de loi no 64 et la réforme des lois québécoises sur la protection des renseignements personnels, Septembre 2021, en ligne :

https://www.fasken.com/fr/knowledge/projet-de-loi-64/2021/09/23-debut-temps-nouveau-secteur-prive-pl-64-adopte.

Raymond Doray, Guillaume Laberge, Roxanne Fortin Lecompte et Marc-Antoine Bigras, Modifications aux lois sur la protection des renseignements personnels : ce que les entreprises doivent savoir, Lavery Avocats / Publications, Octobre 2021, en ligne : https://www.lavery.ca/fr/publications/nos-publications/4276-modifications-aux-lois-sur-la-protection-des-renseignements-personnels-ce-que-les-entreprises-doivent-savoir.html.