2021-01-11 Articles
Dossier spécial
Le Projet de loi nº 64 : Comment s’y préparer? (2e Partie)
Dans ce deuxième article portant sur le Projet de loi nº 64 (ci-après « Projet de loi »)[1] nous poursuivrons avec les thèmes du consentement à l’utilisation et la collecte de renseignements personnels, les décisions rendues par traitement automatisé ainsi que la communication de ces renseignements à l’extérieur du Québec, toujours en regard de la Loi sur la protection des renseignements personnels dans le secteur privé.[2]
L’obtention du consentement
Le Projet de loi précise qu’une entreprise ne peut utiliser un renseignement personnel qu’aux fins pour lesquelles il a été recueilli, à moins du consentement de la personne concernée.[3] En outre, le consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible, c’est-à-dire un renseignement qui, lorsque, de par sa nature ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée.[4]
De plus, le consentement doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs et distinctement de toute autre information communiquée à la personne concernée.[5]
En ce qui concerne le consentement du mineur de moins de 14 ans, il doit être donné par le titulaire de l’autorité parentale. Si le mineur a plus de 14 ans, le consentement est donné par ce dernier ou par le titulaire de l’autorité parentale.[6]
Le consentement n’est valide que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.[7]
Enfin, il est interdit de communiquer à un tiers des renseignements personnels détenus sur autrui, à moins que la personne concernée n’y consente ou que la loi ne le prévoie.[8]
Les exceptions à l’obtention du consentement
Le Projet de loi ajoute et/ou précise certaines situations où un renseignement personnel peut être utilisé sans le consentement de la personne concernée :
- Lorsque l’utilisation du renseignement est à des fins compatibles avec celles pour lesquelles il a été recueilli. À cet égard, le Projet de loi définit une fin compatible comme l’existence d’un lien pertinent et direct avec les fins auxquelles le renseignement a été recueilli. N’est pas une fin compatible la prospection commerciale ou philanthropique;[9]
- Lorsque son utilisation est manifestement au bénéfice de la personne concernée;[10]
- Lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé. Un renseignement est dépersonnalisé s’il ne permet plus d’identifier directement la personne concernée;[11]
- Sous réserve de certaines formalités, lorsque la communication d’un renseignement personnel est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise confié à cette personne ou à cet organisme;[12]
- Sous réserve du respect de certaines conditions, lorsque la communication d’un renseignement personnel est nécessaire aux fins de la conclusion d’une transaction commerciale à laquelle une personne qui exploite l’entreprise entend être partie;[13]
- Pour terminer, dans l’exploitation d’une entreprise, un renseignement personnel est accessible à tout préposé ou agent de l’exploitant qui a qualité pour le connaître à la condition que ce renseignement soit nécessaire à l’exercice de ses fonctions.[14]
Les décisions rendues par traitement automatisé
Dans l’optique de tenir compte de l’évolution des technologies, le Projet de loi stipule qu’une personne qui exploite une entreprise et qui utilise des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci doit, au moment de la décision ou avant, en informer la personne concernée.[15] De plus, la personne concernée a le droit d’être informée :[16]
- Des renseignements personnels utilisés pour rendre la décision;
- Des raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision;
- De son droit de faire rectifier les renseignements personnels utilisés pour rendre la décision.
Par ailleurs, la personne concernée doit avoir l’occasion de présenter ses observations à un membre du personnel de l’entreprise en mesure de réviser la décision.[17]
Le transfert de renseignements personnels à l’extérieur du Québec
L’article 103 du Projet de loi prévoit qu’une personne qui exploite une entreprise et qui désire communiquer des renseignements personnels à l’extérieur du Québec doit procéder à une évaluation des facteurs relatifs à la vie privée. À cet égard, elle doit notamment tenir compte des éléments suivants :[18]
- La sensibilité du renseignement;
- La finalité de son utilisation;
- Les mesures de protection dont le renseignement bénéficierait;
- Le régime juridique applicable dans l’État où ces renseignements seraient communiqués, notamment leur degré d’équivalence par rapport aux principes de protection des renseignements personnels applicables au Québec.
Ainsi, la communication des renseignements ne pourra s’effectuer que si l’évaluation démontre que les renseignements personnels bénéficieraient d’une protection équivalant à celle prévue dans la loi. D’ailleurs, le ministre désigné par le gouvernement publiera à la Gazette officielle du Québec une liste d’États dont le régime juridique encadrant les renseignements personnels équivaut aux principes de protection des renseignements personnels applicables au Québec.
Également, la communication des renseignements doit faire l’objet d’une entente écrite qui tient compte notamment des résultats de l’évaluation et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluation.
Terminons en précisant qu’il en est de même lorsque la personne qui exploite une entreprise confie à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte un tel renseignement.[19]
Dans notre prochain article, nous traiterons des nouveaux droits qui seraient ajoutés, par ce Projet de loi nº 64, à la Loi sur la protection des renseignements personnels dans le secteur privé.
[1] Projet de loi nº 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 42e lég. (Qc), 1re sess., 2020.
[2] RLRQ, c. P-39.1.
[3] Id., art. 102
[4] Id.
[5] Id.
[6] Id.
[7] Id.
[8] Id.
[9] Id.
[10] Id.
[11] Id.
[12] Id., art. 107.
[13] Id.
[14] Id., art. 109.
[15] Id., art. 102.
[16] Id.
[17] Id.
[18] Id., art. 103.
[19] Id.