Aller au contenu

2021-11-01 Articles

Le projet de loi nº 64 : Quoi de neuf? (1ère Partie)

Partagez

1er novembre 2021

En janvier 2021, nous avons publié une série de quatre (4) articles sur la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après « PL-64 »).[1] Rappelons que le PL-64 constitue une refonte majeure des obligations incombant aux organismes publics et aux entreprises du secteur privé en matière de protection des renseignements personnels. Dans nos articles, nous avons traité des principales modifications apportées par le PL-64 à la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « LPRPSP »).[2]

Le PL-64, initialement déposé à l’Assemblée nationale en juin 2020, a été adopté le 21 septembre 2021 et sanctionné le 22 septembre 2021. Ajoutons que plusieurs amendements ont été apportés au PL-64 à la suite de débats en commission parlementaire.

Cet article traite de l’entrée en vigueur des principales dispositions de la LPRPSP. Un second article traitera des principaux amendements au PL-64 en ce qui concerne la LPRPSP.

Entrée en vigueur de la LPRPSP 

L’entrée en vigueur des nouvelles dispositions de la LPRPSP s’échelonnera sur trois (3) ans. Bien que cela semble être dans un avenir lointain, les entreprises et les avocats qui les conseillent seraient avisés d’entreprendre immédiatement des démarches afin de s’assurer de se conformer aux nouvelles pratiques en matière de protection des renseignements personnels.

Voici les principales dispositions de la LPRPSP qui entreront en vigueur un (1) an après la sanction du PL-64 :

  • Désigner un responsable de la protection des renseignements personnels (article 3.1);
  • Aviser la Commission d’accès à l’information et toute personne dont un renseignement personnel est concerné, d’un incident de confidentialité qui présente un risque qu’un préjudice sérieux soit causé. Également, l’entreprise peut aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Les entreprises ont également l’obligation de tenir un registre des incidents de confidentialité (articles 3.5 à 3.8);
  • Communiquer un renseignement personnel nécessaire aux fins de la conclusion d’une transaction commerciale, sans le consentement de la personne concernée, et ce, sous réserve de la conclusion d’une entente préalable entre les parties à la transaction visant à protéger ce renseignement personnel (article 18.4);
  • Communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques, et ce, sous réserve de certaines conditions (articles 21 à 21.0.2).

Pour ce qui est des principales dispositions de la LPRPSP qui entreront en vigueur deux (2) ans après la sanction du PL-64, notons :

  • Établir et mettre en œuvre des politiques et des pratiques encadrant la gouvernance de l’entreprise à l’égard des renseignements personnels et propres à assurer la protection de ces renseignements (article 3.2);
  • Évaluer les facteurs relatifs à la vie privée :
    • De tout projet, d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (article 3.3). Possibilité pour le responsable de la protection des renseignements personnels de suggérer des mesures de protection de ces renseignements à toute étape du projet (article 3.4);
    • Avant de communiquer à l’extérieur du Québec un renseignement personnel (article 17).
  • Faire preuve de transparence dans la collecte de renseignements personnels et devoir d’information :
    • Détermination des fins de la collecte avant celle-ci (article 4);
    • Restriction de l’obtention de renseignements personnels à ce qui est nécessaire aux fins déterminées avant la collecte (article 5);
    • Transmission à la personne concernée de certaines informations lors de la collecte et par la suite sur demande, incluant le recours à une technologie comprenant des fonctions permettant d’identifier la personne, de la localiser ou d’effectuer un profilage de celle-ci (articles 8 et 8.1);
    • Information à la personne concernée lorsqu’elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé de ses renseignements personnels, et ce, au plus tard au moment où elle est informée de la décision (article 12.1).
  • Lorsque l’entreprise recueille des renseignements personnels en offrant un produit ou un service technologique disposant de paramètres de confidentialité, s’assurer que par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée. Toutefois, ne sont pas visés, les paramètres de confidentialité d’un témoin de connexion (article 9.1);
  • Obtenir le consentement de la personne concernée à l’utilisation de ses renseignements personnels :
    • Utilisation d’un renseignement personnel au sein de l’entreprise aux fins pour lesquelles il a été recueilli, à moins du consentement de la personne concernée. Le consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible (article 12 al. 1);
    • Interdiction de communiquer à un tiers des renseignements personnels qu’il détient sur autrui, à moins que la personne concernée n’y consente ou que la LPRPSP ne le prévoie. Le consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible (article 13);
    • Le consentement prévu à la présente loi doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs. Lorsque la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information communiquée à la personne concernée. Lorsque celle-ci le requiert, il lui est prêté assistance afin de l’aider à comprendre la portée du consentement demandé (article 14).
  • Communiquer, sans le consentement de la personne concernée, un renseignement personnel à toute personne ou à tout organisme si cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise qu’elle confie à cette personne ou à cet organisme. Dans ce cas, l’entreprise doit respecter certaines modalités prévues par la LPRPSP (article 18.3);
  • Détruire ou anonymiser un renseignement personnel pour l’utiliser à des fins sérieuses et légitimes lorsque les fins pour lesquelles il a été recueilli ou utilisé sont accomplies (article 23);
  • La personne concernée par un renseignement personnel inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la loi, peut exiger que le renseignement en question soit rectifié (article 28);
  • Toujours eu égard à la personne concernée par un renseignement personnel, elle peut exiger de l’entreprise que celle-ci cesse la diffusion de ce renseignement ou que soit désindexé tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique, lorsque la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire (article 28.1 al. 1). La personne peut aussi exiger que l’hyperlien permettant d’accéder à ce renseignement soit réindexé, sous réserve de certaines conditions (article 28.1 al. 2).

Enfin, trois (3) ans après la sanction du PL-64, la disposition suivante de la LPRPSP entrera en vigueur :

  • À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou inféré à partir d’un renseignement personnel le concernant, lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé. Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement (article 27 al. 3).

Au vu de ce qui précède et bien que l’entrée en vigueur des dispositions de la LPRPSP se fasse progressivement, il n’en demeure pas moins que la tâche sera colossale pour les avocats qui doivent aider leurs clients ou leur employeur à se conformer à ces dispositions. Il n’est donc pas futile de se pencher immédiatement sur leur mise en œuvre.

Ceci termine la première partie de cet article portant sur l’entrée en vigueur des principales exigences décrites dans la LPRPSP. Notre second article, qui sera également publié dans Maîtres@droits!, se penchera sur les amendements apportés au PL-64 en ce qui concerne la LPRPSP.

 

[1] Projet de loi nº 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 42e lég. (Qc), 1re sess., 2020.

[2] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1.