Nouvelles obligations en matière de protection des renseignements personnels au Québec : votre organisation est-elle prête?

Le 22 septembre 2023, la deuxième série de modifications apportée par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels du Québec (présentée sous la forme du projet de loi n^o 64 et appelée la « Loi 25 », une fois sanctionnée), visant la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRPSP »), entrera en vigueur. Ces modifications représentent des changements importants qui nécessitent une attention particulière, car la non-conformité aux nouvelles obligations peut maintenant entraîner d’importantes sanctions pécuniaires.

Dans des bulletins précédents, nous avons examiné la façon dont la Loi 25 modifie la législation sur la protection des renseignements personnels du Québec, en étudiant notamment la première série de modifications qui a été introduite et qui est entrée en vigueur le 22 septembre 2022.

Pour en savoir davantage, consultez nos Bulletins Blakes intitulés Québec propose de moderniser son régime de protection des renseignements personnels et Protection des renseignements personnels au Québec : votre entreprise est-elle prête pour les nouvelles règles en vigueur en septembre?.

Survol des modifications entrées en vigueur en 2022

Afin de se conformer aux modifications apportées par la Loi 25, les organisations exerçant des activités au Québec doivent avoir déjà adopté les pratiques suivantes :

• nommer un responsable de la protection des renseignements personnels (le « responsable ») (c’est-à-dire, un(e) directeur(trice) de la protection des renseignements personnels), si elles ne souhaitent pas que la personne ayant la plus haute autorité (p. ex. le chef de la direction) assume ce rôle par défaut;

• signaler tout incident de confidentialité, présentant un risque de préjudice sérieux, à la Commission d’accès à l’information du Québec (la « Commission ») et aux particuliers touchés;

• créer et tenir un registre dans lequel elles colligent tout incident de confidentialité pour une période de 5 ans;

• conclure une entente de protection des données avec l’autre partie à toute transaction commerciale lorsque des renseignements personnels seront communiqués dans le cadre de cette dernière;

• aviser rapidement la Commission de la collecte et de l’utilisation de caractéristiques biométriques aux fins de vérification de l’identité.

Modifications entrant en vigueur en 2023

La deuxième série de modifications apportées par la Loi 25 entrera en vigueur le 22 septembre 2023. Ces modifications imposent de nouvelles obligations de conformité, créent de nouveaux droits individuels et mettent fortement l’accent sur l’obtention d’un consentement pour la collecte, l’utilisation et la communication de renseignements personnels. Pour se conformer aux nouvelles modifications, les organisations qui exercent des activités au Québec devront adopter une approche davantage proactive à l’égard de leurs programmes de gestion de la protection de la vie privée. Vous trouverez ci-après un résumé des changements les plus importants dont les organisations devraient être informées.

Nouveau régime de consentement

De façon générale, pour se conformer aux modifications apportées par la Loi 25, un consentement devra être obtenu pour recueillir, utiliser ou communiquer des renseignements personnels. La Commission veille actuellement à établir les lignes directrices qui régiront l’obtention d’un consentement valide conformément à la LPRPSP. Le projet de lignes directrices de la Commission prévoit que, pour être valide, le consentement doit être :

1. Manifeste. Le consentement donné doit être évident, c’est-à-dire qu’il témoigne clairement de l’intention de la personne qui le donne. En règle générale, un consentement valide est un consentement exprès, surtout lorsqu’il s’agit de renseignements personnels sensibles.

2. Libre. Il ne peut y avoir aucune contrainte dans l’obtention du consentement. Le consentement doit être libre, c’est-à-dire qu’une personne qui a donné son consentement doit avoir un véritable choix de le donner ou non.

3. Éclairé. Le consentement doit être précis et fondé sur une compréhension suffisante de la demande. La personne qui donne son consentement doit savoir à quoi elle consent.

4. Spécifique. Le consentement doit être donné à des fins spécifiques.

5. Granulaire. Le consentement doit être demandé à chacune des fins pour lesquelles il a été demandé. L’organisation qui souhaite utiliser des renseignements à une nouvelle fin doit obtenir un nouveau consentement de la personne à qui ils appartiennent.

6. Compréhensible. La demande de consentement d’une organisation doit être présentée en des termes simples et clairs. Le vocabulaire utilisé doit être courant et accessible.

7. Temporaire. Le consentement est temporaire et est valable pour une durée déterminée. Dans une demande de consentement, l’organisation doit indiquer clairement à la personne visée par la demande la durée de validité de son consentement.

8. Distinct. Les demandes de consentement doivent être présentées distinctement de toute autre information.

Pour se conformer à la LPRPSP, des dossiers démontrant la validité de tout consentement demandé devraient être tenus. La Commission ne décrit toutefois pas de façon précise la manière dont le consentement doit être documenté. En revanche, elle établit diverses exigences que l’organisation doit respecter, peu importe la méthode choisie pour documenter le consentement.

De plus, bien que la LPRPSP prévoie des exceptions à l’obligation d’obtenir le consentement dans certains cas, ces exceptions ne devraient être utilisées que si l’organisation est en mesure de clairement démontrer que l’exception s’applique. Si elle invoque une exception, l’organisation devrait expliquer, dans une politique de protection des renseignements personnels ou une autre déclaration, les mesures qu’elle prendra à l’égard des renseignements personnels appartenant à la personne, sans l’obtention obligatoire du consentement de celle-ci.

Politiques et pratiques en matière de gouvernance

Les organisations devraient élaborer des politiques et des pratiques internes en matière de gouvernance relativement à la protection des renseignements personnels (ou les passer en revue, si de telles politiques et pratiques sont déjà en place) afin de s’assurer qu’elles sont conformes aux exigences juridiques et qu’elles sont approuvées par le responsable.

Ces politiques et pratiques devraient fournir un cadre pour :

1. la conservation ou la destruction de renseignements personnels;

2. les rôles et les responsabilités du personnel tout au long du cycle de vie de l’information;

3. le processus de traitement des plaintes.

D’autres politiques en matière de gouvernance pourraient être nécessaires pour assurer la conformité aux nouvelles exigences prévues par la LPRPSP.

Évaluation des facteurs relatifs à la vie privée

Les organisations doivent procéder à une évaluation des facteurs liés à la protection de la vie privée (une « évaluation des facteurs relatifs à la vie privée » ou « ÉFVP ») pour tout projet visant l’acquisition, le développement ou la refonte de systèmes d’information ou de prestation de services électroniques comportant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. Les organisations doivent consulter le responsable dès le début de tout projet nécessitant une ÉFVP.

Transferts à l’extérieur du Québec

Les organisations doivent également tenir compte de l’endroit où les renseignements personnels sont conservés et communiqués. Avant de communiquer des renseignements personnels à l’extérieur du Québec, l’organisation doit procéder à une évaluation des facteurs relatifs à la vie privée afin d’examiner notamment la sensibilité des renseignements qui seront partagés et les fins auxquelles ils seront utilisés.

La communication des renseignements doit faire l’objet d’une entente écrite qui tient compte notamment des résultats de l’évaluation et, le cas échéant, des modalités convenues pour atténuer les risques cernés dans le cadre de l’évaluation. De plus, les personnes doivent savoir que leurs renseignements personnels seront communiqués à l’extérieur du Québec.

Marketing

Si une organisation utilise des renseignements personnels à des fins de marketing, elle doit s’identifier et informer la personne de son droit de retirer son consentement à l’utilisation de ses renseignements personnels à ces fins. Si la personne retire son consentement, l’organisation doit cesser d’utiliser les renseignements personnels de cette personne à des fins de marketing. Notons que les organisations qui exercent des activités au Québec sont également assujetties à la Loi canadienne anti-pourriel, laquelle exige l’obtention d’un consentement pour envoyer des messages électroniques commerciaux.

Déclaration d’utilisation de témoins

Si les organisations recueillent des renseignements personnels au moyen d’une technologie qui permet d’identifier ou de localiser une personne ou encore d’effectuer un profilage de celle-ci, notamment au moyen de témoins non nécessaires, la personne doit être informée du recours à cette technologie et des moyens offerts pour activer ces fonctions. Cela signifie que les organisations qui exercent des activités au Québec devraient mettre en place des outils de consentement aux témoins et s’assurer que les témoins et les technologies de suivi similaires qui comprennent de telles fonctions sont désactivés par défaut.

Une organisation qui recueille des renseignements personnels par des moyens technologiques doit publier une politique de confidentialité sur son site Web, rédigée en termes simples et clairs, et la diffuser de toute façon appropriée pour atteindre les personnes concernées.

Protection de la vie privée dès la conception

Les organisations qui offrent des produits ou des services technologiques doivent veiller à ce que les paramètres de confidentialité de ces produits ou services assurent le plus haut niveau de confidentialité sans aucune intervention de la part de la personne concernée.

Décisions automatisées

Lorsqu’une organisation s’en remet exclusivement à un système de traitement automatisé des renseignements personnels afin que soit rendue une décision ayant une incidence sur la personne concernée, l’organisation doit, au moment de la décision ou avant, en informer cette celle-ci. Si la personne le demande, l’organisation doit également l’informer :

• des renseignements personnels utilisés pour rendre la décision;

• des raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision;

• de son droit de faire rectifier les renseignements personnels utilisés pour rendre la décision.

Sanctions

En plus des pouvoirs d’application conférés par la LPRPSP, la Loi 25 introduit un régime de sanctions administratives pécuniaires (les « sanctions »). La Commission a publié un cadre général afin de jeter un peu de lumière sur la façon dont ces sanctions seront appliquées.

Une personne désignée par la Commission peut infliger une sanction à quiconque ne respecte pas la LPRPSP. Avant d’imposer une sanction, la personne désignée par la Commission doit remettre un avis de non-conformité à la personne ou à l’organisation en défaut ainsi que donner l’occasion à celle-ci de présenter des observations et de produire les documents nécessaires pour compléter son dossier. À la suite d’une décision imposant une sanction, la personne ou l’organisation touchée peut demander le réexamen de la décision.

La sanction maximale d’une société est de 10 M$ CA ou de 2 % du chiffre d’affaires mondial de l’exercice financier précédent, selon le plus élevé de ces montants. Certaines violations plus flagrantes peuvent constituer des infractions à la LPRPSP. Un tribunal peut imposer, pour de telles infractions, des amendes pouvant atteindre 25 M$ CA ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent, selon le plus élevé de ces montants. Ces amendes sont portées au double en cas de récidive. Il convient de noter que les administrateurs et les dirigeants peuvent également être tenus responsables.

Pour en savoir davantage, communiquez avec :

ou un autre membre de notre groupe Protection de la vie privée et des données.