Sauter la navigation

Québec propose de moderniser son régime de protection des renseignements personnels

Québec propose de moderniser son régime de protection des renseignements personnels
17 juin 2020

Le 12 juin 2020, le gouvernement du Québec a présenté le projet de loi no 64, intitulé Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « projet de loi »), à l’Assemblée nationale du Québec. Le projet de loi propose de moderniser le cadre qui s’applique actuellement à la protection des renseignements personnels en modifiant diverses lois de la province de Québec, dont la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (les « Lois »).

Si le projet de loi est adopté, les organismes du secteur public et les entreprises du secteur privé du Québec seront assujettis à des obligations accrues au chapitre de la protection des données, semblables à maints égards aux obligations imposées par le Règlement général sur la protection des données (le « RGPD ») de l’Union européenne. Parmi les éléments clés du projet de loi, mentionnons les suivants :

  • Augmentation des amendes et nouvelles sanctions administratives pécuniaires : en cas d’infractions aux Lois, les amendes suivantes pourraient être imposées :
    • En ce qui concerne les entreprises du secteur privé, des amendes pouvant aller jusqu’à 25 M$ CA ou, si ce montant est plus élevé, un montant correspondant à 4 % du chiffre d’affaires mondial de l’entreprise pour l’exercice financier précédent;
    •  En ce qui concerne les organismes du secteur public, des amendes pouvant varier entre 15 000 $ CA et 150 000 $ CA.

Outre ces amendes, le projet de loi confère des pouvoirs accrus à la Commission d’accès à l’information du Québec (la « CAI »), qui permettrait à celle-ci d’imposer des sanctions administratives pécuniaires pouvant aller jusqu’à 10 M$ CA aux entreprises du secteur privé non conformes et jusqu’à 50 000 $ CA aux personnes physiques.

  • Obligations d’avis en cas d’incident : de nouvelles obligations d’avis seraient imposées en cas d’incident de confidentialité impliquant un renseignement personnel. Si un incident entraîne la possibilité qu’un préjudice sérieux soit causé à une personne dont les renseignements personnels sont concernés par l’incident, l’entreprise du secteur privé ou l’organisme du secteur public concerné aurait alors l’obligation d’en aviser rapidement la CAI et toute personne concernée.
  • Évaluation obligatoire des facteurs relatifs à la vie privée : des évaluations des facteurs relatifs à la vie privée devraient être effectuées pour tout projet de système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels.
  • Responsable de la protection des renseignements personnels : les entreprises du secteur privé et les organismes du secteur public seraient tenus de désigner une personne chargée de superviser la protection des renseignements personnels qu’ils détiennent.
  • Protection de la vie privée dès la conception : les entreprises du secteur privé devraient s’assurer que les paramètres des produits ou services technologiques qu’elles utilisent pour recueillir des renseignements personnels offrent le plus haut niveau de confidentialité par défaut, sans aucune intervention de la personne concernée. En outre, si la technologie utilisée pour recueillir des renseignements personnels comprend des fonctions permettant l’identification, la localisation ou le profilage d’une personne, ou si les renseignements personnels recueillis sont utilisés pour rendre une décision fondée exclusivement sur un traitement automatisé de ces renseignements, de l’information additionnelle doit être fournie à la personne concernée par la collecte de renseignements personnels.
  • Consentement : le projet de loi prévoit des obligations supplémentaires relatives au consentement, notamment :
    • les demandes de consentement à la collecte de renseignements personnels doivent être faites distinctement de toute autre information communiquée à la personne concernée;
    • un consentement doit être expressément donné pour certaines utilisations ou communications de renseignements personnels sensibles;
    • Le consentement de la personne détenant l’autorité parentale doit être obtenu pour la collecte, l’utilisation et la communication de renseignements personnels concernant un mineur de moins de 14 ans.
  • Communications sans consentement : le projet de loi fournit des précisions sur les conditions permettant certaines communications sans le consentement de la personne concernée. On y ajoute également de nouvelles conditions qui seraient imposées aux entreprises du secteur privé et aux organismes du secteur public relativement à la communication de renseignements personnels de la personne concernée à des fins de recherche.
  • Droit à la portabilité des données : les personnes se verraient accorder le droit d’accéder aux renseignements personnels à leur sujet détenus en format électronique dans un format technologique structuré et couramment utilisé, ou de demander qu’un tel accès soit donné à un tiers. 
  • Droit à la désindexation : les personnes se verraient accorder le droit d’exiger que leurs renseignements personnels cessent d’être diffusés, ou que tout hyperlien rattaché à leur nom qui donne accès à de tels renseignements par un moyen technologique soit désindexé ou réindexé.
  • Anonymisation des renseignements personnels : le projet de loi offre la possibilité d’anonymiser des renseignements personnels, plutôt que de les détruire, une fois que les fins pour lesquelles ceux-ci ont été recueillis ont été accomplies, pourvu que certaines normes soient respectées.
  • Transparence accrue et responsabilité : les entreprises du secteur privé et les organismes du secteur public seraient tenus de publier leurs règles de gouvernance applicables aux renseignements personnels sur leur site Web. Par ailleurs, ceux qui recueillent des renseignements personnels par des moyens technologiques devront également publier une politique de confidentialité.

Le projet de loi doit encore être débattu à l’Assemblée nationale et d’autres amendements pourraient être proposés à son égard. S’il est adopté, le projet de loi entrera en vigueur un an après la date de la sanction royale.

Pour en savoir davantage, communiquez avec :

Imran Ahmad                           416-863-4329
Marie-Hélène Constantin       514-982-4031
Sunny Handa                            514-982-4008

ou un autre membre de notre groupe Protection de la vie privée et des données.