Les employeurs doivent se préparer à la transformation du régime de protection des renseignements personnels

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« Loi ») a été adoptée le 21 septembre 2021. L’entrée en vigueur de ses dispositions s’échelonnera sur deux ans, soit du 22 septembre 2022 au 22 septembre 2024.

Nous avons présenté dans un Bulletin Blakes publié en septembre 2021 plusieurs des nouvelles obligations imposées aux entreprises du secteur privé, y compris celles qui reprennent certaines des règles mises en vigueur par le Règlement général sur la protection des données de l’Union européenne. Nous avons également abordé dans un autre Bulletin Blakes publié en août 2022, les nouvelles exigences qui entrent en vigueur le 22 septembre 2022. Ce bulletin traite de façon plus particulière des principaux changements visant les obligations des employeurs et les droits des salariés.

NOUVELLES OBLIGATIONS POUR LES EMPLOYEURS

À partir du 22 septembre 2022, les employeurs devront avoir nommé un responsable de la protection des renseignements personnels. Cette responsabilité, qui, selon la Loi, repose sur la personne ayant la plus haute autorité au sein de l’entreprise, peut être déléguée de façon partielle ou totale à une ou plusieurs personnes, dont une tierce partie. Le choix du délégataire devrait être effectué en fonction du type de données que l’entreprise détient. En ce qui a trait aux données concernant les employés, le choix d’un haut dirigeant au sein des ressources humaines peut être indiqué.

Les entreprises devront également signaler tout incident relatif à la confidentialité ou à l’atteinte à la vie privée à la Commission d’accès à l’information du Québec (« CAI »). Un projet de règlement a été publié par le gouvernement le 29 juin 2022, lequel contient des précisions concernant la façon dont les entreprises devront gérer les incidents relatifs à la confidentialité. Bien que ce règlement n’ait pas été adopté, il fournit certaines informations utiles concernant ce type de situations.

RECOURS DES EMPLOYÉS

À partir du 22 septembre 2022, un employé pourra porter plainte à la CAI, notamment de façon anonyme, sur toute matière relative à la protection des renseignements personnels ou sur les pratiques de son employeur quant à l’utilisation de ses données personnelles. Il sera également interdit à l’employeur, à compter de cette date, d’imposer des mesures de représailles à l’endroit d’un employé ayant porté plainte à la CAI de bonne foi. La Loi prévoit que les actions suivantes sont présumées être des mesures de représailles : une rétrogradation, une suspension, un congédiement, un déplacement, une autre mesure disciplinaire et une mesure portant atteinte à l’emploi ou aux conditions de travail d’une personne.

LA GOUVERNANCE D'ENTREPRISE ET LA GESTIONS DES EMPLOYÉS

À partir du 22 septembre 2023, les entreprises devront avoir établi et mis en œuvre des politiques et pratiques encadrant la gouvernance afin d’assurer la protection des renseignements personnels. Plusieurs éléments concernant la gestion des données personnelles devront être prévus dans ces politiques et pratiques, qui devront être publiquement accessibles. Les entreprises devront notamment établir une politique de confidentialité, qui devra traiter, entre autres, des outils utilisés par l’entreprise pour encadrer la prestation de travail de ses employés.

NOUVELLES OBLIGATIONS RELATIVES AUX OUTILS D'ENCADREMENT DES EMPLOYÉS

Les employeurs devront analyser leurs outils de gestion de la performance des employés, y compris ceux en télétravail, dont les différents systèmes de surveillance d’ordinateurs, de courriels, de communications, de surveillance vidéo ou de gestion des déplacements des employés qui pourraient recueillir ou utiliser des renseignements personnels. Bien que les employeurs conservent, en vertu de leur droit de gérance, le droit de contrôler la prestation de travail des salariés, la Loi imposera, à partir du 22 septembre 2023, certaines limitations supplémentaires. Ces obligations s’ajoutent à celles prévues au Code civil du Québec, à la Charte des droits et libertés de la personne et, dans les cas applicables, à la Charte canadienne des droits et libertés, qui contiennent aussi certaines dispositions relatives aux conditions de travail des employés.

Par exemple, certains logiciels de surveillance des employés qui seraient installés à l’insu de ceux-ci pourraient contrevenir aux dispositions de la Loi. Le consentement de l’employé à une collecte de renseignements personnels est nécessaire, mais la Loi impose aussi une obligation d’informer l’employé des raisons de la surveillance et de la collecte des données, qui devront être sérieuses et légitimes; des moyens par lesquels les renseignements seront obtenus; des droits d’accès et de rectifications prévus par la loi; et du droit que possède l’employé de retirer son consentement à la communication ou à l’utilisation de ces renseignements.

Si la technologie utilisée permet d’identifier, de localiser ou d’effectuer un profilage de l’employé, il faudra l’informer de l’utilisation de cette technologie spécifique et lui indiquer comment activer ces fonctions. L’employeur ne pourra pas unilatéralement activer ces fonctions; la Loi conférera ce droit exclusivement à l’employé, à partir du 23 septembre 2023. Le profilage inclut la collecte ou l’utilisation de renseignements personnels afin d’évaluer, entre autres, le rendement au travail d’un employé. L’employé pourra également demander à être informé des renseignements personnels recueillis, de la durée de la conservation de ceux-ci et de l’identité des personnes y ayant accès.

Malgré l’entrée en vigueur de ces dispositions de la Loi, il restera toutefois possible pour un préposé ou un représentant de l’employeur d’accéder aux renseignements personnels d’un employé sans le consentement de ce dernier, si cet accès est nécessaire dans l’exercice de ses fonctions.

Finalement, la Loi ajoute des précisions quant à l’obtention d’un consentement. Celui-ci doit être manifeste, libre, éclairé et donné à des fins spécifiques. La demande de consentement devra être soumise à l’employé de façon distincte des autres documents d’emploi, et l’employeur devra apporter une assistance à l'employé pour l’aider à comprendre la portée du consentement si ce dernier le requiert. Vu cette obligation d’obtenir un consentement de façon distincte, il ne sera plus possible d’inclure une formule de consentement à la collecte des renseignements personnels dans les contrats d’emploi des employés. Il faudra désormais utiliser un formulaire de consentement séparé.

L’UTILISATION DE L'INTELLIGENCE ARTIFICIELLE EN LIEN AVEC LES EMBAUCHES OU LES PROMOTIONS 

À partir du 22 septembre 2023, les employeurs qui utilisent un logiciel, l’intelligence artificielle ou une autre méthode impliquant un traitement automatisé de données personnelles afin de prendre une décision fondée exclusivement sur les résultats de cette analyse devront informer les employés ou candidats concernés i) du type de renseignements personnels qui sera ou a été utilisé pour prendre la décision; ii) des principaux facteurs et paramètres ayant justifié la décision; et iii) de leur droit de faire rectifier les renseignements personnels utilisés pour rendre la décision, s’ils sont erronés. Il devra également être permis à l’employé d’avoir l’occasion de présenter ses observations à un membre du personnel de l’entreprise qui a l’autorité pour réviser la décision. À partir de cette date, il sera donc encore possible d’utiliser des logiciels afin de prendre des décisions par un « traitement automatisé » des données personnelles, mais il sera nécessaire de faire preuve de transparence et d’aviser le salarié ou le candidat concerné de l’utilisation de cette méthode.

SANCTIONS

À compter du 22 septembre 2023, toute organisation du secteur privé qui ne respectera pas la Loi s’exposera à des amendes pouvant atteindre 25 M$ CA ou, si elle est plus élevée, une somme correspondant à 4 % de son chiffre d’affaires mondial pour l’exercice précédent. Outre ces amendes, la CAI pourra imposer aux entreprises du secteur privé qui ne respecteront pas la Loi des sanctions administratives pécuniaires pouvant atteindre 10 M$ CA ou, si elle est plus élevée, une somme correspondant à 2 % du chiffre d’affaires mondial de l’entreprise pour l’exercice financier précédent. Les entreprises qui omettront de se conformer à la Loi et qui seront visées par une telle sanction pourront s’engager envers la CAI à prendre les mesures nécessaires pour remédier au manquement ou en atténuer les conséquences. La CAI aura le pouvoir discrétionnaire d’établir des conditions ou d’obliger l’entreprise à verser une somme d’argent. Si l’entreprise s’engage à respecter les conditions et s’y conforme, elle n’aura aucune sanction administrative pécuniaire à payer à l’égard des actes ou omissions qui lui sont reprochés. On prévoit que la CAI élaborera et publiera un cadre relatif aux sanctions administratives pécuniaires avant l’entrée en vigueur du régime le 22 septembre 2023.
 
Pour en savoir davantage, communiquez avec :

Natalie Bussière                  514-982-4080
Catherine Gagné                 514-982-4085
Viviane Lavergne                514-982-4082

ou un autre membre de notre groupe Travail et emploi.