Dans une publication précédente, nous vous avions annoncé l’intention du gouvernement québécois d’entreprendre une importante réforme de Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP).
Or, le gouvernement a finalement déposé le projet de loi visant à mettre en œuvre cette réforme. Nous connaissons donc les détails de cet ambitieux projet de modernisation du régime encadrant la protection des renseignements personnels au Québec.
Le projet de loi vise à moderniser, non seulement la LPRPSP, mais également la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, laquelle encadre le traitement des renseignements personnels dans le secteur public. Le présent bulletin a toutefois pour seul objectif de discuter des modifications proposées à la LPRPSP touchant les entreprises privées québécoises.
Le projet de loi no 64
Le 12 juin 2020, la ministre de la Justice du Québec, Mme Sonia Lebel, a déposé le projet de loi no 64, intitulé Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
Comme il en a été question dans notre publication précédente, ce projet de loi vise essentiellement à moderniser le régime législatif de protection des renseignements personnels applicable au Québec et à l’adapter à l’environnement numérique en s’inspirant des grands principes du Règlement général sur la protection des données (RGPD) applicable en Europe.
Le projet de loi no 64 propose plus de 60 modifications à la LPRPSP. Le présent bulletin n’a pas objectif d’analyser en profondeur chacune de ces modifications, mais de présenter les éléments principaux de la réforme.
Personne responsable au sein de l’entreprise
Le projet de loi no 64 prévoit que la personne ayant la plus haute autorité au sein de l’entreprise exerce la fonction de responsable de la protection des renseignements personnels. Cette personne peut toutefois déléguer cette fonction à un membre du personnel. Le titre et les coordonnées du responsable de la protection des renseignements personnels doivent être publiés sur le site Internet de l’entreprise.
Politiques relatives à la protection des renseignements personnels
Le projet de loi no 64 prévoit que toute entreprise visée par la LPRPSP doit établir et mettre en œuvre des politiques et des pratiques encadrant sa gouvernance à l’égard des renseignements personnels, y compris une politique de confidentialité encadrant la collecte et l’utilisation de tout renseignement personnel recueilli par l’entremise d’un moyen technologique. Ces politiques doivent notamment prévoir l’encadrement applicable à la conservation et à la destruction des renseignements, de même qu’un processus de traitement des plaintes, et être publiées sur le site Internet de l’entreprise.
Principe de protection des renseignements personnels dès la conception
Le projet de loi no 64 intègre en droit québécois le principe de protection des renseignements personnels dès la conception (privacy by design). Les entreprises visées par la LPRPSP doivent ainsi procéder à une évaluation des facteurs relatifs à la vie privée de tout projet de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
Obligation d’aviser la Commission lors d’un incident de confidentialité
Le projet de loi no 64 impose aux entreprises l’obligation d’aviser la Commission d’accès à l’information et les personnes concernées à propos de tout incident de confidentialité (par ex. perte ou accès non autorisé aux renseignements personnels) dans la mesure où il existe un risque qu’un préjudice sérieux soit causé. Ce nouveau régime est similaire à celui déjà en vigueur au niveau fédéral et en Alberta.
Collecte de renseignements personnels
Les entreprises visées par la LPRPSP doivent, avant de recueillir des renseignements personnels, déterminer les fins de cette collecte. Les entreprises ne peuvent recueillir que les renseignements nécessaires aux fins déterminées avant la collecte. Le projet de loi prévoit également que les entreprises doivent, lors de la collecte, informer la personne concernée i) des fins auxquelles ces renseignements sont recueillis, ii) des moyens par lesquels les renseignements sont recueillis, iii) des droits d’accès et de rectification prévus par la loi, iv) de son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis, v) du nom du tiers pour qui la collecte est effectuée, le cas échéant, et vi) de la possibilité que les renseignements soient communiqués à l’extérieur du Québec.
Outils de localisation et de profilage
Lorsqu’une entreprise recueille des renseignements personnels auprès d’une personne en ayant recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage de celle-ci, elle doit, au préalable, l’informer i) du recours à une telle technologie, et ii) des moyens offerts, le cas échéant, pour désactiver les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage.
Paramètres de confidentialité par défaut
Les entreprises qui recueillent des renseignements personnels en offrant un produit ou un service technologique doivent s’assurer que les paramètres de ce produit ou de ce service assurent, par défaut, le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.
Décision fondée sur le traitement automatisé des renseignements personnels
Lorsqu’une entreprise utilise des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci, elle doit, au moment de la décision ou avant, en informer la personne concernée. L’entreprise doit aussi, à la demande de la personne concernée, l’informer i) des renseignements personnels utilisés pour rendre la décision, ii) des raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision, et iii) de son droit de faire rectifier les renseignements personnels utilisés pour rendre la décision. La personne concernée doit également se voir accorder l’occasion de présenter ses observations à un membre du personnel de l’entreprise en mesure de réviser la décision.
Consentement spécifique à chaque fin
Le projet de loi no 64 prévoit qu’un consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques. Ce consentement doit être demandé à chacune de ces fins, en termes simples et clairs, distinctement de toute autre information communiquée à la personne concernée. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.
Communication de renseignements personnels à l’extérieur du Québec
Avant de communiquer un renseignement personnel à l’extérieur du Québec, l’entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée, ainsi que du régime juridique applicable dans l’État où ce renseignement serait communiqué. La communication ne peut s’effectuer que si l’évaluation démontre que le renseignement bénéficierait d’une protection équivalente à celle prévue par la LPRPSP. La communication à l’extérieur du Québec doit faire l’objet d’une entente écrite prévoyant, entre autres, les modalités visant à atténuer les risques identifiés lors de l’évaluation. Le ministre doit enfin publier une liste des États dont le régime juridique encadrant les renseignements personnels équivaut aux principes de protection des renseignements personnels applicables au Québec.
Exécution d’un contrat de mandat ou de service
Les entreprises peuvent, sans obtenir le consentement de la personne concernée, communiquer un renseignement personnel à un mandataire ou à un prestataire de services si cette communication est nécessaire à l’exercice du mandat ou à l’exécution du contrat de service. Le contrat doit toutefois être par écrit et prévoir les mesures que le mandataire ou le prestataire de service doit prendre afin d’assurer la protection du caractère confidentiel du renseignement personnel communiqué.
Conclusion d’une transaction commerciale
Le projet de loi no 64 prévoit que les entreprises peuvent, sans obtenir le consentement des personnes concernées, communiquer des renseignements personnels afin de conclure une transaction impliquant un transfert de propriété. Cette communication doit toutefois être encadrée par une entente en vertu de laquelle l’autre partie à la transaction s’engage à protéger les renseignements personnels et à les utiliser à la seule fin de compléter la transaction.
Destruction ou anonymisation des renseignements personnels
Le Projet de loi no 64 prévoit que, lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise doit le détruire ou l’anonymiser selon les meilleures pratiques généralement reconnues en cette matière, sous réserve d’un délai de conservation prévu par une loi.
Droit d’accès et droit à la rectification
Les entreprises doivent permettre aux personnes concernées d’obtenir confirmation qu’elles détiennent des renseignements personnels et d’en obtenir copie. Les personnes concernées peuvent également, si les renseignements personnels les concernant sont inexacts, incomplets ou équivoques, ou si la collecte, la communication ou la conservation de ces renseignements ne sont pas autorisées par la loi, exiger qu’ils soient rectifiés.
Droit à l’oubli
La personne concernée par un renseignement personnel peut exiger d’une entreprise qu’elle cesse la diffusion de ce renseignement ou que soit désindexé ou réindexé tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique, lorsque i) la diffusion de ce renseignement lui cause un préjudice grave relatif au droit au respect de sa réputation ou de sa vie privée, ii) ce préjudice est manifestement supérieur à l’intérêt du public de connaître ce renseignement ou à l’intérêt de toute personne de s’exprimer librement, et iii) la cessation de la diffusion, la réindexation ou la désindexation demandée n’excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice.
Amende pouvant aller jusqu’à 10 000 000 $
Le projet de loi no 64 prévoit de nombreuses dispositions visant à assurer le respect de la LPRPSP. La disposition la plus importante à cet égard porte sur l’augmentation des pénalités susceptibles de s’appliquer en cas de non-respect de la loi. Le montant maximal de la sanction administrative pécuniaire pour les personnes morales passe en effet à 10 000 000 $ ou encore à 2 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé.
Conclusion
Le projet de loi no 64 impose de nouvelles obligations aux entreprises québécoises qui recueillent et possèdent des renseignements personnels. Ce projet de loi accorde également de nouveaux droits aux individus qui acceptent de communiquer ces renseignements. Les modifications envisagées par le projet de loi no 64 augmenteront donc les risques liés au traitement des renseignements personnels de manière importante pour les entreprises québécoises. Afin de se conformer aux nouvelles dispositions de la LPRPSP, celles-ci devront modifier leurs pratiques en matière de collecte et de gestion des renseignements personnels en profondeur. Cela apparaît d’autant plus vrai que les pénalités applicables seront augmentées de manière significative.