Le 22 septembre dernier, bon nombre de modifications ont été apportées à la Loi sur la protection des renseignements personnels dans le secteur privé1 (ci-après, Loi). Ces modifications étaient plus amplement décrites dans une actualité juridique antérieure.

D’entrée de jeu, soulignons que la Loi et ses modifications s’appliquent aux entreprises privées, notamment aux renseignements que celles-ci collectent à l’égard de leurs employés2.

Voici un aperçu sommaire de certaines modifications entrées en vigueur le 22 septembre 2023.


Adoption et diffusion de politiques en matière de protection des renseignements personnels

Les entreprises doivent adopter et mettre en œuvre des politiques et des pratiques afin d’assurer la protection des renseignements personnels et publier des informations détaillées sur celles-ci sur leur site Internet. L’objectif est de « prévoir l’encadrement applicable à la conservation et à la destruction de ces renseignements, prévoir les rôles et les responsabilités des membres [du] personnel tout au long du cycle de vie de ces renseignements et un processus de traitement des plaintes relatives à la protection de ceux-ci.3 » 

De plus, lorsque des renseignements sont recueillis par un moyen technologique permettant d’identifier, de localiser ou d’effectuer un profilage d’une personne ou d’un employé, l’entreprise devra l’en aviser. Cette obligation est importante en ce qu’elle pourrait trouver application dans le contexte où la collecte par un moyen technologique vise l’évaluation de rendement du personnel. Cette collecte devra être encadrée par une politique de confidentialité « rédigée en termes simples et clairs » et devant être publiée sur le site Internet de l’entreprise et diffusée aux employés4

Par ailleurs, si la technologie utilisée pour recueillir des renseignements personnels utilise des fonctions de profilage, de localisation ou d’identification, les personnes concernées doivent être informées du recours à cette technologie et des moyens offerts « pour activer »5 ces fonctions.

Les entreprises sont donc bien avisées d’adopter et de publier les politiques requises ou de les revoir, si elles sont déjà en vigueur, afin de s’assurer de leur conformité aux nouvelles dispositions de la Loi.

Évaluation des facteurs relatifs à la vie privée

Les entreprises assujetties à la Loi doivent dorénavant procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) dans certains contextes, notamment avant d’implanter tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels6. La Commission d’accès à l’information propose un guide afin d’accompagner les entreprises dans cette évaluation. Ce guide expose également des exemples de projets pour lesquels il pourrait devenir obligatoire d’effectuer une telle évaluation. Parmi ceux-ci, nous notons le développement d’un nouveau système d’information, l’utilisation d’un système d’algorithme ou d’intelligence artificielle, l’installation d’un système de vidéosurveillance et la fusion et l’acquisition d’organisations.

Lorsqu’une telle évaluation s’avérera nécessaire, la personne responsable de la protection des renseignements personnels devra être consultée dès la genèse du projet. Cette évaluation devra être proportionnelle à certains facteurs, dont le degré de sensibilité des renseignements concernés et la fin visée par leur utilisation.

Une EFVP devra aussi être effectuée lorsqu’il sera envisagé de communiquer des renseignements personnels à l’extérieur du Québec7.

Nouvelles exigences préalables à la communication de renseignements personnels hors du Québec

Avant qu’un renseignement personnel ne soit communiqué à l’extérieur du Québec, l’entreprise doit procéder à une EFVP en considérant, entre autres facteurs, la sensibilité du renseignement et les mesures de protection dont le renseignement bénéficierait à l’étranger ainsi que le régime juridique applicable dans l’État où ce renseignement serait communiqué. Le renseignement ne pourra être communiqué à l’extérieur du Québec que si, au terme de cette évaluation, il est possible de conclure qu’il bénéficierait d’une protection adéquate, en considérant les principes de protection des renseignements personnels généralement reconnus. De plus, une entente écrite entre les parties concernées par le transfert hors Québec tenant compte de ces résultats et des modalités afin d’atténuer les risques qui y ont été identifiés sera nécessaire.

Il s’agit d’un élément important à considérer pour toutes les entreprises qui font affaire avec un tiers pour des services d’hébergement infonuagique (cloud), dont les serveurs peuvent être établis à l’extérieur du Québec. 

Collecte d’informations et consentement

Une entreprise qui recueille des renseignements personnels, notamment à l’égard de ses employés ou dans le cadre d’un processus d’embauche, doit désormais, lors de la collecte et sur demande, informer la personne concernée i) des fins auxquelles ces renseignements sont recueillis, ii) des moyens par lesquels les renseignements sont recueillis, iii) de ses droits d’accès et de rectification, iv) de son droit de retirer son consentement à la communication ou à l’utilisation des renseignements et v) de la possibilité, le cas échéant, que les renseignements soient communiqués à l’extérieur du Québec8.

De plus, si l’information est recueillie pour un tiers, son nom devra être divulgué à la personne concernée. Si l’information recueillie doit être partagée à un tiers, son nom ou la catégorie de tiers devra être divulgué. Cette exigence pourrait donc s’appliquer dans le cas d’une vérification d’antécédents judiciaires effectuée par une firme externe.

La Loi établit également de nouvelles exigences en matière de consentement à la collecte de renseignements personnels. D’abord, rappelons que le consentement de la personne concernée par la collecte de renseignements personnels doit être manifeste, libre et éclairé et viser une fin spécifique9. Suivant les modifications apportées à la Loi, le consentement ne sera valable que pour la durée nécessaire à la réalisation de la fin visée par la demande. De plus, si l’entreprise souhaite utiliser un renseignement à une fin autre que celle pour laquelle il a été collecté au départ, elle devra, en principe, obtenir un nouveau consentement, sous réserves d’exceptions prévues à la Loi10.

Autres modifications

La loi prévoit également de nouvelles obligations en matière, notamment, de destruction et d’anonymisation des renseignements personnels dont la finalité est atteinte. Pour plus d’informations concernant ces autres modifications à la Loi entrées en vigueur le 22 septembre 2023, ainsi que pour un rappel des modifications entrées en vigueur en septembre 2022, nous vous invitons à consulter notre publication antérieure.

Conclusion

Cet aperçu des changements à la Loi témoigne de l’intention du législateur de renforcer la protection de l’information recueillie par les entreprises. D’ailleurs, de nouvelles sanctions entrent également en vigueur : les sanctions administratives pécuniaires pourront se chiffrer jusqu’au montant le plus élevé entre 10 000 000 $ et 2 % du chiffre d’affaires mondial du dernier exercice financier. Les sanctions pénales sont encore plus sévères, allant jusqu’à 25 000 000 $ ou un montant correspondant à 4 % du chiffre d’affaires mondial du dernier exercice financier, si celui-ci est plus élevé.

De façon parallèle, les entreprises doivent également se préparer activement à l’entrée en vigueur, le 22 septembre 2024, des obligations découlant du droit à la portabilité des données11. Ce droit permettra à toute personne ayant fait l’objet d’une collecte de renseignements personnels informatisés auprès d’elle d’en demander communication dans un format technologique structuré et couramment utilisé.

Les auteurs souhaitent remercier Cécilia Barrette-Leduc, stagiaire, pour son aide dans la préparation de cette actualité juridique.


Notes

1   RLRQ c P-39.1.

2   Toutefois, les renseignements qui ont trait à l’exercice par une personne d’une fonction au sein d’une entreprise, tel que son nom, son titre, sa fonction, l’adresse de son bureau, son adresse électronique et son numéro de téléphone professionnel ne sont pas visés par toutes les nouvelles exigences de la Loi (article 1 de la Loi).

3  

Article 3.2 de la Loi.

4  

Articles 8.1 et 8.2 de la Loi.

5  

Article 8.1 de la Loi.

6  

Article 3.3 de la Loi.

7  

Article 17 de la Loi.

8  

Article 8 de la Loi.

9  

Article 14 de la Loi.

10  

Article 12 de la Loi.

11  

Article 27 de la Loi.

Personnes-ressources

Associé
Associé, chef canadien, Technologies et cochef canadien, Cybersécurité et confidentialité des données
Associé

Publications récentes

Abonnez-vous et restez à l’affût des nouvelles juridiques, informations et événements les plus récents...