Authors
Ronak Shah
Eve-Lyne Morin
Se-Line Duong
Click here for the English version of this bulletin.
Le 21 septembre dernier, l’Assemblée nationale du Québec adoptait officiellement le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels1. Le projet de loi apporte plusieurs nouvelles obligations en matière de protection des renseignements personnels pour les entreprises exerçant des activités au Québec. Une période transitoire est prévue pour l’entrée en vigueur de ces exigences, lesquelles entreront en vigueur un, deux ou trois ans à compter de la date de la sanction de la loi, soit le 22 septembre 2021. Le présent bulletin résume les principales obligations introduites par le projet de loi no 64 et ce dont les entreprises doivent tenir compte à cet égard.
Le projet de loi no 64 vient clarifier l’application de la Loi sur la protection des renseignements personnels dans le secteur privé aux entreprises exerçant des activités au Québec et qui collectent des renseignements personnels et ce, peu importe que la conservation des renseignements soit assurée par l’entreprise elle-même ou par un tiers. La notion de « renseignement personnel » a été précisée pour couvrir « tout renseignement qui concerne une personne physique et [qui] permet directement ou indirectement de l’identifier ».
Ce tableau présente une vue d’ensemble des changements applicables aux entreprises exerçant des activités au Québec prévus par le projet de loi no 64.
22 septembre 2022 |
||
Désigner un responsable de la protection des renseignements personnels |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Il sera désormais possible pour les entreprises de déléguer la fonction de « responsable de la protection des renseignements personnels » à toute personne, que celle-ci travaille au sein de l’entreprise ou non. |
Cette fonction pourra être déléguée à toute personne, sans être limitée à un membre du personnel. Selon les commentaires formulés lors de l’étude détaillée du projet de loi, cette approche permettrait par exemple à un regroupement d’entreprises de désigner un seul responsable ou de retenir les services d’une personne spécialisée en protection des renseignements personnels. |
Les entreprises devront :
|
Intervention en cas d’atteinte et signalement des atteintes |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Les entreprises seront tenues de : (i) aviser la CAI et les personnes touchées de toute atteinte (appelée « incident de confidentialité »2) présentant un « risque sérieux de préjudice »; (ii) mettre en œuvre tous les moyens nécessaires afin d’éviter qu’un préjudice découlant de l’atteinte ne soit causé; et (iii) tenir un registre des atteintes et en transmettre une copie à la demande de la CAI. |
N/A |
Les entreprises devront :
|
22 septembre 2023 |
||
Consentement et transparence |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Le consentement devra dorénavant être obtenu pour chacune des fins identifiées par l’entreprise, en termes simples et clairs et distinctement de toute autre information qui pourrait avoir été communiquée à la personne. Au moment de recueillir les renseignements personnels et par la suite, sur demande, les entreprises devront informer les personnes : (i) des fins auxquelles les renseignements sont recueillis; (ii) des moyens par lesquels les renseignements sont recueillis; (iii) de leurs droits d’accès et de rectification; et (iv) de leur droit de retirer leur consentement. Les entreprises devront également informer les personnes de la possibilité que leurs renseignements soient communiqués à l’extérieur du Québec, s’il y a lieu. |
Les entreprises devront également informer les personnes des noms des tiers ou des catégories de tiers à qui les renseignements personnels doivent être communiqués pour l’accomplissement des fins de la collecte. |
Les entreprises devraient revoir leurs avis sur la protection des renseignements personnels et leurs processus d’obtention du consentement pour faire les mises à jour nécessaires, en tenant compte des exceptions applicables à l’obtention du consentement. |
Collecte auprès de tiers |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Les entreprises qui recueillent des renseignements personnels auprès de tiers devront, à la demande de la personne concernée, informer celle-ci de la source de ces renseignements. Pensons ici aux entreprises qui acquièrent des listes ou des ensembles de données. |
S.O. |
Les entreprises devraient s’assurer d’avoir mis en place des processus pour repérer et consigner les renseignements personnels recueillis auprès de tiers et les sources de ces renseignements. L’une des façons de le faire consiste à tenir un solide inventaire de données qui permet de retracer comment et pourquoi les renseignements personnels ont été recueillis, utilisés et partagés, y compris vers et en provenance de tiers. |
Protection des données dès la conception |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Les entreprises qui recueillent des renseignements personnels au moyen d’un produit ou service technologique muni de paramètres de confidentialité doivent s’assurer que ces paramètres sont configurés par défaut à la confidentialité maximale (la plus haute protection). Il est à noter que les témoins de connexion sont explicitement exclus de cette obligation. |
Cette obligation a été introduite en commission. |
Les entreprises devraient examiner les moyens technologiques qu’elles utilisent pour la collecte des renseignements personnels (tels que les applications) pour s’assurer que leurs paramètres soient configurés par défaut de façon à recueillir le moins de renseignements personnels possible. |
Technologies permettant l’identification, la localisation et le profilage |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Les entreprises ayant recours à des technologies comprenant des fonctions d’identification, de localisation ou de profilage devront en informer les personnes touchées au moment de la collecte de renseignements. Le profilage est défini de manière très large et comprend toute utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique aux fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne. |
Un amendement adopté en commission parlementaire oblige par ailleurs les entreprises qui utilisent de telles technologies à informer les personnes des moyens disponibles pour activer la technologie. |
Les entreprises devraient examiner et consigner la capacité des technologies actuelles à profiler les personnes (notamment par l’utilisation de témoins de connexion), et s’assurer qu’elles ont mis en place des processus pour offrir aux personnes la possibilité d’activer ces fonctions ou de les accepter, le cas échéant. De plus, les entreprises devraient mettre à jour leurs politiques de confidentialité pour informer les personnes de l’utilisation de technologies comprenant des fonctions d’identification, de localisation ou de profilage, le cas échéant. |
Exceptions à l’obtention du consentement pour les utilisations secondaires |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
En matière d’utilisation des renseignements personnels, le principe actuellement applicable demeure : le consentement est exigé pour utiliser les renseignements personnels pour toute autre fin que celles pour lesquelles ils ont été recueillis. Plusieurs exceptions ont toutefois été ajoutées. Trois exceptions étaient initialement prévues dans le projet de loi : (i) l’utilisation des renseignements sert à des fins compatibles avec celles pour lesquelles les renseignements ont initialement été recueillis, c’est-à-dire qu’il y a un lien pertinent et direct entre les nouvelles fins d’utilisation des renseignements et celles pour lesquelles les renseignements ont été recueillis; (ii) l’utilisation des renseignements est manifestement au bénéfice de la personne concernée; (iii) l’utilisation des renseignements est nécessaire à des fins d’étude, de recherche ou de production de statistiques et que les renseignements sont dépersonnalisés. |
Les deux exceptions suivantes ont été ajoutées : (i) l’utilisation des renseignements est nécessaire à la fourniture ou la livraison d’un produit ou la prestation d’un service demandé par la personne concernée; (ii) l’utilisation des renseignements est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité de l’entreprise. |
Les entreprises devraient :
|
Exception relative aux transactions commerciales |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Le consentement n’est pas requis pour communiquer des renseignements personnels aux fins de la conclusion d’une transaction commerciale, mais uniquement si une entente préalable a été conclue avec l’autre partie et que celle-ci s’est engagée par écrit à : (i) limiter l’utilisation des renseignements aux seules fins de la conclusion de la transaction commerciale; (ii) ne pas communiquer les renseignements à une tierce partie; (iii) protéger le caractère confidentiel des renseignements; et (iv) détruire les renseignements si la transaction n’est pas conclue ou si l’utilisation de ceux-ci n’est plus nécessaire. |
Les amendements ont élargi la définition de « transaction commerciale » pour y inclure un éventail de transactions, dont l’aliénation ou la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, la restructuration ou la fusion d’une entreprise et les ententes de prêt et de financement (y compris l’obtention d’une sûreté). |
Les entreprises devraient revoir leurs procédures relatives aux fusions et acquisitions et les procédures connexes pour s’assurer que les accords de confidentialité soient signés avant la conclusion d’une transaction et qu’ils respectent ces obligations. Les entreprises qui se conforment déjà aux obligations correspondantes de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») devront prendre des mesures minimales pour assurer la conformité avec ces obligations, compte tenu des similarités des deux régimes à cet égard. |
Évaluations des facteurs relatifs à la vie privée obligatoires |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Des évaluations des facteurs relatifs à la vie privée (« EFRVP ») devront être effectuées relativement à toute initiative (acquisition, développement ou refonte) liée à un projet de système d’information ou de prestation électronique de services impliquant le traitement de renseignements personnels. |
Les amendements précisent que les EFRVP doivent être proportionnées à la sensibilité des renseignements personnels, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support. |
Les entreprises devraient élaborer des politiques et procédures appropriées pour s’assurer que les EFRVP soient menées de la façon requise. Elles devraient également envisager l’élaboration d’un modèle des EFRVP pour s’assurer que l’ensemble des facteurs requis soit pris en compte. |
Communications à l’extérieur du Québec |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Avant de communiquer des renseignements personnels à l’extérieur du Québec, une entreprise devra mener une EFRVP afin de déterminer si les renseignements bénéficieront d’une protection adéquate conformément aux principes de protection des renseignements personnels généralement reconnus. Cette évaluation devra notamment tenir compte de : (i) la sensibilité des renseignements; (ii) la finalité de leur utilisation; (iii) les mesures de protection permettant de préserver la confidentialité du renseignement (y compris les protections contractuelles); et (iv) le régime juridique applicable dans l’État de destination. Le transfert devra par ailleurs faire l’objet d’une entente écrite qui tient compte de l’EFRVP. |
La commission parlementaire s’est éloignée de l’exigence plus stricte de limiter les communications de renseignements personnels à l’extérieur du Québec à des juridictions offrant une « protection équivalente » pour adopter une norme moins onéreuse permettant les communications de données à des juridictions où elles recevraient « une protection adéquate en conformité avec les principes de protection des renseignements personnels généralement reconnus ». |
Avant de communiquer des renseignements personnels à l’extérieur du Québec, les organisations devront :
|
Conservation, destruction et anonymisation |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Les entreprises seront également tenues de détruire ou d’anonymiser les renseignements personnels qu’elles détiennent lorsque les fins pour lesquelles ils ont été recueillis ou utilisés auront été accomplies. |
Les renseignements personnels pourront par ailleurs être anonymisés, mais uniquement pour les utiliser à des fins sérieuses et légitimes. |
Les entreprises devraient
|
Mineurs |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Le consentement du titulaire de l’autorité parentale devra être obtenu pour les personnes âgées de moins de 14 ans. |
Les amendements précisent que le consentement pourra également être obtenu du tuteur du mineur. |
Les entreprises devraient revoir leurs procédures d’obtention du consentement pour les produits et services offerts aux mineurs afin de s’assurer qu’elles soient conformes aux nouvelles exigences en matière d’obtention du consentement. |
Droit à l’oubli |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Une personne pourra demander à une entreprise de désindexer ou de cesser de diffuser un renseignement la concernant si la diffusion de ce renseignement est illégale ou si les conditions suivantes sont réunies : (i) la diffusion de ce renseignement lui cause un préjudice grave relatif au droit au respect de sa réputation ou de sa vie privée ; (ii) ce préjudice est manifestement supérieur à l’intérêt du public de connaître ce renseignement ou à l’intérêt de toute personne de s’exprimer librement (sept critères à prendre en compte dans cette détermination sont indiqués dans le projet de loi); (iii) la réparation demandée n’excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice. |
Les amendements précisent que : (i) l’un des sept critères énumérés sous le deuxième facteur inclut les situations où le renseignement est lié à une personne qui était mineure au moment des faits; et (ii) une réponse doit être fournie à la demande, comprenant, si la demande est autorisée, une confirmation que la réparation demandée sera accordée. |
Les entreprises devraient déterminer si elles diffusent actuellement des renseignements personnels qui risquent de faire l’objet de demandes en vertu de ce nouveau droit à l’oubli. Dans ce cas, elles devraient élaborer des processus et des critères pour évaluer ces demandes et y répondre. |
Politique et programme de protection des renseignements personnels |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Les organisations auront l’obligation d’établir et de mettre en œuvre un programme de protection des renseignements personnels. Le programme devra notamment inclure : (i) les règles applicables à la conservation et à la destruction; (ii) les rôles et les responsabilités de leur personnel dans le cadre du cycle de vie des renseignements personnels; et (iii) le processus de traitement des plaintes relatives à la protection de renseignements personnels. Des informations détaillées relatives à ce programme devront être publiées sur le site Internet de l’entreprise ou rendues accessibles par tout autre moyen approprié. |
Les informations relatives au programme de protection des renseignements personnels devront être publiées dans des termes simples et clairs. |
Ces obligations sont pour la plupart conformes avec les pratiques existantes du secteur. |
Sanctions |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Trois mécanismes sont dorénavant prévus afin d’assurer la conformité des entreprises : (i) un régime de sanctions administratives pécuniaires pouvant aller jusqu’à 50 000 $ dans le cas d’une personne physique ou 10 000 000 $ ou du montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent dans le cas d’une entreprise;3 (ii) de nouvelles infractions pénales variant entre 5 000 $ et 50 000 $ pour une personne physique et entre 15 000 $ et 25 000 000 $ ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent d’une entreprise dans le cas d’une première offense et portées au double en cas de récidive; et (iii) la possibilité pour un tribunal d’octroyer des dommages-intérêts punitifs d’au moins 1 000 $ lorsqu’une atteinte à un droit conféré par la loi ou par les articles 35 à 40 du Code civil du Québec cause un préjudice et que cette atteinte est intentionnelle ou résulte d’une faute lourde. |
La sanction maximale qui pouvait être imposée dans le cas d’une personne physique est passée de 50 000 $ initialement à 100 000 $. Les commentaires formulés en commission parlementaire indiquent que l’amendement relatif à l’octroi de dommages punitifs à faire en sorte que le recours prévu à cet article soit soumis aux règles générales de la responsabilité civile. La loi est toutefois silencieuse quant aux conditions préalables à l’exercice d’un tel recours, le cas échéant. |
Les entreprises devront mettre à jour leur cadre de gestion des risques pour inclure l’impact potentiel de ces nouvelles pénalités et amendes. |
22 septembre 2024 |
||
Portabilité des données |
||
Description |
Changements adopté en commission |
Considérations opérationnelles |
Portabilité des données Sur demande, et à moins que cela ne soulève des difficultés pratiques sérieuses, les entreprises devront fournir à une personne, ou à toute autre entreprise désignée par cette personne, les renseignements personnels informatisés recueillis auprès d’elle dans un format technologique structuré et couramment utilisé. |
La commission a précisé que cette obligation s’appliquerait uniquement aux renseignements personnels informatisés recueillis auprès de la personne et non pas aux renseignements créés ou dérivés à partir des renseignements personnels de la personne. |
Les entreprises devraient s’assurer qu’elles ont les capacités technologiques et organisationnelles nécessaires pour satisfaire aux demandes de portabilité des données. Les entreprises devraient aussi envisager d’étiqueter ou de distinguer de manière distincte les renseignements personnels qui sont assujettis à cette obligation. |