Réforme des lois encadrant la protection des renseignements personnels : le projet de loi n^o 64 est maintenant adopté

Dans des publications récentes (disponibles ici et ici), nous vous avions annoncé le dépôt du projet de loi n^o 64 visant à mettre en œuvre une ambitieuse réforme du cadre législatif en matière de protection des renseignements personnels. Plus d’un an après son dépôt, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels est maintenant en vigueur. 

Effet de l’entrée en vigueur

Bien que le projet de loi ait été sanctionné le 22 septembre dernier, seuls quelques articles de ce projet de loi sont entrés en vigueur à compter de cette date, soit ceux qui sont relatifs aux rapports que la Commission d’accès à l’information (CAI) doit présenter au gouvernement sur l’application des lois encadrant la protection des renseignements personnels. Les autres articles de ce projet de loi entreront en vigueur graduellement. C’est ainsi que les articles relatifs à la désignation d’un responsable de la protection des renseignements personnels et aux obligations de notification à la suite d’un incident de confidentialité entreront en vigueur le 22 septembre 2022. Le 22 septembre 2023 marquera l’entrée en vigueur de la grande majorité des articles, dont ceux prévoyant des sanctions pénales, l’évaluation des facteurs relatifs à la vie privée, le développement de politiques et pratiques encadrant la protection de la vie privée et les changements au consentement. Enfin, la disposition concernant le droit à la portabilité entrera en vigueur le 22 septembre 2024. L’article 165 du projet de loi vient donc offrir un délai de grâce aux entreprises et organismes pour qu’ils puissent arrimer leurs pratiques aux nombreuses exigences mises en œuvre par les 164 autres articles de ce projet de loi, et ce, dans les délais impartis. 

Changements ayant le plus d’incidence sur les entreprises et organismes

Le projet de loi apporte de nombreuses modifications aux lois régissant spécifiquement la protection des renseignements personnels, à savoir la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi publique) et la Loi sur la protection des renseignements personnels dans le secteur privé (Loi privée). Toutefois, d’autres lois, comme la Loi sur la santé et la sécurité du travail ou la Loi sur les services de santé et les services sociaux, ont aussi été modifiées. 

Bien que plusieurs modifications visent à corriger des erreurs d’écriture ou de concordance, d’autres sont plus substantielles. Par ailleurs, plusieurs d’entre elles ont des incidences importantes sur les entreprises et les organismes, qui devront changer des pratiques afin de se conformer aux nouvelles exigences, et ce, dans des délais variables. 

Voici une analyse des principaux changements qui nécessiteront une intervention active de la part des entités assujetties, ainsi que le délai d’entrée en vigueur de ces changements. 

Changements entrant en vigueur le 22 septembre 2022

Nouvelles exigences de notification en cas d’incident de sécurité

L’un des changements principaux apportés par le projet de loi n^o 64 a trait à la procédure à suivre en cas d’incident de confidentialité impliquant des renseignements personnels, à savoir tout accès, toute utilisation ou toute communication non autorisés par la loi d’un renseignement personnel ou toute perte de tel renseignement. 

Dorénavant, les entreprises (de même que les organismes régis par la Loi publique) auront l’obligation de prendre des mesures raisonnables pour diminuer les risques de préjudice et éviter que de tels incidents se produisent de nouveau, lorsqu’elles ont des motifs de croire qu’un tel incident s’est produit. Par ailleurs, si l’incident présente un risque de préjudice sérieux, l’entreprise ou l’organisme devra aviser, avec diligence, la CAI et les personnes dont les renseignements personnels sont concernés par l’incident. 

Alors qu’il n’était auparavant pas obligatoire d’aviser la CAI et les personnes concernées par l’incident de confidentialité (quoique fortement suggéré en regard des meilleures pratiques), le législateur a choisi d’en faire une obligation, à l’image de l’approche préconisée par la loi fédérale (Loi sur la protection des renseignements personnels et des documents électroniques, ou LPRPDE) et la loi albertaine (Personal Information Protection Act). Les entreprises et les organismes devront donc modifier leur plan d’action en cas d’incident de confidentialité et auront dorénavant moins de discrétion quant à la possibilité de déclarer (ou non) la survenance d’un tel incident. 

Les entreprises et les organismes auront également l’obligation de tenir un registre des incidents de confidentialité. Un règlement du gouvernement prévoira la teneur de ce registre; en date de ce jour, il est envisagé que celui-ci inclue minimalement la date et la nature de l’incident ainsi que le nombre de personnes concernées. Puisqu’une copie de ce registre devra être transmise à la CAI sur demande, il sera important que les entreprises et les organismes s’assurent de mettre en place les systèmes appropriés, notamment pour la tenue d’un tel registre, et ce, dès septembre 2022. 

Nomination d’un responsable de la protection des renseignements personnels

Les entreprises et les organismes devront obligatoirement avoir un responsable de la protection des renseignements personnels, qui aura comme responsabilités de veiller au respect et à la mise en œuvre de la Loi privée ou de la Loi publique et de jouer un rôle de premier plan à l’égard de tout ce qui touche aux renseignements personnels détenus par l’entité. Il est prévu que, par défaut, cette fonction sera assumée par la personne ayant la plus haute autorité. Celle-ci pourra toutefois déléguer sa fonction de responsable de la protection des renseignements personnels à toute autre personne, ce qui sera certainement une possibilité intéressante pour de nombreuses entreprises et de nombreux organismes. Le titre et les coordonnées de la personne occupant cette fonction au sein d’une entreprise devront être accessibles au public, sur un site Internet ou par tout autre moyen approprié. Pour leur part, les organismes publics devront aviser la CAI du titre et des coordonnées de leur responsable de la protection des renseignements personnels. 

Le responsable de la protection des renseignements personnels jouera un rôle actif dans la gestion des données et devra maîtriser les politiques et pratiques de l’entreprise ou de l’organisme en la matière. Il devra aussi participer activement au processus d’harmonisation des pratiques de l’entreprise ou de l’organisme avec les nouvelles exigences légales. 

Changements entrant en vigueur le 22 septembre 2023

Obligation de procéder à une évaluation des facteurs relatifs à la vie privée dans certains contextes

Les entreprises et les organismes devront dorénavant procéder à une évaluation des facteurs relatifs à la vie privée dans certains contextes. Cette évaluation sera notamment obligatoire dans le cadre de tout projet visant l’acquisition, le développement ou la refonte de systèmes d’information ou la prestation électronique de services impliquant des renseignements personnels, ou encore lorsque la communication des renseignements personnels à l’extérieur du Québec est envisagée. 

Le responsable de la protection des renseignements personnels de l’entreprise ou de l’organisme devra être consulté afin de procéder à cette évaluation. Celle-ci devra également être proportionnelle à certains éléments, notamment la sensibilité et la quantité des renseignements concernés par le projet de même que la finalité de leur utilisation.

Établissement et mise en œuvre de politiques en matière de confidentialité et de publicité

Les entreprises et les organismes devront aussi mettre en place diverses politiques et pratiques en lien avec les renseignements personnels. Celles-ci devront aborder les paramètres de conservation et de destruction des renseignements personnels détenus par les entreprises ou les organismes, les rôles et responsabilités des employés en lien avec ceux-ci ainsi qu’un mécanisme de traitement de plaintes. En outre, les entreprises et les organismes recueillant des renseignements personnels par un moyen technologique devront obligatoirement avoir une politique de confidentialité. Les renseignements sur ces politiques et pratiques et la politique de confidentialité elle-même devront être rédigés en termes simples et clairs et publiés au bénéfice des personnes dont les renseignements personnels sont recueillis. Cette obligation de divulgation et, surtout, le fait que celle-ci devra être présentée de façon simple et claire risquent de nécessiter une revue des politiques actuellement en vigueur. Par cette mesure, le législateur vient encore renforcer la protection dont disposent les personnes à l’égard de leurs renseignements personnels, en facilitant leur accès à de l’information concernant le traitement réservé à leurs renseignements personnels. 

Réforme de l’obtention du consentement et des renseignements à fournir au moment de la collecte

Les entreprises et les organismes souhaitant recueillir des renseignements personnels auront désormais de nouvelles obligations à respecter. 

D’une part, il sera nécessaire d’informer la personne concernée : i) des fins pour lesquelles les renseignements sont recueillis; ii) des moyens utilisés pour les colliger; iii) des droits d’accès et de rectification accordés à toute personne par la loi et iv) le cas échéant, du nom du tiers pour qui la collecte est faite et du nom ou de la catégorie des tiers à qui il est nécessaire de communiquer les renseignements.

D’autre part, il faudra aviser la personne concernée de la possibilité que ses renseignements soient communiqués à l’extérieur du Québec ainsi que de son droit de retirer son consentement en tout temps. Tous ces renseignements devront être transmis en termes simples et clairs. 

Le consentement lui-même devra, pour sa part, toujours être manifeste, libre et éclairé et viser une ou des fins spécifiques. De plus, la loi prévoit maintenant expressément que les entreprises et les organismes devront obtenir un nouveau consentement afin d’utiliser les renseignements personnels à une fin autre que celle qui avait été initialement prévue. Ils ne pourront donc plus demander à toute personne de consentir à la collecte de ses renseignements sans détailler à quelles fins ses renseignements seront utilisés. 

Finalement, notons que si la demande de consentement est faite par écrit, elle devra l’être de façon distincte de toute autre information communiquée à la personne concernée. Il sera intéressant de voir comment se concrétise cette exigence, mais elle pourrait notamment avoir des répercussions sur les entreprises qui colligent des renseignements au moyen des produits technologiques, puisque le consentement devra être indépendant des conditions d’utilisation du site Web, par exemple. 

Nouveaux paramètres par défaut en matière de protection de la vie privée

L’un des changements qui risquent d’avoir un impact important sur de nombreuses entités du secteur des technologies ou sur celles qui recueillent des renseignements personnels au moyen de produits technologiques est l’entrée en vigueur de nouvelles mesures visant à assurer la protection de la vie privée par défaut. Dorénavant, les produits ou services technologiques qui sont offerts au public par des entreprises et des organismes afin de recueillir des renseignements personnels devront, par défaut, être paramétrés de façon à offrir le plus haut niveau de confidentialité qui soit à l’utilisateur. Il s’agit là d’une autre modification visant à conférer un meilleur contrôle sur leurs renseignements personnels aux personnes visées par la collecte de ce type de renseignements. Il faut noter, toutefois, que cette nouvelle exigence ne s’applique pas aux témoins de connexion (cookies). Par ailleurs, il est important de préciser que ce changement entrera en vigueur le 22 septembre 2022 pour les organismes régis par la Loi publique.

Dans le même ordre d’idées, une autre modification légale vise les fonctions d’identification, de localisation ou de profilage qu’une entreprise ou un organisme peut utiliser dans sa collecte de renseignements personnels. Celles-ci devront désormais être désactivées par défaut. L’entreprise ou l’organisme aura ainsi la responsabilité d’informer la personne concernée de la démarche à suivre pour activer ces fonctions. 

Une revue plus détaillée des outils technologiques utilisés s’avérera donc souhaitable de la part des entreprises et des organismes afin : i) de cerner quels paramètres devront être changés pour se conformer à cette nouvelle exigence; et ii) de procéder à une mise à jour ou à un changement dans le code ou le fonctionnement de ces outils afin de changer les paramètres par défaut de façon à se conformer à la loi. 

Nouvelles exigences préalables à la communication de renseignements personnels hors du Québec

Des changements légaux viennent également baliser la communication de renseignements personnels à l’extérieur du Québec. Comme il a été mentionné précédemment, les entreprises et les organismes désirant communiquer à l’extérieur du Québec les renseignements personnels qu’ils recueillent devront préalablement procéder à une évaluation. Celle-ci devra notamment considérer : i) la sensibilité des renseignements; ii) la finalité de leur utilisation; iii) les mesures de protection, contractuelles ou autres, dont bénéficieraient les renseignements ainsi communiqués; et iv) le régime juridique applicable dans l’État où les renseignements seront communiqués. 

La loi précise maintenant que la communication de renseignements personnels à l’extérieur du Québec pourra se faire si l’évaluation démontre que, en se fondant notamment sur les principes de protection généralement reconnus des renseignements personnels, les renseignements ainsi communiqués bénéficient d’une protection adéquate. Il est intéressant de noter que la version originale du projet de loi no 64 prévoyait l’exigence d’un niveau de protection équivalent à celui qui est offert au Québec et énonçait que le gouvernement publierait une liste d’États offrant une telle équivalence. Ces exigences ont cependant été abandonnées au moment de l’étude détaillée du projet de loi au profit de la structure actuelle misant sur une protection adéquate, qui offrira sans doute plus de souplesse aux entreprises et aux organismes. 

Il transparaît néanmoins de ce qui précède que la volonté du législateur est de s’assurer que les renseignements personnels communiqués à l’étranger demeurent en sécurité et que les entreprises et les organismes ne puissent bénéficier d’un cadre juridique limitant les protections offertes aux personnes concernées par un transfert international de renseignements personnels. À cette fin, le législateur prévoit également qu’une entente écrite devra intervenir entre les parties visées par la communication de renseignements personnels, afin d’indiquer le résultat de l’évaluation et les modalités convenues pour réduire les risques relevés par cette évaluation. 

Exigences en matière de destruction ou d’anonymisation des renseignements personnels dont la finalité est atteinte

Le projet de loi n^o 64 est venu clarifier les options s’offrant aux entreprises et aux organismes lorsque la finalité pour laquelle des renseignements personnels sont recueillis a été atteinte. Ceux-ci auront deux options : procéder à la destruction du renseignement personnel ou anonymiser ce renseignement (afin de l’utiliser à des fins sérieuses et légitimes dans le cas des entreprises, ou à des fins d’intérêt public dans le cas des organismes publics). Les entreprises et les organismes ne pourront donc pas conserver de renseignements personnels indéfiniment, au cas où une nouvelle utilité se manifesterait. Précisons que, selon la loi, un renseignement est considéré comme anonymisé lorsqu’on peut raisonnablement prévoir, en tout temps, qu’il ne peut plus identifier une personne, que ce soit de façon directe ou indirecte, et ce, de manière irréversible. Le gouvernement déterminera par règlement des critères devant être respectés quant à l’anonymisation de renseignements. 

Rappelons que les exigences mentionnées ci-dessus sont conformes aux bonnes pratiques en la matière, aux termes desquelles il est recommandé de ne pas conserver inutilement de renseignements personnels, afin de minimiser sa responsabilité en cas de possible incident de confidentialité. Les entreprises et les organismes devraient donc revoir leurs pratiques d’archivage afin de respecter les exigences légales et de s’assurer de disposer de mécanismes permettant l’anonymisation ou la destruction des renseignements personnels, sous réserve du critère des finalités sérieuses et légitimes. 

Changements entrant en vigueur le 22 septembre 2024

Une seule disposition de la nouvelle Loi privée entrera en vigueur trois ans après son adoption, soit celle ayant trait au droit à la portabilité. Le long délai de conformité à cette nouvelle obligation découle des difficultés liées à son application. Notons que ce droit était déjà prévu dans la Loi publique, mais que sa portée a été élargie.

En effet, à partir du 22 septembre 2024, les personnes dont les renseignements personnels sont détenus par une entreprise ou un organisme bénéficieront de ce droit. Les entreprises et les organismes devront, d’abord, confirmer à toute personne en faisant la demande l’existence des renseignements personnels détenus à son sujet et lui permettre d’en obtenir une copie.

Les entreprises et les organismes devront également communiquer à la personne concernée les renseignements recueillis auprès d’elle (et non pas créés ou inférés par les entreprises et les organismes à partir des renseignements personnels déjà détenus) dans un format technologique structuré et couramment utilisé. 

Les entreprises et les organismes devront donc s’assurer que leurs bases de données permettent de se conformer à cette nouvelle exigence. Cela pourrait notamment les amener à devoir : i) faire une revue des pratiques et formats de conservation, de manière à ce qu’un extrait de la base de données puisse être directement communiqué à la personne en faisant la demande, ou ii) prévoir un mécanisme de conversion permettant d’extraire des renseignements d’une base de données et de les convertir dans un format conforme aux exigences de la loi.  

Autres changements apportés par la loi à considérer 

Plusieurs autres changements au régime de la protection des renseignements personnels sont entrés en vigueur avec l’adoption du projet de loi n^o 64. Même si ceux-ci ne requièrent pas une intervention directe des entreprises et des organismes, ils méritent toutefois d’être considérés, puisqu’ils peuvent avoir une incidence importante sur le traitement des données. 

Nouvelle définition des renseignements personnels

La définition de « renseignements personnels » a été élargie, de manière à viser maintenant tout renseignement pouvant identifier une personne physique, que ce soit de manière directe ou indirecte. Ce changement pourrait avoir une incidence importante sur le traitement accordé à certains types de données, comme les adresses IP et autres métadonnées ne permettant pas directement d’identifier une personne. 

Application de la loi aux renseignements des employés

Contrairement à la LPRPDE, qui ne s’applique généralement pas aux renseignements personnels que détient une entreprise au sujet de ses employés, la Loi privée et la Loi publique ne prévoient pas une telle exception. Ainsi, les renseignements personnels colligés par une entreprise ou un organisme au sujet de ses employés sont assujettis à la Loi privée ou à la Loi publique, selon le cas, à l’exception des renseignements personnels professionnels d’une personne physique, par exemple son adresse courriel ou son numéro de téléphone professionnels, auxquels les sections II et III de la Loi privée et le chapitre III de la Loi publique ne s’appliquent pas. 

Cela signifie qu’en cas d’atteinte aux renseignements personnels que détient une entreprise sur ses employés, par exemple leur numéro d’assurance sociale ou leurs informations bancaires afin de verser un salaire, les nouvelles dispositions de la Loi privée trouveront application. Avec cette décision, le législateur québécois reproduit l’approche du législateur albertain, qui ne prévoit pas non plus d’exception pour les renseignements personnels des employés d’une entreprise. 

Contextes dans lesquels est possible la communication de renseignements sans consentement 

Tout en renforçant les paramètres de l’obtention du consentement à la collecte de renseignements personnels, la Loi privée et la Loi publique précisent également dans quels contextes une entreprise pourra communiquer ou utiliser des renseignements personnels sans obtenir le consentement de la personne concernée, notamment lorsque cette utilisation :

• est compatible avec la finalité de la collecte; 
• est manifestement au bénéfice de la personne concernée; 
• est nécessaire pour fournir un produit ou un service demandé par la personne concernée (seulement dans le cas de la Loi privée); 
• est requise à des fins d’études, sous réserve de la dépersonnalisation des renseignements.

Il sera également possible de communiquer un renseignement personnel sans obtenir le consentement de la personne concernée lorsque cette communication est nécessaire à l’exécution d’un contrat de service ou d’entreprise. Ce scénario était déjà prévu dans la Loi publique, mais s’applique désormais de façon identique aux entreprises régies par la Loi privée. On peut par exemple penser à des contrats de services informatiques nécessitant l’accès à des bases de données de renseignements personnels. Dans ce cas, l’entreprise détenant les renseignements devra obligatoirement veiller à ce que son cocontractant soit informé des mesures qu’il doit prendre pour assurer la confidentialité des renseignements. L’entreprise ne sera pas pour autant déchargée de sa responsabilité à l’égard des renseignements personnels qu’elle détient. 

Finalement, notons qu’une entreprise pourra communiquer des renseignements personnels si cela est nécessaire afin de conclure une transaction commerciale. Le concept de « transactions commerciales » inclut l’aliénation ou la location d’une entreprise ou de ses actifs, une modification de sa structure juridique, ou encore son financement.

Clarification de la portée du droit à l’effacement et création du droit à l’oubli 

Le projet de loi n^o 64 a clarifié la portée du droit des personnes de demander l’effacement de leurs renseignements personnels. Le Code civil du Québec (Code) prévoit depuis longtemps qu’une personne a le droit de demander la suppression d’un renseignement non à jour ou non justifié par l’objet d’un dossier la concernant. Cependant, de nouvelles dispositions indiquent dorénavant que le fait de recueillir des renseignements personnels sur autrui constitue un dossier au sens du Code et renvoient directement à la disposition du Code prévoyant le droit à l’effacement. Il est ainsi clair qu’une personne peut, à certaines conditions, demander à une entreprise de supprimer des renseignements personnels la concernant qu’elle détient. 

De plus, la Loi privée prévoit maintenant un droit à l’oubli, toujours au bénéfice des personnes. Celles-ci peuvent maintenant exiger des entreprises qu’elles cessent la diffusion d’un renseignement ou l’indexation d’un hyperlien rattaché à leur nom. Pour ce faire, la personne concernée devra notamment démontrer qu’elle subit un préjudice grave en lien avec sa réputation ou sa vie privée et que ce préjudice est supérieur à l’intérêt public de connaître le renseignement à son sujet. 

Le consentement vise maintenant la collecte et la communication

Le consentement donné par une personne au moment de la collecte de ses renseignements personnels s’appliquera non seulement à leur collecte, mais également à l’utilisation et à la communication de ceux-ci, et ce, pour autant qu’elles soient faites dans le respect des finalités indiquées au moment de la collecte. Cette disposition pourrait éviter aux entreprises et aux organismes de demander plusieurs consentements différents à une même personne, selon les étapes de traitement de ses renseignements personnels. 

Ce qui est considéré comme un renseignement personnel « sensible »

Le projet de loi n^o 64 offre dorénavant des précisions quant à la définition des renseignements dits « sensibles », définition pouvant avoir un impact sur l’ampleur des mesures de protection devant être adoptées, ainsi que sur les finalités auxquelles ils peuvent être utilisés. Ainsi, la loi considère qu’un renseignement est sensible lorsqu’il suscite un haut degré d’attente raisonnable en matière de vie privée, notamment en raison de sa nature médicale ou biométrique, ou en raison du contexte de son utilisation. 

Sanctions en cas de non-respect

Les sanctions en cas de non-respect de la loi ont également fait l’objet de modifications considérables, et une entreprise qui ne se conforme pas à la Loi privée risque désormais des sanctions beaucoup plus élevées que sous l’ancien régime. 

Les sanctions administratives pécuniaires

Pour ce qui est des sanctions administratives pécuniaires, qui peuvent être imposées par une personne désignée par la CAI à la suite d’un manquement à la Loi privée, elles peuvent atteindre, dans le cas des entreprises, une somme de 10 000 000 $, ou un montant correspondant à 2 % du chiffre d’affaires mondial du dernier exercice financier, si celui-ci est plus élevé. 

La CAI devra publier un cadre général d’application de ces sanctions, qui détaillera les critères étudiés au moment de prendre la décision d’imposer ou non une sanction, de même que le montant de celle-ci, le cas échéant. Nous savons toutefois que certains des éléments qui devront être considérés sont la sensibilité des renseignements personnels, le nombre de personnes concernées, ainsi que la nature, la gravité et la durée du manquement. 

Les sanctions pénales

Les sanctions pénales sont encore plus élevées que les sanctions administratives pécuniaires, quoique leur application soit limitée. Les manquements à la Loi privée pouvant mener à une sanction pénale incluent le fait de recueillir, utiliser, conserver, communiquer ou détruire des renseignements personnels en contravention de la loi, d’essayer d’identifier une personne à partir de renseignements anonymisés ou de ne pas aviser la CAI d’un incident de confidentialité. Dans de tels cas, une entreprise s’expose à une amende pouvant atteindre 25 000 000 $, ou un montant correspondant à 4 % du chiffre d’affaires mondial du dernier exercice financier, si celui-ci est plus élevé.

Plusieurs facteurs pourront être considérés par le juge devant déterminer le montant de l’amende. Il pourra notamment tenir compte de la nature, de la gravité et de la durée de l’infraction, de la sensibilité des renseignements personnels et du nombre de personnes affectées, de l’intention, de la négligence ou de l’insouciance de l’entreprise qui contrevient à la Loi privée, ou encore du caractère prévisible de l’infraction. 

Le projet de loi ayant été sanctionné, il sera intéressant de voir les mesures et approches qui seront préconisées par les entreprises et les organismes pour se conformer à l’ensemble des changements apportés par celui-ci et si des lignes directrices seront publiées par les autorités pour les assister à cet égard. À ce sujet, les entreprises visées devraient rapidement entamer leur réflexion et leurs démarches d’harmonisation vu la courte période de transition offerte à cet égard et la quantité importante de changements qu’elles devront apporter à leurs pratiques d’affaires en ce qui a trait à la gestion des renseignements personnels.