
Publication
Infolettre trimestrielle en droit de l’emploi et du travail au Canada
La présente infolettre informera les employeurs des faits nouveaux et des pratiques exemplaires dans le domaine du droit de l’emploi et du travail au Canada.
Le gouvernement du Québec et le gouvernement fédéral ont tous deux adopté des lois en matière de protection de la vie privée. Le Code civil du Québec (Code civil ou CcQ) et la Loi sur la protection des renseignements personnels dans le secteur privé (Loi québécoise sur les renseignements personnels)1 régissent la protection des renseignements personnels qu’une personne recueille, détient ou communique à l’occasion de l’exploitation d’une entreprise au Québec. Quant à lui, le Parlement fédéral canadien a adopté la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), entrée en vigueur en 20042. Le 21 septembre 2021, l’Assemblée nationale du Québec a adopté la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), qui apporte des modifications significatives à la Loi québécoise sur les renseignements personnels. La plupart de ces modifications sont entrées en vigueur le 22 septembre 2023.
(a) Le Code civil
Le Code civil contient des dispositions portant sur le traitement des renseignements sur une personne et la protection de la réputation et de la vie privée de celle ci. Les articles 35 à 41 du Code civil et la Loi québécoise sur les renseignements personnels consacrent le droit à toute personne au respect de sa réputation et de sa vie privée et prohibent toute atteinte à ce droit.
Il est intéressant de noter que le Code civil donne quelques exemples non exhaustifs d’atteinte à la vie privée d’une personne.
Ces exemples comprennent le fait d’intercepter ou d’utiliser volontairement une communication privée et de surveiller la vie privée d’une personne par quelque moyen que ce soit. Ces articles viennent limiter, par exemple, la capacité qu’a un employeur d’enregistrer ou de filmer un employé dans le but d’amasser des preuves, même si ces agissements peuvent être permis dans certaines circonstances.
Le Code civil prévoit deux critères pour qu’un dossier puisse être constitué sur une personne : i) la personne qui constitue un dossier sur une autre personne doit avoir « un intérêt sérieux et légitime à le faire » et ii) elle ne peut recueillir que les renseignements pertinents à l’objet déclaré du dossier.3 Le terme « pertinents » a été interprété de façon restrictive et renvoie à la notion de « renseignements nécessaires » dans la Loi québécoise sur les renseignements personnels.4 Plus précisément, la constitution d’un dossier est réputée nécessaire uniquement lorsque le fait d’agir ainsi permettrait d’atteindre un « objectif légitime et important » énoncé avant la constitution du dossier.5 Le Code civil énonce certains principes généraux en matière de protection de la vie privée alors que la Loi québécoise sur les renseignements personnels prévoit un ensemble plus complet de règles applicables aux personnes exploitant une entreprise au sens de l’article 1525, CcQ.
(b) La Loi québécoise sur les renseignements personnels
Objet, portée et définitions
La Loi québécoise sur les renseignements personnels a pour objet premier de créer un ensemble de règles visant la protection des i) renseignements personnels qu’une personne recueille, détient, utilise ou communique à des tiers à l’occasion de ii) l’exploitation d’une entreprise. Une distinction additionnelle est faite lorsqu’il s’agit de iii) renseignements personnels sensibles.
i) Renseignements personnels | Dans le contexte de la Loi québécoise sur les renseignements personnels, est un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier. Bien que chaque cas soit un cas d’espèce, cette définition ne s’applique qu’aux renseignements concernant une personne physique et non aux renseignements commerciaux plus sensibles, comme les renseignements financiers ou les secrets commerciaux d’une entreprise.
ii) Exploitation d’une entreprise | Ce terme est défini à l’article 1525 du Code civil comme « l’exercice, par une ou plusieurs personnes, d’une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services ».
iii) Renseignements personnels sensibles | Un renseignement est réputé sensible de par sa nature, notamment médicale ou biométrique, ou en raison du contexte dans lequel il est recueilli ou encore lorsqu’il suscite un haut degré d’attente raisonnable en matière de vie privée. Les renseignements personnels détenus par un ordre professionnel sont également visés par la Loi québécoise sur les renseignements personnels.
Collecte
Toute personne qui exploite une entreprise et qui, en raison d’un intérêt sérieux et légitime, recueille des renseignements personnels sur autrui doit, avant la collecte, déterminer les fins de celle ci et ne peut recueillir que les renseignements nécessaires aux fins déterminées. Les renseignements personnels recueillis en vertu de la Loi québécoise sur les renseignements personnels ne peuvent être utilisés qu’aux fins déclarées au moment de la collecte. Toutefois, le consentement de la personne concernée peut être obtenu afin d’utiliser ces renseignements personnels à toute autre fin ou avant qu’ils soient communiqués à des tiers. Le consentement de la personne doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Les renseignements personnels concernant une personne mineure de moins de 14 ans ne peuvent être recueillis auprès de celle-ci sans le consentement du titulaire de l’autorité parentale ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice de cette personne mineure.
Accès par la personne concernée et communication à des tiers
En vertu de la Loi québécoise sur les renseignements personnels, les entreprises qui recueillent des renseignements personnels sont tenues d’informer les personnes des fins auxquelles ces renseignements sont recueillis, des moyens par lesquels les renseignements sont recueillis, des droits d’accès et de rectification prévus par la loi et de leur droit de retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis. Les dispositions de la Loi québécoise sur les renseignements personnels confèrent à la personne concernée des droits d’accès aux renseignements personnels la concernant et de rectification de tout renseignement inexact par l’ajout d’information ou d’un commentaire ou la suppression d’information. Dans certains cas, la personne qui exploite une entreprise aura le droit de refuser l’accès, en partie ou en totalité. Tout différend découlant du droit d’une personne d’accéder aux renseignements personnels la concernant doit être soumis à la Commission d’accès à l’information (CAI), un tribunal administratif spécialisé.
Règle générale, il est interdit de communiquer ou de divulguer des renseignements personnels à des tiers sans le consentement de la personne concernée. Toutefois, la Loi québécoise sur les renseignements personnels prévoit que, dans certaines situations exceptionnelles, une entreprise pourra, sans le consentement de la personne concernée, communiquer ou divulguer un renseignement personnel qu’elle détient sur autrui à un tiers (notamment au procureur de la personne détenant le dossier, à une personne chargée en vertu de la loi de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois, qui le requiert dans l’exercice de ses fonctions, si le renseignement est nécessaire pour la poursuite d’une infraction, ou à une personne à qui il est nécessaire de communiquer le renseignement). D’autres exceptions s’appliquent, comme la communication d’un renseignement personnel :
Les membres du personnel autorisés au sein d’une entreprise, les agents, les mandataires et les parties à un contrat de service ou d’entreprise ont accès, sans l’autorisation de la personne concernée, aux renseignements personnels nécessaires à l’exercice de leurs fonctions. De plus, la Loi québécoise sur les renseignements personnels confère à une personne qui exploite une entreprise le droit d’utiliser ou de communiquer une liste nominative (par exemple, une liste de clients). Elle prévoit des règles permettant l’utilisation de listes nominatives aux fins de l’expansion des affaires. S’il y a lieu, les personnes doivent être informées du nom des tiers à qui il est nécessaire de communiquer les renseignements et de la possibilité que ceux ci soient communiqués à l’extérieur du Québec. L’information doit être fournie en termes simples et clairs. Le consentement tacite est possible dans certains cas.
Mesures de protection : Politiques et pratiques de gouvernance, évaluations des facteurs relatifs à la vie privée et confidentialité par défaut
La Loi québécoise sur les renseignements personnels exige dorénavant que les entreprises désignent un responsable de la protection des renseignements qui sera chargé de la mise en œuvre des mesures de protection des renseignements personnels conformément à la loi. Par défaut, la personne ayant la plus haute autorité au sein de l’entreprise exerce cette fonction; néanmoins, elle peut déléguer cette fonction par écrit à une personne salariée. De plus, une personne qui exploite une entreprise doit prendre des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. De plus, la Loi québécoise sur les renseignements personnels incorpore maintenant la confidentialité par défaut, puisque les entreprises offrant un produit ou un service technologique disposant de paramètres de confidentialité doivent s’assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée. Cette exigence applicable aux paramètres ne vise pas les témoins de connexion. Les entreprises qui recueillent par un moyen technologique des renseignements personnels doivent publier sur leur site Internet, le cas échéant, une politique de confidentialité rédigée en termes simples et clairs.
Depuis le 22 septembre 2023, les entreprises se doivent de mieux comprendre les renseignements personnels qu’elles détiennent et l’utilisation qu’elles en font. Elles doivent notamment procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement ou de refonte d’un système informatique impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. De plus, les entreprises doivent procéder à une évaluation des facteurs relatifs à la vie privée avant de communiquer un renseignement personnel à l’extérieur du Québec. Cette évaluation doit tenir compte de la sensibilité du renseignement, de la finalité de son utilisation, des mesures de protection, y compris les mesures contractuelles, dont le renseignement bénéficierait, et le régime juridique applicable dans l’État où ce renseignement serait communiqué. En outre, la communication d’un renseignement personnel à l’extérieur du Québec doit faire l’objet d’une entente écrite qui tient compte des faiblesses relevées dans le cadre de cette évaluation et des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluation.
Avis d’incident de confidentialité
Depuis le 22 septembre 2022, la Loi québécoise sur les renseignements personnels impose l’obligation de transmettre un avis en cas d’incident de confidentialité présentant un risque de préjudice sérieux. On entend, par incident de confidentialité, l’accès à un renseignement qu’une entreprise détient ou son utilisation, sa communication et sa perte ou encore toute autre atteinte à la protection d’un tel renseignement sans autorisation. L’entreprise doit aviser, avec diligence, la CAI de même que les personnes touchées par l’incident à moins que cela soit susceptible d’entraver une enquête criminelle ou une enquête visant une infraction aux lois. Le Règlement sur les incidents de confidentialité précise les renseignements qu’un tel avis doit contenir si l’entreprise n’utilise pas le formulaire fourni par la CAI pour déclarer un manquement. L’entreprise doit tenir un registre de tous les incidents de confidentialité, y compris ceux ne répondant pas au critère du « risque de préjudice sérieux », et transmettre à la CAI une copie de ce registre sur demande. Le registre doit être tenu à jour et conservé pendant une période minimale de cinq ans après la survenance de l’incident.
Mécanismes d’application
Des mécanismes plus stricts d’application sont maintenant prévus par la Loi québécoise sur les renseignements personnels.
Le nouveau régime donne à la CAI le pouvoir d’imposer une sanction administrative pécuniaire d’un montant maximal de 10 M$, ou du montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent. De telles sanctions peuvent être imposées dans de nombreux cas, notamment le défaut de déclarer une atteinte à la vie privée. La CAI dispose également du droit d’intenter une poursuite pour infraction en vertu de la Loi québécoise sur les renseignements personnels. Une telle poursuite pourrait mener à l’imposition d’une amende d’un montant maximal de 25 M$, ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent. En cas de récidive, ces amendes sont portées au double.
(c) Le Règlement sur l’anonymisation des renseignements personnels
Le Règlement sur l’anonymisation des renseignements personnels est entré en vigueur le 30 mai 2024. Ce règlement prescrit le processus d’anonymisation des renseignements personnels que doit suivre une organisation, tel qu’il est exigé par la Loi québécoise sur les renseignements personnels, lorsque les renseignements personnels ne sont pas retirés. Tout comme pour l’évaluation des facteurs relatifs à la vie privée, l’organisation doit effectuer une analyse des risques avant, pendant et après le processus d’anonymisation. Elle doit aussi consigner les renseignements suivants dans un registre :
Il n’est pas nécessaire de démontrer un risque nul de réidentification. Cependant, il faut démontrer que les risques résiduels de réidentification sont très faibles. Les techniques d’anonymisation utilisées doivent être conformes aux pratiques exemplaires généralement reconnues et établir des mesures de protection et de sécurité raisonnables pour diminuer les risques de réidentification. Les moyens choisis découlent d’une analyse préliminaire des risques de réidentification.
(a) La LPRPDE
Portée et application
La LPRPDE fédérale est très semblable à la version de la Loi québécoise sur les renseignements personnels avant les modifications apportées par la Loi 25. Elle s’applique à toute organisation (c.-à-d. une association, une société de personnes, une personne et une organisation syndicale) à l’égard des renseignements personnels qu’elle recueille, détient, utilise ou communique dans le cadre d’activités commerciales. De nombreuses dispositions de la loi fédérale ressemblent à celles de la Loi québécoise sur les renseignements personnels, la loi fédérale s’appliquera donc lorsque des renseignements personnels sont communiqués à l’extérieur du Québec et visera toutes les organisations de compétence fédérale (comme les banques, les compagnies de chemin de fer et les entreprises de transport aérien). Cette loi s’applique à un « renseignement personnel », défini comme tout renseignement concernant un individu identifiable, à l’exception du nom, du titre ou des coordonnées d’affaires (adresse ou numéro de téléphone) d’un employé d’une organisation.
Principes relatifs à l’équité dans le traitement de l’information de la LPRPDE
La LPRPDE énonce dix principes relatifs à l’équité dans le traitement de l’information qui régissent la collecte, l’utilisation et la communication des renseignements personnels. Ces principes se résument comme suit :
Mode de règlement des différends
Tout différend découlant du droit d’accès d’une personne ou d’une plainte en vertu de la LPRPDE doit être soumis pour enquête au Commissariat à la protection de la vie privée du Canada. À la réception du rapport du Commissaire à la protection de la vie privée du Canada (Commissaire) portant sur le différend ou la plainte, le plaignant peut demander que la Cour fédérale entende sa plainte. Moyennant un préavis raisonnable, le Commissaire peut aussi procéder à la vérification des pratiques de l’organisation en matière de gestion des renseignements personnels.
(b) Le projet de loi C-27
En juin 2022, l’honorable François-Philippe Champagne, ministre de l’Innovation, des Sciences et de l’Industrie, a déposé le projet de loi C-27. Le 16 juin 2024, ont eu lieu le dépôt et la première lecture de ce projet de loi, qui était, en date de juin 2024, rendu à l’étape de l’examen en comité à la Chambre des communes.
La Loi sur la protection de la vie privée des consommateurs (LPVPC)
S’il est adopté, le projet de loi C-27 édicterait la LPVPC, transformant ainsi l’approche du gouvernement fédéral en matière de réglementation relative à la protection des renseignements personnels dans le secteur privé et abrogeant certaines parties de la LPRPDE relatives au traitement des renseignements personnels. Aux termes de la LPVPC, les dispositions de l’annexe de la LPRPDE traitant des principes relatifs à la protection des renseignements personnels seraient réécrites et deviendraient des dispositions de droit substantif, et nombre des obligations aux termes de la LPRPDE seraient intégrées dans la LPVPC. Par contre, la LPVPC créerait également de nouvelles obligations plus strictes pour les organisations du secteur privé, notamment :
Application de la LPVPC
L’amende maximale pouvant être imposée dans le cadre des sanctions administratives s’élève à 10 M$ ou, s’il est supérieur, à un montant égal à 3 % des recettes globales brutes de l’organisation au cours de l’exercice précédent. Lorsqu’il détermine la pénalité à infliger, le Commissaire tient compte, entre autres, des éléments suivants :
Le plafond des sanctions pénales pourrait se chiffrer à 25 M$ ou, s’il est supérieur, à un montant égal à 5 % des recettes globales brutes de l’organisation au cours de l’exercice précédent.
Le projet de loi C-27 édicterait également la Loi sur le Tribunal de la protection des renseignements personnels et des données, qui créerait un tribunal administratif chargé d’instruire les appels de certaines décisions rendues par le Commissaire au titre de la LPVPC et d’infliger des sanctions pécuniaires en cas de contravention à certaines dispositions de cette loi. Le plaignant disposerait d’un délai d’appel de 30 jours après le jour où le Commissaire rendrait sa décision.
Loi sur l’intelligence artificielle et les données (LIAD)
Le projet de loi C-27 édicte la LIAD, qui réglemente les échanges et le commerce internationaux et interprovinciaux en matière de systèmes d’intelligence artificielle en exigeant que certaines personnes adoptent des mesures pour atténuer les risques de préjudices et de résultats biaisés liés aux systèmes à incidence élevée. La définition du terme « système à incidence élevée » sera établie par règlement, lequel tiendra vraisemblablement compte des éléments suivants dans l’évaluation d’un système d’IA6:
La LCAP a instauré des mesures pour répondre aux problèmes découlant des courriels commerciaux non sollicités (pourriels), de l’hameçonnage ainsi que des logiciels espions et malveillants.
Portée et définitions
Il est interdit en vertu de la LCAP d’envoyer à une adresse électronique des messages électroniques commerciaux (MEC) au moyen d’un ordinateur situé au Canada sans le consentement du destinataire du message. Cette interdiction vise toutes les formes de télécommunications (courriel, messagerie instantanée ou téléphone) ainsi que toutes les formes de messages (messages textuels, sonores, vocaux ou visuels). Un MEC s’entend d’un message destiné à encourager la participation à une « activité commerciale ». Il convient de noter que l’envoi d’un message électronique comportant une demande de consentement en vue de la transmission d’un MEC est également interdit par la LCAP.
Le consentement du destinataire peut être exprès ou tacite dans certaines situations. Le consentement tacite est réputé lorsque le destinataire et l’expéditeur ont une « relation d’affaires en cours », par exemple une relation découlant de l’achat ou du louage par le destinataire, au cours des deux ans précédant la date d’envoi du message, d’un bien, d’un produit ou d’un service de l’expéditeur. Le consentement tacite peut aussi découler d’un contrat conclu entre le destinataire et l’expéditeur ou de l’acceptation par le destinataire d’une possibilité d’affaires, d’investissement ou de jeu offerte par l’expéditeur au cours d’une période de six mois précédant la date d’envoi du message. De plus, la LCAP prévoit que le consentement ne serait pas requis dans certaines circonstances « limitées » avant l’envoi d’un message électronique commercial.
Lorsqu’il y a consentement exprès ou tacite, tout MEC doit comporter un mécanisme d’exclusion permettant au destinataire de s’exclure en utilisant la méthode qui a été employée pour envoyer le message ou, si cela est pratiquement impossible, toute autre méthode électronique qui lui permet de communiquer sa volonté de s’exclure. Le message doit aussi fournir un lien à la page du Web ou une adresse électronique à laquelle le destinataire peut communiquer sa volonté de s’exclure. Tout MEC qui ne respecte pas cette exigence, entre autres exigences, contrevient à la loi dès que la transmission est amorcée peu importe que ce message parvienne ou non à destination.
Application de la LCAP
Un droit privé d’action est créé au titre de la LCAP pour les personnes touchées par les contraventions à la loi. Ce droit privé d’action devait entrer en vigueur le 1er juillet 2017, mais n’a toujours pas été mis en œuvre. Les demandes visant l’exercice d’un droit privé d’action peuvent être adressées à la Cour fédérale du Canada ou à la Cour supérieure d’une province. Lorsque la preuve de la contravention à la LCAP a été faite, le demandeur a droit de toucher une somme pour les dommages qu’il a subis en raison de cette contravention et, selon le type de contravention, une somme maximale de 200 $ à l’égard de chaque contravention, jusqu’à concurrence de 1 M$ par jour.
LCAP, LPRPDE et projet de loi C-27
La LCAP modifie également les dispositions de la LPRPDE en interdisant la collecte de l’adresse électronique d’une personne au moyen d’un programme informatique conçu à cette fin, la collecte de renseignements personnels en accédant sans autorisation à un système informatique et l’utilisation des renseignements recueillis de manière illicite. Le droit privé d’action créé par la LCAP s’appliquera également à ces interdictions, ce qui ajoutera du mordant à la LPRPDE, qui ne prévoyait qu’un seul recours jusqu’à présent, soit le dépôt d’une plainte au Commissariat à la protection de la vie privée.
Sur recommandation du ministre de l’Industrie, le Gouverneur général en conseil a pris le Règlement sur la protection du commerce électronique (Règlement). Ce règlement prévoit de nouvelles exemptions applicables à certaines activités commerciales qui se retrouvent maintenant à l’extérieur de la portée de la LCAP.
Le Règlement propose une définition plus large du terme « liens personnels » et comprend maintenant ce qui suit :
Art 5, Loi québécoise sur les renseignements personnels.
Voir Syndicat des employées et employés professionnels et de bureau, section locale 57 et Caisse populaire St-Stanislas de Montréal, 1998 CanLII 27651 (QC SAT) citant Regroupement des comités de logement et association de locataires du Québec c Corporation des propriétaires immobiliers du Québec (CORPIQ).
Publication
La présente infolettre informera les employeurs des faits nouveaux et des pratiques exemplaires dans le domaine du droit de l’emploi et du travail au Canada.
Publication
Les Autorités canadiennes en valeurs mobilières (ACVM) ont suspendu leurs travaux visant l’élaboration de nouvelles règles sur la communication obligatoire d’information liée au changement climatique et les modifications des obligations d’information sur la diversité existantes.
Abonnez-vous et restez à l’affût des nouvelles juridiques, informations et événements les plus récents...
© Norton Rose Fulbright LLP 2025