Présenté à l’Assemblée nationale du Québec le 12 juin 2020, le projet de loi no 64 : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après « la loi 64 ») a finalement été adopté le 21 septembre dernier. Ayant pour but de moderniser l’encadrement applicable à la protection des renseignements personnels, la loi nouvelle 64 vient notamment modifier la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « LPRPSP »). Son entrée en vigueur se fera en trois temps : certaines dispositions entreront respectivement un an, deux ans ou trois ans après l'adoption de la loi.
Concrètement, ça veut dire quoi ?
Des changements majeurs à la protection des renseignements personnels sont attendus au Québec, et il est important pour les entreprises faisant affaire dans la Belle Province de comprendre les nouvelles obligations introduites par cette loi. En effet, les acteurs visés par les nouvelles obligations incluent les entreprises privées de toute taille, et ceux ne se conformant pas à la nouvelle loi s’exposent à de sévères pénalités, c.-à-d. à des amendes allant de 15 000 CAD à 25 000 000 CAD ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent.
Par la modification de nombre de dispositions de la LPRPSP, la loi 64 introduit plusieurs exigences pour les entreprises. Il y a lieu de souligner les changements suivants :
Les entreprises devront nommer un responsable de la protection des renseignements personnels, qui aura comme fonction de s’assurer du respect et de la mise en œuvre de la LPRPSP. Le titre et les coordonnées de cette personne doivent être rendus publics. De plus, des politiques et des pratiques encadrant la gouvernance de l’entreprise à l’égard des renseignements personnels devront être établies afin d’assurer la protection desdits renseignements. Elles devront entre autres prévoir l’encadrement applicable à leur conservation et à leur destruction.
Les entreprises auront également l’obligation de procéder à une évaluation des facteurs relatifs à la vie privée de tout projet de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. Cela sera également le cas avant de communiquer un renseignement personnel à l’extérieur du Québec.
Comment va fonctionner le traitement des données personnelles ?
Les fins de la collecte des renseignements personnels devront être déterminées avant leur collecte. Qui plus est, il ne sera pas possible de recueillir des renseignements personnels concernant un mineur sans obtenir le consentement de l’autorité parentale, sauf lorsque cela est manifestement à son bénéfice.
Les entreprises devront en outre s’assurer que les paramètres de confidentialité du produit ou du service technologique offert au public assurent par défaut le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.
La loi 64 introduit aussi l’obligation d’aviser la Commission d’accès à l’information (ci-après « la Commission ») et les personnes concernées de tout incident de confidentialité impliquant un renseignement personnel et présentant un risque sérieux de préjudice sérieux.
Un renseignement personnel ne pourra être utilisé au sein de l’entreprise qu’aux fins pour lesquelles il a été recueilli à moins du consentement de la personne concernée, consentement qui devra être manifesté de façon expresse lorsqu’il est question d’un renseignement personnel sensible. Rappelons qu’un renseignement personnel est considéré sensible lorsque, de par sa nature ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée.
De plus, le consentement ne sera donné qu’à des fins spécifiques, et l’entreprise devra le demander en des termes simples et clairs, de façon distincte de toute autre information communiquée à la personne concernée.
S’agissant de l’obligation de communication d’un renseignement personnel pour donner suite à la demande de la personne concernée, la loi 64 ajoute l’obligation de transmettre un renseignement personnel informatisé sous la forme d’une transcription écrite et intelligible.
En ce qui concerne la destruction ou anonymisation des renseignements personnels (ou données personnelles), cela devra être accompli dès que les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies.
La loi 64 vient également préciser le rôle des agents de renseignements personnels, c.-à-d. les personnes qui, elles-mêmes ou par l’intermédiaire d’un représentant, font le commerce de constituer des dossiers sur autrui, de préparer et de communiquer à des tiers des rapports de crédit au sujet du caractère, de la réputation ou de la solvabilité des personnes concernées par ces dossiers. Ainsi, la Commission tiendra à jour un registre desdits agents, qui auront conséquemment une nouvelle obligation d’inscription. Ils devront également adopter des règles de conduite permettant à toute personne concernée par un renseignement personnel qu’ils détiennent d’y avoir accès et de le faire rectifier, ainsi qu’informer le public du fait qu’ils détiennent des renseignements personnels sur autrui, qu’ils communiquent certaines informations à des cocontractants le cas échéant, et que les personnes concernées peuvent exercer des droits d’accès et de rectification des renseignements personnels détenus à leur sujet. Finalement, les agents de renseignements ne pourront conserver les renseignements personnels pour plus de sept (7) ans.
Cabinet d’avocat franco-canadien pratiquant aussi bien le droit anglophone de la common law que le droit civil francophone au Canada, le cabinet S. Grynwajc dispose en outre d’une expertise particulière en tant qu’avocat dans le secteur de la protection des données personnelles. En conséquence, si vous souhaitez vous assurer que votre organisation se conforme aux nouvelles lois lui incombant, n’hésitez pas à nous contacter, nous serons ravis de vous accompagner !
—
Cet article a été écrit avec la collaboration d’Irina Gueorguiev