Passer au contenu directement.

Le projet de loi 64 introduit de nouvelles normes en matière de transparence et de consentement au Québec

Cet article fait partie de notre série de blogues sur le projet de loi 64, qui vise à donner aux lecteurs une vue d’ensemble du projet de loi et des changements importants apportés à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « Loi sur le secteur privé »). Pour consulter les autres billets de blogue de la série, veuillez visiter cette page.

La Loi modernisant les dispositions législatives en matière de protection des renseignements personnels[1] (le "projet de loi 64" ou "projet de loi") a reçu la sanction royale le 22 septembre 2021, introduisant de nouvelles obligations pour les entreprises du secteur privé au Québec dont l’entrée en vigueur s’échelonnera sur trois ans. Dans le cadre d'une série de blogues sur les mesures que les entreprises devront prendre pour assurer leur conformité, les obligations de transparence et de consentement imposées aux entreprises figurent parmi les changements les plus attendus de cette réforme.

Le projet de loi 64 a été présenté dans le but d'ajouter d’importantes protections additionnelles aux renseignements personnels des citoyens détenus par des entreprises privées, notamment par la profonde modernisation de la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le secteur privé »). Les dispositions dont il est question dans ce blogue devraient entrer en vigueur en deux temps, soit le 22 septembre 2022 et le 22 septembre 2023, ce qui en fait des éléments hautement prioritaires auxquels les entreprises doivent se préparer.

Nouvelles normes de transparence et de responsabilité des entreprises

Le projet de loi 64 a introduit de nombreux changements en matière de pratiques de traitement des renseignements personnels destinés à améliorer la transparence et la responsabilité des entreprises. Les amendements apportés au projet de loi 64 par la Commission des institutions de l’Assemblée nationale (la « Commission ») ont permis l’introduction de nouvelles normes qui apportent, dans certains cas, des contraintes plus importantes pour les entreprises et, dans d’autres, plus de flexibilité.

Parmi ces changements, on retrouve (1) l’obligation d’établir, de mettre en œuvre et de publier des politiques et de pratiques de gouvernance concernant les renseignements personnels (2) l’exigence pour les entreprises de charger une personne de la protection des renseignements personnels, et (3) l’obligation d’informer les personnes concernées du nom des tiers à qui l’entreprise peut communiquer les renseignements personnels.

Publication des politiques et pratiques encadrant la gouvernance à l’égard des renseignements personnels

Le projet de loi 64 prévoit l’exigence pour les entreprises d’établir et mettre en œuvre des politiques et des pratiques encadrant la gouvernance à l’égard des renseignements personnels. Dans la version initiale du projet de loi, on exigeait également des entreprises qu’elles publient ces politiques internes sur leur site web ou, à défaut, en utilisant tout autre moyen approprié.

La problématique entourant cette dernière exigence fut l’objet de discussions en commission parlementaire. Effectivement, il n’est pas pratique commune pour les entreprises de publier leurs politiques et pratiques internes en matière de protection de la vie privée. Parmi les problématiques possibles soulevées, il a été noté qu’une telle pratique représenterait un risque d’exposition de renseignements commercialement sensibles au sujet du fonctionnement interne d’une entreprise, le tout sans réel avantage pour les particuliers. La publication de telles renseignements pourrait ainsi constituer un risque accru de fraude pour les entreprises et, incidemment, de fuite des données partagées par les particuliers.

Dans sa version amendée, l’exigence imposée aux entreprises est désormais celle, plus réaliste, de publier « des informations détaillées au sujet des politiques »[2].

Délégation du poste de responsable de la protection des renseignements personnels

Le rôle principal du responsable de la protection des données sera de veiller à ce que son organisation traite les données personnelles qu’elle détient conformément aux règles applicables en matière de protection des données. Ce rôle, attribué par défaut à la personne ayant la plus haute autorité dans l’entreprise, pouvait initialement n’être délégué qu’à un membre du personnel de l’entreprise. Désormais, les entreprises bénéficient d’une grande souplesse en ce qui concerne la délégation de ce rôle, pouvant désormais l’attribuer à « toute personne »[3]. Cela signifie notamment qu’une entreprise pourra désigner une personne responsable de la protection des renseignements personnels, ou alors retenir les services d’un spécialiste externe en la matière. Cette innovation permettra plus de flexibilité pour les entreprises qui ne possèdent pas une expertise sur les questions de vie privée à l’interne.

Informer les individus du nom des tiers ou les catégories de tiers à qui l’entreprise peut communiquer des renseignements personnels

La Commission a adopté un amendement obligeant les entreprises à indiquer aux individus desquels sont recueillis les renseignements personnels le « nom des tiers » ou les catégories de tiers à qui il est nécessaire de communiquer les renseignements aux fins visées par la collecte de données. Les entreprises doivent également informer les individus de la possibilité que les renseignements soient communiquées à l’extérieur du Québec[4].

Les individus n’ont pas la possibilité de refuser de tels transferts, mais la responsabilité du traitement des renseignements personnels par les fournisseurs de service pèse sur les épaules des entreprises qui effectuent le transfert.

Nouvelles normes de consentement

Le consentement est considéré la pierre angulaire de la Loi sur le secteur privé. Dans la plupart des cas, les entreprises doivent obtenir le consentement d’un individu avant de pouvoir recueillir, utiliser et communiquer ses renseignements personnels. Au sein du régime actuel, ce n’est que dans quelques cas bien précis que les entreprises peuvent traiter les renseignements personnels d’un individu en l’absence de son consentement.

Le projet de loi 64 n’a pas dérogé à cette règle, bien qu’il permette un plus grand assouplissement en cette matière – notamment en créant d’avantage d’exceptions à l’exigence d’obtention d’un consentement – ce qui représente une évolution en droit québécois vers un accent plus marqué sur la responsabilisation et l’utilisation éthique des renseignements personnels.

Nouvelles exceptions au consentement

Le projet de loi 64 amendé crée deux nouvelles situations où les entreprises peuvent traiter des renseignements personnels en l’absence de consentement[5] :

1. lorsque l’utilisation des renseignements est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité; et

2. lorsque l’utilisation des renseignements est nécessaire à la fourniture ou la livraison d’un produit ou la prestation d’un service demandé par la personne concernée.

Ces deux exceptions sont cohérentes avec le nouvel esprit que le projet de loi 64 apportera à la Loi sur le secteur privé en couvrant d’autres situations où les pratiques d’affaires légitimes d’une entreprise justifient le traitement de renseignements, y compris les situations dans lesquelles le consentement peut être déduit sans risque et les situations dans lesquelles les intérêts de la vie privée sont mis en balance avec la nécessité de lutter contre la fraude et de réduire la fréquence des incidents de sécurité.

Par exemple, dans l’actuelle Loi sur le secteur privé, l’exception pour la communication à des fins d’étude, de recherche ou de statistique y est prévue. Dans la première version du projet de loi 64, on y ajoutait les exceptions relatives à l’utilisation servant à des fins compatibles avec celles pour lesquelles les renseignement ont été initialement recueillis et l’utilisation manifestement au bénéfice de la personne concernée. Tout en gardant l’exception aux fins d’étude et de recherche, on y a ajouté l’exigence que les renseignements soient dépersonnalisés.

Conclusion

Le projet de loi 64 a permis des ajouts importants aux exigences de transparence et de consentement que devraient connaître les entreprises qui traitent des renseignements personnels au Québec. Étant donné que les articles concernant ces exigences doivent entrer en vigueur le 22 septembre 2022 et le 22 septembre 2023, les entreprises devraient déjà envisager la planification de l’alignement de leurs pratiques internes en matière de confidentialité et de sécurité des données avec les nouvelles exigences du projet de loi 64.

Restez à l’écoute des autres publications de McCarthy Tétrault sur ce sujet.

Pour en savoir plus sur la manière dont notre groupe Cyber/Data peut vous aider à naviguer dans le paysage de la confidentialité et des données, veuillez contacter les coleaders nationaux Charles Morgan et Daniel Glover.

[1]Loi modernisant les dispositions législatives en matière de protection des renseignements personnels, CQRL, c P-39.1 [le « Projet de Loi 64 »].

[2] Loi sur le secteur privé amendée, art. 3.2.

[3] Loi sur le secteur privé amendée, art. 3.1.

[4] Loi sur le secteur privé amendée, art. 8.

[5] Loi sur le secteur privé amendée, art. 17.

Auteurs

Abonnez-vous

Recevez nos derniers billets en français

Inscrivez-vous pour recevoir les analyses de ce blogue.
Pour s’abonner au contenu en français, procédez à votre inscription à partir de cette page.

Veuillez entrer une adresse valide