Fermer X

En vous inscrivant à notre infolettre vous acceptez de recevoir périodiquement des courriels de la part de Dubé Latreille Avocats Inc.

Merci! Nous avons bien reçu votre courriel.

Désolé, une erreur s'est produite. Merci de réessayer plus tard.

Chronique

Bulletin Vos Affaires

Le projet de loi 64 en dix points clés – Nouvelles obligations pour les entreprises

2021-02-03
Droit des affaires
Me Stéphanie David
Me Stéphanie David
Le projet de loi 64 en dix points clés – Nouvelles obligations pour les entreprises

Petite révolution en matière de protection des renseignements personnels des personnes, le projet de loi 64 – Loi modernisant des dispositions législatives en matière de protection des renseignements personnels[1] – a pour objet de renforcer les dispositions du droit de la protection des renseignements personnels dans le secteur privé et public au Québec.

Dubé Latreille Avocats Logo

Issu de la volonté du législateur d’accroître la protection des renseignements personnels des citoyens au vu de l’avènement et du développement croissant de nouvelles technologies permettant de collecter massivement des données, ce projet de loi fait corrélativement peser des nouvelles obligations sur les entreprises. Une analyse à suivre sur www.dubelatreille.ca.

Ainsi, pour les entreprises où les données collectées constituent une forte valeur ajoutée et constituent le cœur de l’activité, celles-ci devront définir prochainement un plan structuré et détaillé sur les étapes à accomplir pour une mise en conformité avec ces nouvelles obligations.

1 - Le responsable de la protection de renseignements personnels[2]

Désormais, la plus haute-autorité dans l’entreprise sera responsable de l’application des exigences de la loi dans l’entreprise, c’est-à-dire de la conformité légale des pratiques dans la collecte, le traitement et la communication des renseignements personnels des citoyens.

En outre, le président d’une entreprise se verra par défaut attribuer ce rôle sauf à désigner une personne qui aura la charge de cette fonction.

Il s’agira là d’une lourde responsabilité puisque le projet de loi instaure des sanctions pécuniaires administratives faramineuses ainsi que des amendes tout aussi élevées en cas de poursuites pénales pour le non-respect des dispositions de la loi.

Une communication du nom de ce responsable devra être faite sur le site internet de l’entreprise ou à défaut par tout autre moyen approprié.

2 - L’obligation d’établir et de mettre en œuvre des politiques et des pratiques encadrant sa gouvernance à l’égard des renseignements personnels[3]

Cette nouvelle obligation du projet de loi va contraindre de nombreuses entreprises à analyser et trier les données collectées au sein de leur structure et à redéfinir leur pratique en la matière. En effet, le projet de loi ne se contente pas d’imposer cette obligation mais il en définit également le contenu minimal. Ainsi, ces politiques et pratiques devront prévoir :

  • L’encadrement applicable à la conservation et à la destruction des renseignements collectés;
  • Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie de ces renseignements;
  • Un processus de traitement des plaintes;

Ainsi ces politiques et pratiques définies devront être approuvées par le nouveau responsable de la protection des renseignements personnels et publiées sur le site Internet de l’entreprise ou par tout autre moyen approprié.

3 - L’évaluation des facteurs relatifs à la vie privée (EFVP)[4]

Désormais avec le projet de loi, tout projet de système d’information ou de prestation électronique de services impliquant des renseignements personnels devront faire l’objet au préalable d’une analyse d’impact de la collecte, de l’utilisation ou de la communication, de la conservation ou de la destruction de renseignements personnels sur la vie privée de la personne concernée.

Cette évaluation sera également requise lors du transfert de renseignements personnels hors du Québec.

Bien entendu, une nouvelle fois, le responsable en la matière devra être consulté dès le début du projet.

4 - Les incidents de confidentialité[5]

Le projet de loi prévoit une déclaration obligatoire auprès de la Commission d’Accès à l’Information de tout incident de confidentialité impliquant un renseignement personnel et présentant un risque sérieux pour la personne concernée par le bris de confidentialité de ses renseignements personnels.

La personne concernée par l’incident doit en principe être également informée.

La notion d’incident de confidentialité inclut l’accès, l’utilisation, la communication d’un renseignement personnel non légalement autorisé ainsi que la perte d’un renseignement personnel ou tout autre atteinte.

L’évaluation du risque de préjudice sérieux doit prendre en considération la sensibilité du renseignement, les conséquences appréhendées de son utilisation ainsi que la probabilité qu’il soit utilisé à des fins préjudiciables.

Les entreprises devront également en cas de suspicion d’incident de sécurité impliquant des renseignements personnels prendre des mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

Enfin, un registre des incidents de confidentialité devra désormais être tenu par les entreprises.

5 - Obligation de transparence dans la collecte des renseignements personnels[6]

Il ressort clairement du projet de loi la volonté du législateur d'obliger les entreprises à être plus transparentes dans la collecte des renseignements personnels.

Ainsi, lors de la collecte des renseignements personnels, l'entreprise devra indiquer à la personne concernée : les fins de la collecte, les moyens utilisés, les droits d'accès et de rectification prévus par la loi, le droit de la personne de retirer son consentement à l'utilisation ou la communication de ses renseignements personnels, le cas échéant le nom du tiers pour qui la collecte est effectuée et la possibilité que ces renseignements personnels soient communiqués à l'extérieur du Québec.

Ces renseignements devront être transmis en termes simples et clairs quel que soit le moyen utilisé pour les recueillir. Les entreprises devront alors revoir le libellé de leur formulaire de collecte et renvoyer les personnes concernées vers une politique de confidentialité délivrant ces informations.

A noter également que sur demande, la personne concernée aura accès à d'autres informations comme la durée de conservation de ses renseignements, la véritable source de la collecte, etc...

6 - Obligation d’information : outil de localisation et de profilage[7]

Une entreprise qui recueille des renseignements personnels au moyen d'une technologie permettant d'identifier, de localiser ou d'effectuer un profilage de la personne concernée devra, avant la collecte, informer la personne du recours à un tel outil et des moyens offerts pour désactiver les fonctions permettant l’identification, la localisation ou le profilage.

Le profilage est défini dans la loi et désigne la collecte et l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, etc...

Les entreprises qui utilisent ces technologies ( témoins, balises ...) devront également publier sur leur site Internet et diffuser, par tout moyen propre à atteindre les personnes concernées, une politique de confidentialité rédigée en termes simples et clairs et aviser les utilisateurs de leur site Internet de toute modification à cette politique.

7 - Protection de la vie privée dès la conception[8]

Les entreprises qui recueillent des renseignements personnels en offrant un bien ou un service technologique devront s’assurer que, par défaut, les paramètres de ce produit ou de ce service assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.

Cette nouvelle obligation permettrait d’assurer dès la première étape d’un processus une protection de la vie privée de la personne concernée par la collecte de données sans que cette dernière n’intervienne activement dans la modification de certains paramètres pour s’assurer d’une protection adéquate de ses renseignements personnels.

8 - Le consentement de la personne concernée par la collecte[9]

Dès lors qu'une entreprise collectera des renseignements personnels, elle devra s'assurer que la personne concernée a bien donné son consentement dans les conditions suivantes :

  • le consentement devra être manifeste, libre et éclairé et donné pour les fins de la collecte spécifiée;
  • le consentement devra être demandé en termes simples et clairs en dehors de toute autre information;
  • le consentement devra être manifesté de façon expresse lorsqu'il s'agit d'un renseignement personnel sensible;
  • le consentement sera donné pour la durée de la réalisation de la finalité et ne pourra être utilisé qu’au sein de l’entreprise sauf exceptions prévues par la loi pour la communication à des tiers;
  • la collecte des renseignements personnels d'un mineur de - de 14 ans devra être autorisée par le titulaire de l’autorité parentale, sauf lorsque cette collecte est manifestement au bénéfice de ce mineur.

La loi prévoit néanmoins des utilisations secondaires qui ne nécessiteront pas le consentement de la personne concernée notamment pour une utilisation manifestement au bénéfice de celle-ci.

9 - Transfert hors Québec – nouvelles exigences[10]

L’entreprise, avant de transférer des renseignements à l’extérieur du Québec y compris à des fins d’impartition (vers un fournisseur de services), devra procéder à une évaluation des facteurs relatifs à la vie privée.

La communication pourra s’effectuer si cette évaluation démontre que les renseignements bénéficieront d’un régime de protection équivalant au Québec et devra faire l’objet d’une entente écrite avec le tiers qui déterminera les modalités du transfert en prenant en considération les risques identifiés.

L’évaluation devra tenir compte de la sensibilité du renseignement, la finalité de son utilisation, les mesures de protection dont le renseignement bénéficierait et le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment son degré d’équivalence par rapport aux principes de protection des renseignements personnels applicables au Québec.

Le gouvernement publiera une liste d'États dont le régime de protection équivaut à celui du Québec.

En l'état actuel du projet, les transferts vers les autres provinces du Canada seront soumis à cette procédure y compris les transferts vers des fournisseurs de services.

10 - Des nouveaux droits pour les personnes – versus de nouvelles obligations pour les entreprises[11]

Cette loi dont l’objet est de renforcer les dispositions du droit de la protection des renseignements personnels créée également de nouveaux droits pour les citoyens qui conséquemment font peser de nouvelles obligations sur les entreprises.

Voici donc ci-après une liste des principaux nouveaux droits :

  • Droit à l’information et à la rectification des décisions fondées sur un traitement automatisé;
  • Droit à l’effacement - destruction ou anonymisation;
  • Droit à la portabilité des données;
  • Droit de rectification;
  • Droit à l’oubli;

Ces droits feront l’objet d’une étude approfondie dans un bulletin ultérieur.

Les enjeux de conformité sont d’importance pour les entreprises compte-tenu des nouveaux pouvoirs reconnus à l’organisme provincial chargé de l’application de la loi, la Commission d’Accès à l’Information, et notamment du pouvoir d’imposer des sanctions administratives pécuniaires et des sanctions pénales.

Comme ce projet de loi devrait être adopté sous peu puisqu’il fait partie des priorités gouvernementales en matière législative, Il serait donc souhaitable que les entreprises en tiennent compte (avant d’investir ou amorcer tout changement dans leurs systèmes d’information) et qu’elles élaborent sans délai un échéancier pour intégrer ces nouvelles normes.

Dubé Latreille Avocats est là pour vous aider à anticiper les mises en conformités à venir.
Dubé Latreille Avocats Logo

1 - Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels - Assemblée nationale du Québec (assnat.qc.ca)

2 - Articles 3.1, 3.4, 3.5 et 3.7 de la loi sur la protection des renseignements personnels modifiée

3 - Article 3.2 de la loi sur la protection des renseignements personnels modifiée

4 - Article 3.3 de la loi sur la protection des renseignements personnels modifiée

5 - Articles 3.5 à 3.8 de la loi sur la protection des renseignements personnels modifiée

6 - Articles 7 et 8 de la loi sur la protection des renseignements personnels modifiée

7 - Article 8.1 et 8.2 de la loi sur la protection des renseignements personnels modifiée

8 - Article 9.1 de la loi sur la protection des renseignements personnels modifiée

9 - Articles 12, 13 et 14 de la loi sur la protection des renseignements personnels modifiée

10 - Articles 17 et 17.1 de la loi sur la protection des renseignements personnels modifiée

11 - Articles 12.1, 23, 27, 28 et 28.1 de la loi sur la protection des renseignements personnels modifiée

Notre équipe est disponible pour vous aider et répondre à vos questions.
N’hésitez pas à nous contacter !

Notre Infolettre

Joignez-vous à notre infolettre et demeurez à l'affût de nos nouvelles, nos événements et nos chroniques.

Je désire m'inscrire