Opérez-vous une entreprise dans le secteur privé au Québec? Alors lisez attentivement! L’Assemblée nationale du Québec a introduit un nouveau projet de loi en 2020 qui pourrait affecter votre entreprise. Le Projet de loi n°64 modifie les lois concernant la protection des renseignements personnels, dont la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi »), et change les obligations des entreprises québécoises en la matière.
Dans l’éventualité où ce projet de loi rentre en vigueur, il est essentiel d’en saisir les points importants risquant d’affecter vos obligations en tant qu’entreprise.
Voici donc les 6 points les plus importants du Projet de loi n°64 à retenir pour votre entreprise.
Notez que ce billet de blogue ne constitue pas un avis juridique formel, mais plutôt de l’information juridique. Si vous avez des questions sur le Projet de loi n°64 ou sur les obligations des entreprises en ce qui concerne la protection des renseignements personnels, contactez-nous!
1. Sanctions monétaires pénales et administratives alourdies
L’une des nouveautés les plus controversées introduite par le Projet de loi n°64 est l’alourdissement des sanctions monétaires administratives et pénales pouvant être encourues par les entreprises en cas de violation de leurs obligations en matière de protection des renseignements personnelles.
À l’égard des entreprises, la Commission d’accès à l’information pourra imposer une sanction administrative d’un maximum de 10$ millions CAD. En contrepartie, il sera possible de demander le réexamen d’une telle décision, ou de la contester devant la Cour du Québec.
La Commission d’accès à l’information pourra aussi imposer des sanctions pénales alourdies d’un maximum de 25$ millions CAD, augmentant à chaque répétition d’infraction.
2. Nouvelle gouvernance au sein de l’entreprise
Responsable de la protection des renseignements personnels : Si le Projet de loi n°64 rentre en vigueur, les entreprises devront assigner le rôle de responsable de la protection des renseignements personnels au sein de l’entreprise, qui reviendra par défaut à la personne ayant la plus haute autorité dans l’entreprise, soit le Président Directeur Général (PDG). Le responsable doit assurer le respect de la Loi.
Cette fonction peut être déléguée par écrit. Les coordonnées du responsable doivent être publiés sur le site web de l’entreprise, ou sinon par un autre moyen.
Création et publication de politiques sur la protection des renseignements personnels : Les entreprises devront aussi créer des politiques prévoyant un encadrement applicable à la conservation et à la destruction des renseignements personnels, définir les rôles et responsabilités des membres du personnel tout au long du cycle de vie de ces renseignements, et fournir un processus de traitements de plaintes relatives à ces renseignements.
Ces politiques internes sont différentes des politiques de confidentialité, et doivent être publiées sur le site web de l’entreprise, ou sinon par un autre moyen.
Évaluation obligatoire de facteurs relatifs à la vie privée : Les entreprises seront obligées d’effectuer une évaluation sur les facteurs relatifs à la vie privée d’un projet de système d’information ou d’une prestation électronique impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. Le responsable de la protection des renseignements personnels devra être consulté aux fins de cette évaluation.
Confidentialité par défaut de la technologie utilisée : Les entreprises recueillant des renseignements personnels à travers des moyens technologiques (biens ou services) doivent s’assurer que les paramètres de ces moyens technologiques garantissent le plus haut niveau de confidentialité par défaut, sans aucune intervention de la personne concernée.
Il reste au gouvernement à clarifier ce que signifie le « plus haut niveau de confidentialité ».
3. Utilisation des renseignements personnels et consentement
Sous le Projet de loi n°64, le consentement à la collecte d’informations personnelles sera renforcé. En effet, les renseignements personnels ne pourront être utilisés que pour les raisons spécifiques pour lesquelles ils ont été recueillis ou communiqués à une tierce personne, sauf si la personne concernée consente, de manière expresse ou implicite, à une autre utilisation.
Toutefois, ce consentement devra être donné de façon expresse si l’information est sensible, c’est-à-dire si on s’attendrait raisonnablement à un haut niveau de confidentialité dû à sa nature ou au contexte de son utilisation ou de sa communication.
Pour un mineur de moins de 14 ans, le consentement doit être donné par le titulaire de l’autorité parentale. Pour un mineur de plus de 14 ans, le consentement peut être donné soit par le mineur lui-même, soit par le titulaire de l’autorité parentale.
Exceptions : Dans certains cas, le Projet de loi n°64 permettra la collecte et l’utilisation d’information sans le consentement de l’individu :
- Pour des fins ayant un lien direct et pertinent avec les fins auxquelles le renseignement a été recueilli (autre que la prospection commerciale ou philanthropique) ;
- Si le renseignement est clairement utilisé pour le bénéfice de la personne concernée ;
- Dans le contexte de ventes ou acquisitions d’entreprises (les personnes concernées doivent être informées de la transaction) ;
- Si l’information concerne les coordonnées professionnelles d’une personne travaillant dans l’entreprise (nom, poste, numéro de téléphone professionnel, etc.) ;
- Pour des fins d’études, de recherches ou de production de statistiques, mais seulement si l’information est utilisée de sorte à ce que la personne concernée ne soit pas directement identifiable (ex : omission du nom et du numéro d’assurance sociale) ; et
- Si les renseignements sont communiqués à des fournisseurs de services ou mandataires (« outsourcing »).
4. Obligations de divulgation
Sous le Projet de loi n°64, la collecte d’informations personnelles devra être effectuée pour une raison spécifique (ex : personnalisation des fonctionnalités d’un site web).
De plus, l’entreprise a des obligations de divulgation. Sur demande de la personne auprès de laquelle une entreprise collecte de l’information, l’entreprise devra lui informer :
- Pourquoi et comment l’information est collectée ;
- Les droits de l’entreprise d’accéder et de rectifier l’information ;
- La durée de conservation de l’information ;
- Les coordonnées du responsable de la protection des renseignements personnels ;
- Le droit de la personne concernée de retirer son consentement à la divulgation de l’information ;
- S’il y a lieu, le nom de la tierce personne à laquelle l’information a été divulguée et la possibilité que l’information soit communiquée en dehors du Québec ;
- S’il y a lieu, dans le cas du traitement automatisé de l’information pour prendre une décision sur un individu (ex : évaluation médicale automatisée), l’information utilisée, les raisons et les principaux facteurs menant à la prise de décision, et le droit de la personne concernée de corriger l’information ; et
- S’il y a lieu, le recours à une technologie permettant de l’identifier, de la localiser ou d’effectuer un profilagesur elle (soit la collecte d’information pour évaluer le comportement, la situation économique, intérêts, etc. d’une personne), et les moyens pour désactiver les fonctionnalités de cette technologie.
5. Divulgation en cas d’incident de confidentialité
Sous le Projet de loi no64, lorsqu’une entreprise a un motif de croire qu’un incident de confidentialité se produira, et qu’il y a un risque que cet incident présente un risque de préjudice sérieux à un individu, l’entreprise devra en informer la Commission d’accès à l’information, la personne concernée par l’incident, et toute personne susceptible de diminuer ce risque. Elle doit aussi prendre les mesures raisonnables pour éviter qu’un préjudice ne soit causé.
Un « incident de confidentialité » est l’accès, l’utilisation, ou la communication non autorisée d’un renseignement personnel, ou la perte ou l’atteinte à la protection d’un tel renseignement.
Le « risque préjudice sérieux » est évalué en considérant la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables.
6. Nouveaux droits
Le Projet de loi n°64 prévoit instaurer 4 nouveaux droits bénéficiant aux individus dont les renseignements personnels sont recueillis.
Droit à la portabilité des données : Les individus auront le droit de demander aux entreprises recueillant leurs renseignements personnels de leur fournir ses renseignements personnels de façon électronique dans un format technologique structuré et communément utilisé (ex : par fichier électronique). Une entreprise pourra refuser d’honorer une telle demande seulement si des difficultés pratiques sérieuses seraient soulevées en ce faisant.
En pratique, cela signifie qu’une entreprise transférant des renseignements personnels à une tierce partie ne pourra pas les supprimer.
Droit d’être oublié : Les individus auront le droit de demander aux entreprises recueillant leurs renseignements personnels de cesser de diffuser ou de désindexer tout renseignement personnel causant un préjudice sérieux à la vie privée ou à la réputation de l’individu (ex : le « revenge porn » ou la publication non-autorisée de photos intimes), ou dans les cas de cyber-intimidation.
Droit de soumettre des observations au traitement automatisé : En cas de traitement automatisé de l’information personnelle, les personnes concernées devront avoir l’opportunité de soumettre leurs observations à un membre du personnel de l’entreprise, qui devra réviser la décision automatisée ayant été prise.
°64 (s’il rentre en vigueur) auront un nouveau droit d’action : ils pourront poursuivre en justice les entreprises violant leurs obligations de protection des renseignements personnels et leur causant un préjudice. Ainsi, si le Projet de loi n°64rentre en vigueur, les entreprises seront plus vulnérables aux poursuites en justice.
Si vous avez des questions sur le Projet de loi n°64 ou sur les obligations des entreprises en ce qui concerne la protection des renseignements personnels, contactez-nous!