Adoption du projet de loi no 64 : modernisation du régime de protection de la vie privée

Adoption du projet de loi no 64 : modernisation du régime de protection de la vie privée

Le 21 septembre, l’Assemblée nationale du Québec a adopté à l’unanimité le projet de loi n^o 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, qui a été sanctionné le jour suivant.

Ce faisant, le Québec a fait une refonte en profondeur de ses régimes de protection de la vie privée dans les secteurs privé et public, en adaptant mieux son cadre législatif de protection des renseignements personnels à la réalité d’aujourd’hui et en se mettant au diapason du droit international en la matière. Dans le présent bulletin, nous ne traitons que des modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé (la Loi) en vigueur depuis 1994 et dont les dernières modifications importantes remontent à 2006. Nous présentons également les principaux amendements apportés au projet de loi n^o 64 au cours de l’étude en commission parlementaire depuis le dépôt initial du projet de loi en juin 2020.

Les amendements ajoutent de nouvelles obligations aux entreprises en activité au Québec, corrigent plusieurs lacunes de la version précédente de la Loi et ajoutent des mécanismes d’application rigoureux. Bon nombre des nouvelles obligations reflètent les dispositions relatives à la protection de la vie privée déjà en vigueur presque partout au Canada, soit en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE), soit conformément aux recommandations formulées par le Commissariat à la protection de la vie privée du Canada. Cependant, les modifications à la Loi sont soutenues par des mesures de mise en œuvre rigoureuses, plutôt que par de simples recommandations fermes comme c’est le cas pour la LPRPDE.

Les nouvelles exigences imposées au secteur privé entreront en vigueur en trois phases au cours des trois prochaines années. L’obligation de désigner un responsable de la protection de la vie privée et les exigences en matière de notification des violations entreront en vigueur le 22 septembre 2022; la majorité des nouvelles exigences, le 22 septembre 2023; enfin, le droit à la portabilité des données, le 22 septembre 2024.

1.      Nouvelles obligations à partir de 2022

Désignation d’un responsable de la protection de la vie privée

Les entreprises sont désormais tenues de nommer une personne chargée de la protection des renseignements personnels (un responsable de la protection de la vie privée). Plus précisément, le responsable de la protection de la vie privée doit veiller à ce que l’entreprise se conforme aux obligations imposées par la Loi, à satisfaire aux demandes d’accès à l’information et de rectification des renseignements personnels et à répondre aux questions ou plaintes concernant le traitement des renseignements personnels. Par défaut, cette obligation incombe à la personne exerçant la plus haute autorité dans l’entreprise (par exemple, le PDG), mais elle peut être déléguée par écrit, en tout ou en partie, à toute personne (à l’interne ou à l’externe). Selon le libellé original du projet de loi n^o 64, cette obligation ne pouvait être déléguée qu’à l’interne (par exemple, à un membre du personnel), mais cette restriction a été amendée en commission parlementaire, ce qui permet aux entreprises de confier cette responsabilité à un conseiller professionnel externe. Le titre et les coordonnées du responsable de la protection de la vie privée doivent être affichés sur le site Web de l’entreprise.[1]

Signalement des atteintes à la protection des renseignements personnels

Dès qu’une entreprise a des raisons de croire qu’un incident affectant la confidentialité de renseignements personnels dont elle a la garde s’est produit, elle doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que des incidents de même nature ne se répètent. Un « incident de confidentialité » s’entend de l’utilisation ou de la communication de renseignements personnels ou de leur accès non autorisés par la Loi, ainsi que de la perte de tels renseignements ou de tout manquement à leur protection. Par comparaison, cette définition plus stricte élargit la portée de ce qui constitue un incident de confidentialité pour inclure l’utilisation non autorisée des renseignements personnels, ce qui va au-delà des exigences en matière de notification de la violation de la confidentialité des données à caractère personnel des autres lois canadiennes.

En cas de risque de préjudice sérieux, l’entreprise doit aviser la Commission d’accès à l’information (la CAI) avec diligence, ainsi que la personne dont les renseignements personnels sont compromis. L’entreprise peut également – sans devoir obtenir le consentement de la personne concernée – informer tout tiers susceptible de réduire le risque de préjudice (par exemple, les institutions financières) en ne divulguant que les renseignements personnels nécessaires, sauf si cela risque d’entraver une enquête policière ou réglementaire. Le seuil de signalement d’un « risque qu’un préjudice sérieux soit causé » semble correspondre à celui du « risque réel de préjudice grave » prévu à la LPRPDE, en ce sens que l’entreprise doit tenir compte de la sensibilité des renseignements concernés, des conséquences appréhendées de leur utilisation et de la probabilité qu’ils soient utilisés à des fins préjudiciables. Chaque incident de confidentialité doit être consigné par l’entreprise dans un registre à cette fin, qui doit être fourni à la CAI, à sa demande.[2]

Lorsque les nouvelles modalités d’application entreront en vigueur fin 2023, la CAI pourra ordonner à toute personne impliquée dans un incident de confidentialité de prendre des mesures pour protéger les droits des personnes concernées, pour la durée et aux conditions que la CAI détermine. Plus spécialement, la CAI peut ordonner que les renseignements personnels visés soient retournés à une entreprise (par exemple, au responsable du traitement des données ou à l’entreprise victime de l’atteinte) ou détruits.[3]

Transactions commerciales 

Les renseignements personnels nécessaires à la conclusion d’une transaction commerciale (comme une fusion-acquisition ou une opération de financement) peuvent être communiqués à une autre partie à la transaction sans le consentement des personnes concernées. Les parties doivent conclure un accord préalable à la communication, stipulant que la partie destinataire s’engage à (i) utiliser les renseignements uniquement pour la conclusion de la transaction commerciale; (ii) ne pas communiquer les renseignements sans le consentement de la personne concernée; (iii) prendre les mesures nécessaires pour protéger la confidentialité des renseignements; (iv) détruire les renseignements si la transaction commerciale n’est pas conclue, ou si l’utilisation des renseignements n’est plus nécessaire à la conclusion de la transaction en question. Une fois la transaction commerciale conclue, la partie destinataire ne peut continuer à utiliser ou à communiquer les renseignements personnels que dans le respect de la Loi, et doit informer les personnes concernées dans un délai raisonnable qu’elle détient désormais des renseignements personnels les concernant en lien avec la transaction. Cette modification rend l’approche de la Loi, en ce qui concerne les transactions commerciales, conforme à la LPRPDE, à la Personal Information Protection Act de l’Alberta (la PIPA de l’Alberta) et à la Personal Information Protection Act de la Colombie-Britannique (la PIPA de la C.-B.).[4]

Étude, recherche ou statistiques 

Les entreprises qui souhaitent recevoir des renseignements personnels à des fins d’étude, de recherche ou de production de statistiques ne seront plus tenues d’obtenir l’autorisation de la CAI ou le consentement préalable des personnes concernées. En vertu de la Loi refondue, les entreprises peuvent communiquer des renseignements personnels sans consentement préalable à une personne ou à un organisme qui a l’intention de les utiliser à ces fins, à condition pour l’entreprise de procéder à l’évaluation des facteurs de protection de la vie privée et d’en arriver aux conclusions suivantes : (i) l’objectif de l’étude, de la recherche ou de la production de statistiques peut être atteint seulement si les renseignements sont communiqués sous une forme permettant d’identifier les personnes concernées; (ii) il n’est pas raisonnable d’exiger que la personne ou l’organisme obtienne le consentement des personnes concernées; (iii) l’objectif de l’étude, de la recherche ou de la production de statistiques l’emporte, compte tenu de l’intérêt public, sur l’incidence de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées; (iv) les renseignements personnels sont utilisés de manière à assurer la confidentialité; (v) seuls les renseignements nécessaires sont communiqués. De plus, les entreprises qui partagent les renseignements personnels doivent d’abord conclure une entente contenant les renseignements prescrits pour assurer la protection des renseignements personnels visés, qui doit être envoyée à la CAI un mois avant le partage des renseignements.[5]

2.       Nouvelles obligations à partir de 2023 

Cadre de protection de la vie privée

Les entreprises devront établir et mettre en œuvre un cadre de protection de la vie privée comprenant des politiques et des pratiques proportionnelles à la nature et à l’étendue de leurs activités, afin de garantir la protection des renseignements personnels. Ces politiques devront notamment prévoir des mesures concernant la protection et la destruction des renseignements personnels, les rôles et responsabilités des membres du personnel tout au long du cycle de vie des renseignements et la mise en place d’un processus de traitement des plaintes. Le cadre de protection de la vie privée doit être approuvé par le responsable de la protection de la vie privée. Elles devront, en outre, publier sur leurs sites Web, dans un langage clair et simple, de l’information détaillée sur ces politiques et pratiques.[6]

Transparence

En vertu de la Loi refondue, les personnes bénéficient d’une transparence beaucoup plus grande quant à la manière dont leurs renseignements personnels sont traités. De fait, les entreprises ont de nombreuses obligations de divulgation, notamment en ce qui concerne : (i) les fins auxquelles les renseignements personnels sont recueillis; (ii) les moyens employés pour les recueillir; (iii) les droits d’accès aux renseignements et de rectification; (iv) le droit de la personne de retirer son consentement à la communication ou à l’utilisation des renseignements; (v) la possibilité ou non que les renseignements soient communiqués à l’extérieur du Québec; (vi) le nom des tiers ou des catégories de tiers auxquels il est nécessaire de communiquer les renseignements aux fins énoncées. Ce dernier élément, qui a été ajouté lors de l’étude en commission parlementaire du projet de loi n^o 64, est celui qui est susceptible de donner le plus de fil à retordre aux entreprises, car les catégories de tiers chargés du traitement des données ou leur identité ne sont pas toujours connues au moment de la collecte initiale des renseignements personnels.[7]

En outre, toutes les entreprises qui recueillent des renseignements personnels par des moyens technologiques devront désormais publier une politique de confidentialité rédigée en langage clair et simple sur leur site Web et la divulguer par un moyen approprié permettant de rejoindre les personnes concernées. Cela inclut les technologies dont les fonctions permettent d’identifier ou de localiser les personnes, ou d’en établir le profil, comme l’utilisation de certains témoins ou de technologies de ciblage. Les entreprises doivent informer au préalable leurs utilisateurs qu’elles utilisent de telles technologies et leur donner des instructions sur la manière d’activer les fonctions qui permettent de les identifier, de les localiser ou d’en établir le profil. Les entreprises devront également les informer de toute modification à cette politique.

Notez que le terme « technologie » dans ce contexte englobe les appareils et les applications mobiles, ainsi que les services reposant sur des paramètres propres à l’individu, tels que les moteurs de recherche de recommandations (par exemple, les services d’informations en continu). Il serait prudent, dans le cadre de tous ces services, de rendre la politique de confidentialité (et ses modifications) disponible non seulement sur le site Web de l’entreprise, mais aussi dans l’application ou par courriel.[8]

Au cours de l’étude en commission parlementaire, le libellé du projet de loi n^o 64 a été modifié, passant des instructions sur la manière de « désactiver » les fonctions permettant d’identifier ou de localiser des personnes, ou d’en établir le profil, à des instructions sur la manière de les « activer », ce qui signifie que ces fonctions doivent être désactivées par défaut. Cette obligation peut constituer une charge importante pour les entreprises, en particulier lorsque ces fonctions sont essentielles à l’utilisation prévue d’un produit ou d’un service.

Évaluations des facteurs relatifs à la vie privée 

S’inspirant du règlement de l’UE n^o 2016/679, intitulé Règlement général sur la protection des données (le RGPD), la Loi oblige les entreprises à évaluer l’incidence de tout projet d’acquisition, de développement et de refonte de systèmes d’information ou de prestation de services électroniques impliquant des renseignements personnels, en regard des facteurs de protection de la vie privée, et à intégrer des mesures de protection de la vie privée dès l’étape de conception. Ces mesures comprennent l’obligation de consulter le responsable de la protection de la vie privée dès le début du projet. Le responsable de la protection de la vie privée peut, à n’importe quel stade du projet, suggérer la mise en place de mesures de protection (par exemple, la nomination d’un responsable de la protection de la vie privée pour un projet donné, une formation sur la protection de la vie privée ou des mesures de protection des renseignements personnels). En plus de limiter les évaluations de l’incidence des projets en regard des facteurs de protection de la vie privée à l’« acquisition, au développement et à la refonte » des systèmes, le libellé du projet de loi no 64 a également été amendé pour exiger qu’elles soient proportionnées à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.[9]

Le respect de la vie privée par défaut 

La Loi prévoit maintenant que le « plus haut niveau de confidentialité » doit être assuré « par défaut » (c’est-à-dire d’assurer le respect de la vie privée par défaut), en exigeant que les paramètres ayant trait à la confidentialité associés à un produit ou à un service technologique destiné au public soient fixés au plus haut niveau de confidentialité par défaut (c’est-à-dire sans intervention de l’utilisateur). Cette disposition reflète le récent débat sur la nécessité d’établir par défaut des paramètres de confidentialité plus stricts dans les médias sociaux et autres services en ligne. Une obligation similaire de respect de la vie privée par défaut existe dans le RGPD. Notons que les termes employés à l’origine dans le cadre du projet de loi n^o 64 ont été amendés en commission afin de restreindre l’exigence de confidentialité par défaut : (i) aux produits et services offerts au public, par opposition aux technologies internes des entreprises; (ii) aux produits et services pourvus de paramètres de confidentialité; (iii) à l’exclusion des témoins, puisque ceux-ci n’ont pas de paramètres de confidentialité personnalisables.[10]

Consentement 

Il existe plusieurs nouvelles règles concernant le consentement. Il est important de noter que lorsqu’une entreprise remplit ses obligations de divulgation au moment de la collecte des renseignements personnels, la fourniture de ces renseignements est considérée comme un consentement à leur utilisation et à leur communication aux fins précisées dans l’énoncé de divulgation. Lorsqu’une demande de consentement est nécessaire pour en assurer la validité, par exemple lorsqu’il s’agit de renseignements personnels sensibles, la Loi refondue exige que la demande soit formulée en termes simples et clairs et, si elle est faite par écrit, qu’elle soit présentée indépendamment de toute autre information communiquée à la personne.

En outre, la Loi refondue établit que le consentement doit être « manifeste, libre et éclairé et être donné à des fins spécifiques ». Elle le redéfinit légèrement dans la version anglaise en remplaçant « enlightened » par « informed » pour traduire « éclairé ».[11] Cela est conforme aux lignes directrices du Commissariat à la protection de la vie privée du Canada pour l’obtention d’un « consentement valable » et, dans une plus large mesure, est formulé de manière très semblable à la définition du consentement en vertu du RGPD : « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée [manifeste son accord] par une déclaration ou par un acte positif clair […]. »[12]

En outre, les renseignements personnels recueillis peuvent être utilisés au sein de l’entreprise uniquement aux fins pour lesquelles ils ont été recueillis initialement. Si des cas d’utilisations autres se présentent, à l’exception des cas énumérés ci-dessous, il faut obtenir un consentement supplémentaire de la personne concernée.[13]

Il sera possible d’utiliser les renseignements personnels pour une autre finalité sans le consentement de la personne concernée pourvu que (i) la finalité soit compatible avec celle pour laquelle ils ont été recueillis (cela signifie qu’il doit y avoir un lien direct et pertinent avec la finalité initiale; cependant, la prospection commerciale ou philanthropique n’est pas considérée comme une finalité compatible); (ii) que l’utilisation des renseignements soit manifestement dans l’intérêt de la personne concernée; (iii) qu’elle soit nécessaire à la prévention et à la détection de la fraude ou à l’évaluation et à l’amélioration des mesures de protection et de sécurité; (iv) qu’elle soit nécessaire à la fourniture ou à la livraison d’un produit ou à la prestation d’un service demandé par la personne concernée; ou (v) qu’elle soit nécessaire à des fins d’étude ou de recherche, ou pour la production de statistiques, lorsque les renseignements sont dépersonnalisés (c’est-à-dire lorsqu’ils ne permettent plus d’identifier directement la personne concernée). Les exceptions (iii) et (iv) ci-dessus ont été ajoutées à l’issue de l’étude en commission parlementaire. Contrairement à l’élargissement des exceptions au consentement, la Loi refondue supprime le droit explicite que l’entreprise avait de divulguer à des tiers des listes nominatives (c’est-à-dire des listes de contacts) sans le consentement des personnes concernées.[14]

Comme indiqué ci-dessus, la Loi refondue exige que le consentement soit expressément donné lorsque des renseignements personnels sensibles sont visés, conformément aux orientations réglementaires en la matière. Les renseignements personnels sensibles sont des renseignements qui, en raison de leur nature ou du contexte de leur utilisation ou de leur communication, entraînent un niveau élevé d’attente raisonnable quant au respect de la vie privée, ce qui comprend les renseignements médicaux, biométriques ou autrement intimes.[15]

Enfin, lorsque la collecte, l’utilisation ou la communication de renseignements concerne des mineurs de moins de 14 ans, le consentement d’une personne titulaire de l’autorité parentale est requis, sauf si la collecte des renseignements est manifestement dans l’intérêt du mineur. Le consentement d’un mineur de 14 ans et plus peut être donné par le mineur ou par une personne ayant l’autorité parentale.[16]

Prise de décisions touchant les personnes concernées

La Loi refondue introduit une nouvelle obligation de conservation, en exigeant que tout renseignement personnel utilisé pour prendre une décision touchant la personne concernée soit conservé pendant au moins un an après la décision.[17]

Lorsqu’une décision découle exclusivement du traitement automatisé de renseignements personnels recueillis, la Loi refondue ajoute une nouvelle obligation de divulgation pour promouvoir la transparence. Les technologies sont de plus en plus programmées pour rendre des décisions à partir de renseignements personnels (par exemple, prise de décision basée sur l’IA). Lorsqu’une telle décision est prise, l’entreprise est tenue d’informer la personne concernée que la décision repose entièrement sur le traitement automatisé de renseignements personnels et de mettre à sa disposition, à sa demande, de l’information supplémentaire concernant le processus décisionnel, soit les raisons et les paramètres ayant conduit à la décision.[18]

Cette exigence de transparence semble découler du RGPD sans aller aussi loin : ce dernier permet à la personne concernée de se soustraire, dans certains cas, aux décisions prises exclusivement par traitement automatisé.

Communication de renseignements à l’extérieur du Québec

L’une des modifications les plus ambitieuses est l’exigence que la communication transfrontalière de renseignements personnels soit précédée d’une évaluation informelle des facteurs de protection de la vie privée, comme : (i) la sensibilité des renseignements; (ii) les fins auxquelles ils seront utilisés; (iii) les mesures de protection (y compris contractuelles) qui leur seraient appliquées; (iv) le cadre juridique applicable à l’endroit où les renseignements seraient communiqués, y compris les principes de protection des données applicables à cet endroit. Cette exigence s’appliquerait au traitement des renseignements à l’extérieur du Québec, y compris au stockage et à l’hébergement.[19]

Même si le projet de loi n^o 64 a été déposé avant la décision historique de la Cour de justice de l’Union européenne concernant les transmissions transfrontalières dans l’affaire connue sous le titre de Schrems II (C-3111/18), en juillet 2020, on peut faire un parallèle entre l’évaluation au cas par cas requise par la Loi et l’évaluation au cas par cas requise par le RGPD pour la transmission transfrontalière de données vers ou depuis l’Europe en vertu de clauses contractuelles types. Alors que le projet de loi n^o 64 prévoyait à l’origine l’évaluation systématique des régimes juridiques des pays étrangers afin de déterminer le « degré d’équivalence » par rapport aux principes de protection des renseignements personnels applicables au Québec dans le contexte des flux transfrontaliers de données, l’équivalence a été abandonnée au cours de l’étude en commission parlementaire en faveur de l’évaluation de la protection adéquate des renseignements communiqués au regard des principes de protection des renseignements personnels généralement reconnus.  Néanmoins, une entreprise doit procéder à une évaluation informelle des facteurs de protection de la vie privée pour toute communication de renseignements personnels à l’extérieur du Québec, quel que soit le lieu de destination.

Coordonnées professionnelles

La Loi a été modifiée pour étendre l’exception relative aux renseignements à caractère public (à laquelle les sections II « Collecte de renseignements personnels » et III « Caractère confidentiel des renseignements personnels » de la Loi ne s’appliquent pas) afin d’exempter également les coordonnées professionnelles. Celles-ci désignent l’information relative à l’exercice des fonctions professionnelles d’une personne au sein d’une entreprise, telles que son nom, son titre et ses fonctions, ainsi que l’adresse physique, l’adresse électronique et le numéro de téléphone de son lieu de travail. Par conséquent, les coordonnées professionnelles seront exemptées des exigences relatives à la collecte et au traitement des renseignements personnels, comme c’est actuellement le cas en vertu de la LPRPDE, de la PIPA de l’Alberta et de la PIPA de la Colombie-Britannique.[20]

Communications dans l’exercice de fonctions ou l’exécution d’un mandat ou d’un contrat

Il sera désormais possible de communiquer des renseignements personnels à un tiers (par exemple, un prestataire de services) sans devoir obtenir un consentement supplémentaire de la personne concernée, dans la mesure où ces renseignements sont nécessaires à l’exécution d’un mandat ou d’un contrat d’entreprise ou de services. Cependant, la Loi refondue crée de nouvelles obligations, comme la nécessité de préciser contractuellement les mesures de protection, les limites d’utilisation et les limites de conservation des renseignements personnels, ainsi que celle pour le tiers de déclarer les incidents de confidentialité et de permettre l’audit des mesures de protection. Notons que ces exigences ne s’appliquent pas lorsque le mandataire ou la personne qui exécute le contrat est un organisme public.[21]

Droit au déréférencement

Les particuliers auront également le droit d’exiger que cesse la diffusion d’un renseignement personnel, y compris par référencement, à certaines conditions. Dans un monde connecté par les moteurs de recherche, cela équivaut au droit à l’oubli et semble s’inspirer d’un droit similaire prévu au RGPD.[22]

Données anonymisées 

La capacité de conserver les données, sous une forme ou une autre, une fois que la période de conservation applicable en vertu des lois sur la protection des renseignements personnels prend fin, revêt une grande importance pour de nombreuses entreprises. Les modifications de la Loi fournissent quelques indications à cet égard. Après l’atteinte des objectifs pour lesquels les renseignements personnels ont été recueillis ou utilisés, l’entreprise doit généralement les détruire ou les anonymiser pour pouvoir les utiliser encore dans un but sérieux et légitime. Les renseignements sont réputés « anonymes » à partir du moment où on peut raisonnablement s’attendre, compte tenu des circonstances, à ce qu’ils ne permettent plus d’identifier la personne concernée, directement ou indirectement, et ce de manière irréversible. De plus, le processus d’anonymisation doit être conforme aux meilleures pratiques généralement reconnues ainsi qu’aux critères et procédures prescrits par la réglementation (qui n’a pas encore été mise en place).[23]

3.       Nouvelles obligations à partir de 2024 

Droit à la portabilité des données 

En plus d’un droit d’accès, les personnes auront un droit à la portabilité des données, semblable à ce qui est prévu par le RGPD. La Loi prévoit qu’une personne peut demander que ses renseignements personnels soient communiqués ou transférés à la personne ou à une entreprise tierce dans un format structuré et couramment utilisé. Ce droit est limité à deux égards : (i) il ne couvre pas les renseignements créés ou dérivés des renseignements personnels recueillis, et (ii) il ne s’étend pas aux cas qui soulèvent de sérieuses difficultés pratiques. La première limitation, qui a été introduite lors de l’étude en commission parlementaire, permet aux entreprises de ne retourner que les renseignements personnels recueillis auprès de la personne, sans devoir partager les données exclusives.[24]

4.        Mise en œuvre

De nouveaux mécanismes d’enquête et de nouvelles modalités d’application seront mis en œuvre : (i) des procédures de plainte et d’enquête modifiées; (ii) des sanctions administratives pécuniaires (les SAP); (iii) des infractions pénales assorties d’amendes importantes; et (iv) un droit d’action en dommages-intérêts. La mise en œuvre se fera principalement à partir de septembre 2023, bien que certaines des nouvelles procédures de plainte et d’enquête entreront en vigueur dès septembre 2022.

Alors qu’actuellement, les plaintes ne peuvent être déposées que par les parties intéressées, la CAI pourra bientôt faire enquête sur des plaintes anonymes.[25] En outre, de nouvelles dispositions visent à protéger les lanceurs d’alerte qui déposent une plainte de bonne foi auprès de la CAI ou qui coopèrent à une enquête, en interdisant que les plaignants actuels ou potentiels soient la cible de représailles et de menaces de représailles.[26]

Dans le cadre de ses nouveaux pouvoirs de surveillance en regard de la Loi, la CAI pourra imposer directement des sanctions administratives pécuniaires (les SAP) pour certaines violations. Ces sanctions administratives pécuniaires peuvent atteindre le plus élevé des montants suivants : 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’entreprise de l’exercice précédent. Les types de violations qui peuvent donner lieu à une sanction administrative pécuniaire comprennent les cas où une entreprise : (i) ne respecte pas ses obligations de transparence au moment de la collecte des renseignements personnels; (ii) recueille, utilise, communique, détient ou détruit des renseignements personnels en violation de la Loi; (iii) ne signale pas un incident de confidentialité à la CAI ou aux personnes concernées, lorsqu’elle y est tenue; (iv) ne met pas en œuvre les mesures de protection appropriées; ou (v) n’informe pas correctement la personne concernée d’une décision fondée exclusivement sur un processus automatisé ou ne lui permet pas de soumettre des commentaires au soutien de la révision de la décision.[27]

La CAI deviendra le premier organisme canadien de réglementation de la protection des renseignements personnels doté du pouvoir d’imposer des sanctions administratives pécuniaires en cas de non-respect des lois sur la protection de la vie privée. Cependant, contrairement aux dispositions pénales, les SAP ne sont pas destinées à être punitives, mais plutôt à forcer le respect de la Loi. Dans le même ordre d’idées, depuis que le projet de loi n^o 64 a été proposé à l’origine, son libellé a été amendé pour permettre aux entreprises qui pourraient par ailleurs être assujetties à une SAP de l’éviter en concluant un engagement de conformité avec la CAI dans lequel elle s’engage à prendre les mesures nécessaires pour remédier à la contravention ou en atténuer les conséquences.[28] La CAI établira et publiera un encadrement général qui précisera les modalités d’application du régime de SAP, y compris les critères à utiliser pour déterminer le montant de la pénalité. Peut-être en réponse aux critiques concernant l’approche de type modèle unique du régime de sanctions proposé à l’origine, ses critères ont été modifiés pour prendre en compte la capacité de paiement de l’entreprise en défaut, notamment au regard de ses actifs, de ses ventes ou de ses revenus.

Les entreprises qui enfreignent la Loi risquent désormais aussi de se voir infliger une amende allant de 15 000 $ à

25 000 000 $ ou de 4 % de leur chiffre d’affaires mondial de l’exercice précédent, selon le montant le plus élevé. Ces montants sont doublés en cas de récidive. Outre les nombreuses situations pouvant donner lieu à une SAP, celles où une entreprise est réputée avoir commis une infraction, et serait donc mise à l’amende, sont les suivantes :

(i) l’entreprise identifie ou tente d’identifier une personne physique à partir de renseignements dépersonnalisés sans l’autorisation de la personne qui les détient ou à partir de renseignements anonymisés; (ii) elle entrave le déroulement d’une enquête ou d’une inspection de la CAI; (iii) elle contrevient aux mesures de protection des sonneurs d’alerte; (iv) elle refuse ou néglige de se conformer, dans le délai imparti, à une demande de production de renseignements de la CAI; (v) elle ne se conforme pas à une ordonnance de la CAI.[29]

Les dispositions pénales sont généralement réservées aux violations flagrantes ou aux récidivistes et l’entreprise fautive pourrait techniquement faire l’objet à la fois d’une SAP et d’une amende en vertu du droit pénal. Les dispositions pénales refondues sont loin de la peine maximale actuelle de 10 000 $ pour la première infraction à la Loi, ou des 50 000 $ pour la communication de renseignements à l’extérieur du Québec en violation de la Loi, et ressemblent plutôt aux sanctions imposées en vertu du RGPD.

Pour les personnes physiques, les administrateurs, les dirigeants ou les représentants d’un organisme qui sont responsables d’infractions résultant du fait d’autrui, que ce soit en ordonnant ou en autorisant l’acte ou l’omission en question, ou en y consentant, la peine maximale en vigueur sera multipliée par dix, passant de

10 000 $ pour la plupart des infractions initiales en vertu du régime existant à 100 000 $ sous le nouveau régime. Le nouveau montant maximal a été doublé lors de l’étude en commission parlementaire du projet de loi n^o 64, ce qui indique que le législateur a l’intention de veiller à ce que le respect de la vie privée soit pris au sérieux aux échelons supérieurs des organisations.

En dernier lieu, la Loi accordera désormais un droit d’action en dommages-intérêts pour atteinte illicite au droit à la vie privée conférée par la Loi ou par les articles 35 à 40 du Code civil du Québec (le Code civil). Lorsqu’une telle infraction est intentionnelle ou résulte d’une négligence grave, la victime aurait droit à des dommages-intérêts punitifs d’au moins 1 000 $. Au cours de l’étude en commission parlementaire du projet de loi n^o 64, les formulations associées à ce droit d’action ont été revues, ajoutant un doute quant à savoir si le droit d’action s’étend à l’atteinte générale aux droits à la vie privée d’une personne en vertu de la Loi ou du Code civil, ou seulement aux cas où l’atteinte est intentionnelle ou résulte d’une négligence grossière. Nous devrons attendre de voir dans quelle mesure les tribunaux seront disposés à accueillir un tel droit. Quoi qu’il en soit, le droit d’action en dommages-intérêts contribuera sans aucun doute à l’augmentation du nombre d’actions collectives liées aux atteintes à la vie privée.[30]

5.       Conclusion 

La révision de la loi québécoise sur la protection des renseignements personnels était attendue depuis longtemps. Cette refonte fera sans doute du régime de protection de la vie privée du Québec le régime le plus strict de ce côté-ci de l’Atlantique. En plus de mieux harmoniser la législation de la province avec d’autres lois canadiennes (p. ex., la LPRPDE), les modifications arriment davantage les lois québécoises sur la protection des renseignements personnels dans le secteur privé aux normes internationales de protection des données à caractère personnel (p. ex., le RGPD).

En juin 2014, le G29 ou « Groupe de travail “Article 29” sur la protection des données » a présenté un avis à la Commission européenne, selon lequel la législation québécoise n’offrait pas un degré de protection des renseignements personnels « adéquat », au regard des normes européennes, aux fins des transmissions transfrontalières de tels renseignements entre le Québec et l’Europe. Bien que le degré de protection offert par la LPRPDE ait été jugé « adéquat » pour la transmission de données régies par le RGPD, il n’en va pas de même pour le Québec. Les nouvelles exigences pourraient aider le Québec à obtenir le degré « adéquat », ce qui permettrait la transmission sans entraves de données entre le Québec et l’Europe, même si certains points clés en sont absents, comme une exception explicite au consentement concernant la collecte, l’utilisation ou la communication de renseignements personnels nécessaires à la gestion de la relation de travail.

En outre, la Loi refondue sera probablement difficile à appliquer au départ, notamment en raison du déluge potentiel de notifications de violations de la confidentialité des renseignements, comme cela s’est produit ailleurs au Canada et en Europe. Par conséquent, on peut s’attendre à voir augmenter la taille et le budget de l’organisme de surveillance des atteintes à la vie privée du Québec au cours des prochaines années.

À la lumière des effets attendus de la Loi refondue, les entreprises en activité au Québec devraient envisager ce qui suit :

• nommer un responsable de la protection de la vie privée;
• mettre en œuvre ou réviser leur cadre de protection de la vie privée, y compris leurs politiques et pratiques en la matière;
• examiner leurs obligations contractuelles en amont et en aval en matière de protection des renseignements personnels;
• évaluer les mesures de protection de la vie privée physiques, organisationnelles et technologiques existantes;
• effectuer un audit ou un mappage des données pour déterminer les cas où le consentement approprié n’aurait pas été obtenu;
• mettre en œuvre un système de gestion du consentement;
• mettre en œuvre des politiques et procédures relatives à la conservation des renseignements personnels et au traitement des incidents de confidentialité, ou réviser celles existantes;
• mettre en œuvre des procédures relatives aux demandes d’accès et au traitement des plaintes, ou réviser celles existantes.

C’est avec plaisir que nous répondrons à vos questions concernant les lois sur la protection des renseignements personnels au Québec ou dans le reste du Canada, ainsi qu’à toute question relative à vos mesures de conformité.

[1] Article 3.1 (nouveau) de la Loi.
[2] Articles 3.5 à 3.8 (nouveaux) de la Loi.
[3] Article 81.3 (nouveau) de la Loi.
[4] Article 18.4 (nouveau) de la Loi.
[5] Articles 21 (remplacé) à 21.0.2 (nouveau) de la Loi.
[6] Articles 3.2 (nouveau) de la Loi.
[7] Article 8 (modifié) de la Loi.
[8] Articles 8.1 à 8.3 (nouveaux) de la Loi.
[9] Articles 3.3 et 3.4 (nouveaux) de la Loi.
[10] Article 9.1 (nouveau) de la Loi.
[11] Articles 8.3 (nouveau) et 14 (modifié) de la Loi.
[12] Article 4(11) du GDPR.
[13] Article 12 (remplacé) de la Loi.
[14] Articles 18 (modifié) et 22 (supprimé) de la Loi.
[15] Article 12 (remplacé) de la Loi.
[16] Articles 4.1 (nouveau) et 14 (modifié) de la Loi.
[17] Article 11 (modifié) de la Loi.
[18] Article 12.1 (nouveau) de la Loi.
[19] Article 17 (modifié) de la Loi.
[20] Article 1 (modifié) de la Loi.
[21] Article 18.3 (nouveau) de la Loi.
[22] Article 28.1 (nouveau) de la Loi.
[23] Article 23 (remplacé) de la Loi.
[24] Article 27 (modifié) de la Loi.
[25] Article 81 (modifié) de la Loi.
[26] Article 81.1 (nouveau) de la Loi.
[27] Articles 90.1 à 90.17 (nouveaux) de la Loi.
[28] Article 90.1 (nouveau) de la Loi.
[29] Articles 91 à 93 (remplacés et nouveaux) de la Loi.
[30] Article 93.1 (nouveau) de la Loi.

par Rish Handa.

Mise en garde

Le présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas s’y fier uniquement pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2021