1re partie | Le droit à la vie privée 101 – Obligations en vertu de la nouvelle loi 25 au Québec : Nommez votre responsable de la protection des renseignements personnels dès maintenant

Transcription

Marie-Eve Jean : Bonjour et bienvenue à Cours 101 sur le droit à la vie privée, particulièrement, vos obligations sous la Loi 25. Ceci est une série de balados qui vise à vous préparer à vous conformer à la nouvelle législation du Québec en matière de protection de la vie privée et des données.

Candice Hévin : Mon nom est Candice Hévin.

Marie-Eve Jean : Et je suis Marie-Eve Jean.

Candice Hévin : Nous sommes toutes les deux avocates chez McMillan et nous travaillons ensemble afin d’aider les entreprises qui opèrent au Québec à se conformer avec la législation québecoise en matière de protection de la vie privée et des données.

Marie-Eve Jean : Pour vous donner un peu de contexte, le Québec a adopté une nouvelle loi le 22 septembre 2022. Le projet de loi 64, ou la Loi 25 (tel que nous allons y référer), vise à moderniser le régime de protection de la vie privée et des données dans les secteurs public et privé. Cette série de balados porte sur les changements à la législation du secteur privé, c’est-à-dire les changements à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. La Loi 25 introduit de nouvelles obligations pour les organisations qui « exploitent une entreprise » au Québec, ou, en d’autres termes, font affaires au Québec.

Candice, pourrais-tu nous donner des précisions quant la manière dont la Loi s’applique?

Candice Hévin : La Loi s’applique à toute entreprise qui recueille, utilise ou communique des renseignements personnels d’individus situés au Québec, même si l’entreprise n’a pas de bureaux ou d’installations au Québec.

Bien que la majorité des nouvelles exigences entrent en vigueur le 22 septembre 2023, certaines exigences clés entreront en vigueur cet automne, le 22 septembre. Quelques exigences prendront également effet à partir du 22 septembre 2024. Avant d’entrer dans le vif de vos nouvelles obligations sous la Loi 25 à partir de Septembre 2022, nous voulons prendre un moment afin d’adresser l’importance de vous conformer avec la Loi.

Force est de constater que le législateur québécois ne plaisante pas en ce qui a trait à la protection de la vie privée et des données. Comment peut-on dire ça?

Marie-Eve Jean : C’est simple. Le législateur a élaboré quatre mécanismes pour assurer le respect de la loi et ceux-ci sont très sévères pour les entreprises contrevenantes.

La Loi sera applicable par le biais de 4 mécanismes d’application, à savoir :

• Une réforme des procédures de plainte et d’enquête, qui entrera largement en vigueur à partir de septembre 2022. Le reste du régime d’application (SAP, infractions pénales et droit d’action privé) prendra effet en septembre 2023.
• Des sanctions administratives pécuniaires imposées par la Commission d’accès à l’information – jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial de l’entreprise.
• Infractions pénales assorties d’amendes importantes – jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial de l’entreprise; les montants sont doublés en cas de récidive.
• Droit d’action privé permettant aux particuliers de poursuivre une organisation en dommages et intérêts.

Candice Hévin : On peut donc voir par les différentes dates de mise en vigueur que le législateur veut être raisonnable et offrir un certain temps d’ajustement aux compagnies. Cependant, vous devriez vous assurer d’atteindre la conformité dès 2023 afin d’éviter de grosses amendes.

Marie-Eve Jean : Maintenant que nous avons couvert nos bases quant à la Loi 25, parlons de votre première obligation sous la Loi qui prendra effet à partir du 22 septembre 2022, c’est-à-dire votre obligation de nommer un responsable de la protection des renseignements personnels. Encore une fois, afin de s’assurer que nous sommes tous sur la même longueur d’ondes, lorsqu’on vous adresse en disant « vous », nous parlons des compagnies qui font affaires au Québec.

Qu’est-ce qu’un responsable de la protection des renseignements personnels?

Candice Hévin : Il s’agit simplement d’une personne au sein de l’entreprise qui est responsable pour la protection des renseignements personnels et, ultimement, de la conformité avec la Loi 25. Voici la « twist » comme on dirait en bon québécois – sous la Loi, la personne au sein de l’entreprise avec la plus haute autorité est, par défaut, la personne responsable de la protection des renseignements personnels. Donc, votre PDG ou Président assume ce rôle d’emblée sous la Loi.

Marie-Eve Jean : Ok Candice quand on parle de la plus haute autorité au sein de l’entreprise, est-ce qu’on regarde au niveau provincial, national ou international?

Candice Hévin : Il n’y a pas encore de directives claires de la part du législateur ou de la Commission d’accès à l’information quant à cette question. Selon notre interprétation, si une compagnie a des opérations à l’échelle nationale ou internationale, la personne avec la plus haute autorité serait le PDG ou le Président de l’entité canadienne, à moins que l’entité internationale traite ou utilise les données du Québec. Dans le cas où votre compagnie opère seulement au Québec, la personne responsable serait tout simplement le PDG ou Président de votre compagnie.

Marie-Eve Jean : Donc nous savons maintenant ce qu’est un responsable de la protection des renseignements personnels et nous savons que le PDG ou le Président assume ce rôle.

Candice Hévin : Il y a une autre twist – le PDG peut déléguer les fonctions associées à ce rôle à toute autre personne. Le PDG peut déléguer toutes les fonctions ou seulement certaines et peut les déléguer à une ou plusieurs personnes à l’interne ou à l’externe.

Marie-Eve Jean : Quand on parle de déléguer le rôle à l’externe, on parle d’engager un conseiller professionnel externe qualifié. Notez que cette délégation de fonctions doit absolument être effectuée par écrit par le PDG. Nous avons mentionné que les fonctions du responsable plusieurs fois dans les dernières minutes – vous vous demandez sans doute quelles sont ces fonctions?

La Loi en contient plusieurs. En somme, le responsable doit :

• veiller à ce que l’entreprise respecte la loi,
• traiter les demandes d’accès et de rectification des personnes concernées,
• traiter toute question ou plainte concernant le traitement des renseignements personnels.

Candice Hévin : Dernière chose à noter – vous devez afficher le titre et les coordonnées du responsable de la protection des renseignements personnels sur votre site internet. N’inquiétez-vous pas, ça ne veut pas dire que vous devez publier l’adresse courriel du responsable publiquement. Afin d’éviter que la boîte de courriels de votre responsable soit inondée de courriels, vous pouvez créer une adresse courriel séparée afin de recueillir toute communication adressée au responsable concernant la protection de la vie privée et des données.

Donc voilà, c’est tout le temps que nous avions aujourd’hui. Nous avons plusieurs autres astuces à partager avec vous quant à la nomination d’un responsable de la protection des renseignements personnels donc n’hésitez pas à communiquer avec nous. Nous avons aussi beaucoup d’expérience en ce qui concerne le développement de délégation des fonctions de responsable de la protection des renseignements personnels et nous serions heureuses de vous assister à développer la vôtre.

Marie-Eve Jean : Ne manquez pas le prochain épisode, où nous discuterons de vos obligations en ce qui a trait aux incidents de confidentialité. Vous écoutez Marie-Eve Jean.

Candice Hévin : Et Candice Hévin.

Marie-Eve Jean : De McMillan LLP. Ce fut un plaisir d’enregistrer pour vous, on se retrouve prochainement !