Le Projet de loi nº 64 : Comment s’y préparer? 1ère Partie - Articles Maîtres@droits

Le 12 juin 2020, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels aussi connue sous le vocable de Projet de loi nº 64 (ci-après « Projet de loi »)[1] a été déposée devant l’Assemblée nationale du Québec. Le Projet de loi constitue une refonte majeure des obligations incombant aux organismes publics et aux entreprises du secteur privé en matière de protection des renseignements personnels. Nul doute que ces modifications auront des répercussions sur les avocats en droit des affaires ou en entreprise qui devront conseiller leurs clients ou leur employeur quant à ces nouvelles exigences.

Aussi, bien que le Projet de loi impose des modifications à plusieurs lois, nous vous proposons, dans une série de quatre (4) articles, de faire un survol des principales modifications qui seraient apportées à la Loi sur la protection des renseignements personnels dans le secteur privé[2] si le Projet de loi est adopté dans sa version actuelle.

Un nouvel acteur au sein des entreprises privées

L’article 95 du Projet de loi énonce de manière expresse le principe de responsabilité de l’entreprise qui recueille et détient des renseignements personnels.[3] Le législateur ajoute également une nouvelle fonction au sein de toute entreprise, soit le responsable de la protection des renseignements personnels. Ce titre est dévolu à la personne qui détient la plus haute autorité dans l’entreprise. Cela dit, cette fonction peut être déléguée par écrit, en tout ou en partie, à un membre du personnel.[4]

Les titres et les coordonnées du responsable de la protection des renseignements personnels doivent être indiqués sur le site Internet de l’entreprise ou, si elle n’a pas de site, être rendus accessibles par tout autre moyen approprié.[5]

Par ailleurs, le Projet de loi impose au responsable de la protection des renseignements personnels l’obligation générale de veiller au respect et à la mise en œuvre de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Concrètement, cette obligation se traduit par plusieurs fonctions :[6]

Établir et mettre en œuvre des politiques et des pratiques encadrant la gouvernance de l’entreprise eu égard à la protection des renseignements personnels. Ces politiques et ces pratiques doivent être publiées sur le site Internet de l’entreprise ou, si elle n’a pas de site, rendues accessibles par tout autre moyen approprié;

Veiller à ce que les politiques et les pratiques encadrent la conservation et la destruction des renseignements personnels;

Prévoir les rôles et les responsabilités du personnel tout au long du cycle de vie de ces renseignements;

Élaborer un processus de traitement des plaintes relatives à la protection de ces renseignements;

Procéder à l’évaluation des facteurs relatifs à la vie privée de tout projet de système d’information ou de prestation électronique de services qui implique la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels;

Le responsable de la protection des renseignements personnels peut, à toute étape de ce projet, suggérer des mesures de protection des renseignements personnels applicables à ce projet;

S’impliquer dans la gestion de tout « incident de confidentialité ».

L’obligation de signalement d’un « incident de confidentialité »

Tout d’abord, le Projet de loi définit un « incident de confidentialité » de la manière suivante :[7]

L’accès, l’utilisation et la communication non autorisés par la loi d’un renseignement personnel;

La perte d’un renseignement personnel ou toute atteinte à la protection d’un tel renseignement.

La personne qui exploite une entreprise et qui a des motifs de croire que s’est produit « un incident de confidentialité » doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter de nouveaux incidents de même nature.[8]

En outre, le Projet de loi prévoit l’obligation d’aviser de manière diligente certaines personnes et organismes si l’« incident de confidentialité » présente le risque qu’un préjudice sérieux soit causé :[9]

La Commission d’accès à l’information (ci-après « CAI »);

Toute personne dont un renseignement personnel est visé par l’« incident de confidentialité », à défaut de quoi la CAI peut lui ordonner de le faire;

Toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée et dans ce dernier cas, le responsable de la protection des renseignements personnels doit enregistrer la communication.

Par contre, une entreprise n’a pas à aviser une personne dont un renseignement personnel est concerné par un « incident de confidentialité » tant que cela serait susceptible d’entraver une enquête faite par une personne ou un organisme qui, en vertu de la loi, est responsable de prévenir, détecter ou réprimer le crime ou les infractions aux lois.[10]

Le Projet de loi prévoit également les critères dont il doit être tenu compte dans l’évaluation du risque qu’un préjudice soit causé :[11]

La sensibilité du renseignement concerné;

Les conséquences appréhendées de son utilisation;

La probabilité que le renseignement soit utilisé à des fins préjudiciables.

Ajoutons que la personne qui exploite une entreprise doit désormais tenir un registre des « incidents de confidentialité ». Elle doit, sur demande de la CAI, lui remettre une copie de ce registre.[12]

La collecte de renseignements personnels

L’article 96 du Projet de loi stipule que toute personne qui exploite une entreprise et qui, en raison d’un intérêt sérieux et légitime, recueille des renseignements personnels sur autrui doit, avant la collecte, déterminer les fins de celle-ci.[13]

De plus, lorsque les renseignements personnels concernent un mineur de moins de 14 ans, ces renseignements ne peuvent être recueillis auprès de celui-ci sans avoir obtenu le consentement du titulaire de l’autorité parentale, sauf si cette collecte est manifestement au bénéfice de ce mineur.[14]

Par ailleurs, le Projet de loi précise que la personne qui recueille des renseignements personnels sur autrui doit se limiter qu’à ceux nécessaires aux fins déterminées avant la collecte.[15]

De même, le Projet de loi prévoit que la personne qui recueille des renseignements personnels auprès de la personne concernée doit, lors de la collecte et par la suite sur demande, l’informer :[16]

Des fins auxquelles ces renseignements sont recueillis;

Des moyens par lesquels les renseignements sont recueillis;

Des droits d’accès et de rectification prévus par la loi;
De son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis;

Du nom du tiers pour qui la collecte est effectuée et la possibilité que les renseignements soient communiqués à l’extérieur du Québec, le cas échéant;

Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui ont accès à ces renseignements au sein de l’entreprise, de la durée de conservation de ces renseignements, ainsi que des coordonnées du responsable de la protection des renseignements personnels.

Ces informations doivent être transmises en termes simples et clairs, quel que soit le moyen utilisé pour recueillir les renseignements.[17]

En plus des informations susmentionnées, la personne qui recueille des renseignements personnels en ayant recours à une technologie comprenant des fonctions permettant d’identifier la personne concernée, de la localiser ou d’effectuer un profilage de celle-ci, doit au préalable informer la personne concernée des éléments suivants :[18]

Du recours à une telle technologie;
Des moyens offerts, le cas échéant, pour désactiver les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage.

Aux fins du Projet de loi, le profilage « s’entend de la collecte et de l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne ».[19]

Le Projet de loi introduit également l’obligation pour la personne qui recueille par un moyen technologique des renseignements personnels de publier sur le site Internet de l’entreprise, le cas échéant, et diffuser par tout moyen propre à atteindre les personnes concernées une politique de confidentialité rédigée en termes simples et clairs. Il en est de même pour l’avis dont toute modification à cette politique doit faire l’objet.[20]

Enfin, l’entreprise qui utilise un produit ou un service technologique pour recueillir des renseignements personnels doit veiller à ce que, par défaut, les paramètres de ce produit ou de ce service assurent le plus haut degré de confidentialité, sans aucune intervention de la personne concernée.[21]

Ceci termine la première partie de cet article traitant des principales modifications et exigences décrites dans le Projet de loi 64 en matière de protection des renseignements personnels. Dans un prochain texte de Maîtres@droits, nous poursuivrons notre survol du Projet de Loi 64 en traitant notamment du consentement à la collecte et l’utilisation des renseignements personnels ainsi que leur communication transfrontalière.

[1] Projet de loi nº 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 42^e lég. (Qc), 1^re sess., 2020.

[2] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1.

[3] Projet de loi nº 64, préc., note 1, art. 95.

[4] Id.

[5] Id.

[6] Id.

[7] Id.

[8] Id.

[9] Id.

[10] Id.

[11] Id.

[12] Id.

[13] Projet de loi nº 64, préc., note 1, art. 96.