La protection des renseignements personnels est devenue une préoccupation majeure à l’ère du numérique, tant que nos données et renseignements personnels sont devenus une ressource précieuse et vulnérable. L’adoption en septembre 2022 de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la «Loi 25») représente une avancé remarquable en matière de protection des renseignements personnels. La Loi 25 introduit d’importants changements pour les entreprises du secteur privé et public au Québec.
Parmi ses objectifs : donner aux individus un plus grand contrôle sur leurs renseignements personnels et renforcer les obligations des entreprises relatives au consentement, la collecte, la divulgation et la conservation de renseignements personnels.
Vous trouverez un bref survol des principaux changements apportés par la Loi 25 et des principales obligations auxquelles les entreprises privées menant des activités au Québec sont désormais assujetties.
Obligation d’adopter des politiques/pratiques de gouvernance quant aux renseignements personnels
Depuis septembre 2022, les entreprises sont tenues d’adopter des politiques et des pratiques internes en matière de gouvernance visant la protection des renseignements personnels. Afin de bâtir efficacement un programme de gouvernance de l’information interne ainsi qu’une politique de confidentialité, il est primordial d’identifier la nature des informations que votre entreprise collecte, les fins pour lesquelles ses informations sont utilisées et d’identifier les personnes au sein de votre organisation qui doivent y avoir accès.
Toute politique de confidentialité doit permettre aux individus d’identifier qu’elles sont les pratiques d’une entreprise quant à la cueillette, l’utilisation, la communication et la conservation des renseignements personnels et doit notamment inclure :
- une description de la nature des renseignements personnels et les moyens par lesquels ils sont collectés;
- les fins pour lesquelles les renseignements personnels sont collectés, leur période de conservation et leur moyen de destruction;
- les mesures mises en place pour assurer la protection des renseignements personnels collectés;
- l’établissement d’un processus de gestion et d’accès à l’information; et
- l’établissement d’un processus de traitement des plaintes concernant la protection des renseignements personnels.
Obligation d’obtenir un consentement des personnes
La Loi 25 exige un consentement manifeste, libre et éclairée à la collecte, l’utilisation et la communication de renseignements personnels. Tout consentement doit être donné à des fins spécifiques. Les fins spécifiques pour lesquelles les renseignements personnels sont collectés, utilisés et communiqués doivent être divulguées à toute personne concernée en termes claires.
Obligation de désigner un responsable de la protection des renseignements personnels
À compter de septembre 2023, toute entreprise doit désigner un responsable de la protection des renseignements personnels au sein de son organisation et définir les tâches qui lui sont attribuées. Bien que ce rôle soit assigné par défaut à la personne ayant la plus haute autorité au sein d’une entreprise, toute personne peut être désigné et occuper cette fonction. Le nom ainsi que les coordonnées du responsable doivent être accessibles au public et se trouve généralement dans la politique de confidentialité publiée sur le site Web d’une entreprise.
Obligation de signaler et tenir un registre des incidents de confidentialité
Lors de la survenance d’un incident de confidentialité (ce terme étant défini dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels[1]), un processus d’évaluation devra être enclenché afin d’évaluer si un risque de préjudice sérieux en résulte pour les personnes concernées. Le cas-échant, l’entreprise visée par l’incident de confidentialité devra aviser la Commission d’accès à l’information (la « CAI ») et toute personne concernée par un tel incident.
Parallèlement, depuis septembre 2023, toute entreprise doit désormais mettre en place et tenir à jour un registre des incidents de confidentialité, en plus d’établir une procédure et un plan de réponse advenant la survenance d’un tel incident. Tout incident de confidentialité qu’il comporte ou non un risque de préjudice sérieux doit être inscrit dans un registre interne prévu à cet effet.
Sanctions
Soulignant en terminant qu’à partir de septembre 2023, la CAI, à savoir l’organisme chargé de la surveillance et du respect de la législation en matière de protection des renseignements personnels, aura le pouvoir d’imposer des sanctions pénales et administratives. En cas de non-conformité des obligations prévues dans la Loi 25, les sanctions à prévoir pour les entreprises sont notamment :
- une sanction pénale pouvant s’élever jusqu’à 25 000 000 $ ou 4 % du chiffre d’affaires mondial, le plus élevé des deux montants;
- une sanction administrative pécuniaire pouvant s’élever jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial, le plus élevé des deux montants.
Il n’est pas toujours évident d’appréhender les changements législatifs encadrant la protection des renseignements personnels d’autant plus que d’autres dispositions de la Loi 25 entreront en vigueur en 2024. Notre équipe d’avocats est à votre disposition pour vous aider à vous conformer à la législation en vigueur et revoir vos pratiques et processus en matière de protection des renseignements personnels.
[1] Article 63.9 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels