BLOGUE JURIDIQUE


DES MESURES À APPLIQUER EN 2022 : 

 
Le 22 septembre 2021, le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été sanctionné suivant son adoption par l’Assemblée nationale du Québec. Ce faisant, des nouvelles mesures entreront en vigueur graduellement d’ici septembre 2024, lesquelles ont notamment pour effet de modifier la Loi sur la protection des renseignements personnels dans le secteur privé (R.L.R.Q. ch. P-39.1). À noter que la majeure partie de ces modifications et nouvelles mesures entreront en vigueur le 22 septembre 2023.

Vous trouverez ci-dessous un résumé des principaux changements apportés, lesquels impactent toute personne qui exploite une entreprise et qui, en raison d’un intérêt sérieux et légitime, recueille des renseignements personnels sur autrui. En conséquence, la plupart des OSBL incorporés suivant la partie III de la Loi sur les compagnies sont ici visés. L’administrateur ou dirigeant d’un tel OSBL ne peut demeurer indifférent face à tous ces changements dont certains sont majeurs. Il demeure en fait primordial de prendre les moyens qui s’imposent afin de se mettre à la tâche et voir à se conformer dans les délais impartis. 

Dans un premier temps, les entreprises devront intégrer les mesures suivantes à leur pratique relative à la protection des renseignements personnels, et ce, d’ici le 22 septembre 2022 :

 

-       Identification et publication des coordonnées de la personne responsable de la protection des renseignements personnels. Ce responsable est par défaut la personne ayant le plus haut degré d’autonomie, mais cette fonction peut être déléguée à toute personne par écrit (voir l’art. 3.1);

 

-       Mise en place d’un registre relatif aux incidents de confidentialité, de mesures pour diminuer les risques qu’un préjudice soit causé par un incident de confidentialité et d’évaluation des risques qu’un préjudice sérieux soit causé, laquelle évaluation tient compte de la sensibilité du renseignement, des conséquences et probabilités de l’utilisation du renseignement à des fins préjudiciables. De plus, la Commission d’accès à l’information ainsi que les personnes concernées doivent être avisées de tout incident présentant un risque de préjudice sérieux (voir les art. 3.5 à 3.8);

 

-       La communication de renseignements personnels nécessaires aux fins de la conclusion d’une transaction commerciale doit faire l’objet d’une entente entre les parties et contenir certains éléments relatifs à la protection des renseignements personnels pour être faite sans le consentement des personnes concernées (voir l’art. 18.4) :

 

o     L’entente écrite doit inclure les engagements suivants :

 

§   Les renseignements personnels communiqués ne sont utilisés qu’aux fins de la conclusion de la transaction;

§   La communication des renseignements personnels par la partie qui les reçoit ne peut se faire sans le consentement des personnes concernées;

§   Prendre les mesures nécessaires pour assurer la protection de la confidentialité des renseignements;

§   Détruire les renseignements personnels si la transaction n’est pas conclue ou si l’utilisation n’est plus nécessaire.

 

-       La communication de renseignements personnels sans le consentement de la personne concernée à un organisme à des fins d’étude, de recherche ou de production de statistiques qui en fait la demande écrite doit préalablement faire l’objet d’une évaluation des facteurs relatifs à la vie privée ainsi que d’une entente entre les parties et contenir certains éléments relatifs à la protection des renseignements personnels (voir les art. 21, 21.0.1 et 21.0.2);

 

o     L’évaluation des facteurs relatifs à la vie privée doit être proportionnée à la sensibilité des renseignements, la finalité de leur utilisation, la quantité, la répartition ainsi que le support.

 

L’essentiel des modifications et ajouts entrera en vigueur le 22 septembre 2023. Il s’agit des mesures suivantes :

 

-       Adoption et publication des politiques et pratiques relatives à la protection des renseignements personnels, lesquelles doivent inclure (voir l’art. 3.2) :

 

o     Les mesures de conservation et de destruction des renseignements;

o     Les rôles et responsabilités des membres du personnel, et ce, de la collecte à la destruction desdits renseignements;

o     Un processus de traitement des plaintes.

 

-       Réalisation de l’évaluation des facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (voir les art. 3.3 et 3.4);

 

-       Détermination des fins de la collecte des renseignements personnels avant la collecte (voir l’art. 4);

 

-       Relativement au consentement des personnes concernées par la collecte des renseignements personnels :

 

o     Au moment de la collecte, l’entreprise qui recueille les renseignements personnels doit informer la personne concernée de certaines informations précises (fins de la collecte, nom des tiers pour qui la collecte est effectuée, etc.) (voir l’art. 8);

o     La personne concernée doit donner son consentement à la communication à un tiers de ses renseignements personnels (voir l’art. 13);

o     La demande de consentement écrite est distincte de toute autre information (voir l’art. 14);

o     Le consentement du mineur de moins de 14 ans est donné par le titulaire de l’autorité parentale ou le tuteur (voir les art. 4.1 et 14);

o     L’utilisation de renseignements personnels sensibles à d’autres fins que celles spécifiquement présentées nécessite l’obtention du consentement expresse de la personne concernée (voir l’art. 12).

 

-       L’utilisation d’un renseignement personnel ne peut être faite que pour les fins auxquelles il a été recueilli (voir l’art. 12);

 

-       Adoption et publication d’une politique relative aux technologies comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer un profilage lorsque ces technologies sont utilisées par l’entreprise. De plus, l’entreprise ayant recours à une telle technologie doit en aviser, au préalable, la personne concernée (voir les art. 8.1 et 8.2);

 

-       Avant toute communication de renseignements personnels à l’extérieur du Québec, l’entreprise doit faire une évaluation des facteurs relatifs à la vie privée. De plus, la communication devra faire l’objet d’une entente écrite entre les parties (voir l’art. 17);

 

-       L’entreprise qui doit communiquer des renseignements personnels dans le cadre de l’exécution d’un contrat de service doit, préalablement à la communication, signer un contrat avec l’autre partie indiquant certains éléments relatifs à la protection des renseignements personnels. Le contrat doit inclure ou prévoir (voir l’art. 18.3) :

 

o     Les mesures que le cocontractant doit prendre pour assurer la protection des renseignements personnels qui lui sont communiqués;

o     L’utilisation que le cocontractant peut faire des renseignements personnels communiqués;

o     Que le cocontractant ne peut conserver les renseignements après l’expiration du contrat.

 

-       L’entreprise qui offre des produits ou des services technologiques doit s’assurer que les paramètres par défaut soient ceux offrant le plus haut niveau de confidentialité (voir l’art. 9.1);

 

-       Si l’entreprise utilise un traitement automatisé des renseignements personnels pour rendre une décision, elle doit informer la personne concernée au plus tard au moment de rendre ladite décision et doit aussi donner l’occasion à la personne concernée de présenter ses observations à l’entreprise pour révision ladite décision (voir l’art. 12.1);

 

-       Lorsque les fins pour lesquelles les renseignements personnels sont recueillis sont accomplies, l’entreprise doit les détruire ou les anonymiser (voir l’art. 23);

 

-       La personne concernée peut exiger de l’entreprise de cesser de diffuser un renseignement la concernant ou de désindexer l’hyperlien y étant rattaché (voir l’art. 28.1) lorsque les conditions prévues sont remplies;

 

-       Le responsable de la protection des renseignements personnels doit répondre par écrit à toute demande d’accès ou de rectification au plus tard dans les 30 jours de la réception de la demande (voir l’art. 32);  

 

-       Le refus d’accéder à une demande doit être motivé et faire part des dispositions et des recours qui s’offrent à la personne concernée (voir l’art. 34).

 

La mesure suivante entre en vigueur le 22 septembre 2024 :

 

-       Un renseignement personnel informatisé transmis par une personne concernée lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé (voir l’art. 27).

 

Il faut aussi mentionner que la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels introduit de nouvelles sanctions pour l’entreprise qui ne se conforme pas aux dispositions législatives en matière de protection des renseignements personnels, lesquelles entreront en vigueur le 22 septembre 2023 :

 

-       Une sanction administrative pécuniaire pouvant aller jusqu’à un maximum de 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’exercice financier précédent pour une personne morale (voir les art. 90.1 et 90.12);

 

-       Pour une infraction pénale, une amende de 15 000 $ à 25 000 000 $ ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent pour une personne morale. En cas de récidive, les amendes sont portées au double (voir les art. 91 et 92.1).

 

Serez-vous prêts à temps? Nous sommes disposés à vous aider au moment d’adapter vos façons de faire afin de vous conformer aux différentes modifications intervenues à la Loi sur la protection des renseignements personnels dans le secteur privé (R.L.R.Q. ch. P-39.1).

  

Avis de non-responsabilité

Cette chronique constitue un instrument d’information et de vulgarisation juridique. Son contenu ne saurait en aucune façon être interprété comme un exposé complet du droit ni comme un avis juridique du Service juridique du Regroupement Loisir et Sport du Québec sur les points de droit qui y sont discutés. Aucune personne qui est un membre, un administrateur, un employé ou un consultant du Regroupement Loisir et Sport du Québec n’accepte ni n’assume de responsabilité ni n’a d’obligation envers qui que ce soit relativement à cette conférence ou à ce document. Vous devez obtenir des conseils juridiques particuliers sur tout point précis vous concernant. Pour tout conseil ou pour de plus amples renseignements, veuillez contacter les membres de notre Service juridique.

Par le Service juridique du Regroupement Loisir et Sport du Québec


Aucun commentaire n'a été publié... Soyez le premier!


Commenter:


Nom

Courriel


Message




Categories

Blogue juridique

DERNIER ARTICLE

22.01.14
Mémo | Loi sur la protection des renseignements personnels : échéances de 2022

DES MESURES À APPLIQUER EN 2022 : 

 
Le 22
septembre...

21.06.11
Est-il question de discrimination lorsqu'un club sportif cre des quipes fminines et des quipes masculines ?

Le Service juridique du Regroupement
Loisir et Sport du Québec a récemment défendu devant le Tribunal des droits de
la personne (le « Tribunal