NOUVELLES
MESURES – LOI MODERNISANT DES DISPOSITIONS
LÉGISLATIVES EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS
PERSONNELS
Nous publions sur ce site
des chroniques vulgarisées qui visent à
répondre aux préoccupations juridiques
fréquentes des organismes sans but lucratif. Toutefois,
l’information contenue dans ces chroniques est de nature
générale et ne constitue d’aucune
façon une opinion ou un conseil juridique. Pour répondre
à vos questions spécifiques, nous vous recommandons de
rejoindre nos avocats au (514) 252-3137, qui vous proposeront les solutions les
mieux adaptées à votre situation précise et
à vos besoins.
Le contenu du
présent site est protégé par le droit
d’auteur et peut être reproduit uniquement dans sa forme
intégrale et originale avec mention obligatoire de la
source.
Par
l’équipe du Service juridique du Regroupement Loisir et
Sport du Québec et son Centre québécois de
services aux associations.
Le 22 septembre 2021, le
projet de loi 64, Loi modernisant des dispositions
législatives en matière de protection des renseignements
personnels a été sanctionné suivant
son adoption par l’Assemblée nationale du
Québec. Ce faisant, de nouvelles mesures entreront en vigueur
graduellement d’ici septembre 2024, lesquelles ont notamment pour
effet de modifier la Loi sur la protection des renseignements
personnels dans le secteur privé (R.L.R.Q. ch. P-39.1).
À noter que la majeure partie de ces modifications et nouvelles
mesures entreront en vigueur le 22 septembre
2023.
Vous trouverez ci-dessous
un résumé des principaux changements apportés,
lesquels impactent toute personne qui exploite une entreprise et qui, en raison d’un
intérêt sérieux et
légitime, recueille des renseignements personnels sur
autrui. En conséquence, la plupart des OSBL incorporés
suivant la partie III de la Loi sur les compagnies sont
ici visés. L’administrateur ou dirigeant d’un
tel OSBL ne peut demeurer indifférent face à tous ces
changements dont certains sont majeurs. Il demeure en fait primordial de
prendre les moyens qui s’imposent afin de se mettre à la
tâche et voir à se conformer dans les délais
impartis.
Depuis le 22
septembre 2022, les entreprises se doivent
d’intégrer les mesures suivantes à leur
pratique relative à la protection des renseignements personnels
:
- Identification et
publication des coordonnées de la personne responsable de la
protection des renseignements personnels. Ce responsable est par
défaut la personne ayant le plus haut degré
d’autonomie, mais cette fonction peut être
déléguée à toute personne par
écrit (voir l’art. 3.1).
- Mise en place
d’un registre relatif aux incidents de confidentialité, de
mesures pour diminuer les risques qu’un préjudice soit
causé par un incident de confidentialité et
d’évaluation des risques qu’un préjudice
sérieux soit causé, laquelle évaluation tient
compte de la sensibilité du renseignement, des
conséquences et probabilités de l’utilisation
du renseignement à des fins préjudiciables. De plus, la
Commission d’accès à l’information
ainsi que les personnes concernées doivent être
avisées de tout incident présentant un risque de
préjudice sérieux (voir les art. 3.5 à 3.8).
À noter que le Règlement sur les incidents de
confidentialité est lui aussi entré en vigueur
le 22 septembre 2022. Ce règlement indique quelles informations
doivent être indiquées au registre des incidents et
communiquées à la Commission d’accès
à l’information, le cas
échéant.
- La communication de
renseignements personnels nécessaires aux fins de la conclusion
d’une transaction commerciale doit faire l’objet
d’une entente entre les parties et contenir certains
éléments relatifs à la protection des
renseignements personnels pour être faite sans le consentement des
personnes concernées (voir l’art. 18.4)
:
L’entente
écrite doit inclure les engagements suivants
:
- Les renseignements
personnels communiqués ne sont utilisés qu’aux
fins de la conclusion de la transaction;
- La communication des
renseignements personnels par la partie qui les reçoit ne peut se faire
sans le consentement des personnes
concernées;
- Prendre les mesures
nécessaires pour assurer la protection de la
confidentialité des renseignements;
- Détruire les
renseignements personnels si la transaction n’est pas conclue ou si
l’utilisation n’est plus
nécessaire.
- La communication de
renseignements personnels sans le consentement de la personne concernée
à un organisme à des fins d’étude,
de recherche ou de production de statistiques qui en fait la demande
écrite doit préalablement faire l’objet
d’une évaluation des facteurs relatifs à la vie
privée ainsi que d’une entente entre les parties et
contenir certains éléments relatifs à la
protection des renseignements personnels (voir les art. 21, 21.0.1 et
21.0.2).
L’évaluation
des facteurs relatifs à la vie privée doit être
proportionnée à la sensibilité des
renseignements, la finalité de leur utilisation, la
quantité, la répartition ainsi que le
support.
L’essentiel des
modifications et ajouts entrera en vigueur le 22 septembre
2023. Il s’agit des mesures suivantes
:
- Adoption et publication
des politiques et pratiques relatives à la protection des
renseignements personnels, lesquelles doivent inclure (voir l’art.
3.2) :
- Les mesures de
conservation et de destruction des
renseignements;
- Les rôles et
responsabilités des membres du personnel, et ce, de la collecte
à la destruction desdits
renseignements;
- Un processus de traitement
des plaintes.
- Réalisation de
l’évaluation des facteurs relatifs à la vie
privée pour tout projet d’acquisition, de
développement et de refonte de système
d’information ou de prestation électronique de services
impliquant la collecte, l’utilisation, la communication, la conservation
ou la destruction de renseignements personnels (voir les art. 3.3 et
3.4).
- Détermination
des fins de la collecte des renseignements personnels avant la collecte (voir
l’art. 4).
- Relativement au
consentement des personnes concernées par la collecte des
renseignements personnels :
- Au
moment de la collecte, l’entreprise qui recueille les renseignements
personnels doit informer la personne concernée de certaines
informations précises (fins de la collecte, nom des tiers pour qui
la collecte est effectuée, etc.) (voir l’art.
8);
- La personne
concernée doit donner son consentement à la communication
à un tiers de ses renseignements personnels (voir l’art.
13);
- La demande de consentement
écrite est distincte de toute autre information (voir
l’art. 14);
- Le consentement du mineur
de moins de 14 ans est donné par le titulaire de
l’autorité parentale ou le tuteur (voir les art. 4.1 et
14);
- L’utilisation
de renseignements personnels sensibles à d’autres fins que
celles spécifiquement présentées
nécessite l’obtention du consentement exprès de
la personne concernée (voir l’art.
12).
- L’utilisation
d’un renseignement personnel ne peut être faite que pour
les fins auxquelles il a été recueilli (voir
l’art. 12).
- Adoption et publication
d’une politique relative aux technologies comprenant des fonctions
permettant d’identifier, de localiser ou d’effectuer un
profilage lorsque ces technologies sont utilisées par l’entreprise.
De plus, l’entreprise ayant recours à une telle
technologie doit en aviser, au préalable, la personne
concernée (voir les art. 8.1 et
8.2).
- Avant toute communication
de renseignements personnels à l’extérieur du
Québec, l’entreprise doit faire une évaluation
des facteurs relatifs à la vie privée. De plus, la
communication devra faire l’objet d’une entente
écrite entre les parties (voir l’art.
17).
- L’entreprise qui
doit communiquer des renseignements personnels dans le cadre de
l’exécution d’un contrat de service doit,
préalablement à la communication, signer un contrat avec
l’autre partie indiquant certains éléments
relatifs à la protection des renseignements personnels. Le contrat
doit inclure (voir l’art. 18.3) :
- Les mesures que le
cocontractant doit prendre pour assurer la protection des renseignements
personnels qui lui sont communiqués;
- L’utilisation
que le cocontractant peut faire des renseignements personnels
communiqués;
- Que le cocontractant ne
peut conserver les renseignements après l’expiration du
contrat.
- L’entreprise qui
offre des produits ou des services technologiques doit s’assurer que
les paramètres par défaut soient ceux offrant le plus
haut niveau de confidentialité (voir l’art.
9.1).
- Si l’entreprise
utilise un traitement automatisé des renseignements personnels pour
rendre une décision, elle doit informer la personne concernée
au plus tard au moment de rendre ladite décision et doit aussi
donner l’occasion à la personne concernée de
présenter ses observations à l’entreprise pour
réviser ladite décision (voir l’art.
12.1).
- Lorsque les fins pour
lesquelles les renseignements personnels sont recueillis sont accomplies,
l’entreprise doit les détruire ou les anonymiser (voir
l’art. 23).
- La personne
concernée peut exiger de l’entreprise de cesser de
diffuser un renseignement la concernant ou de désindexer
l’hyperlien y étant rattaché (voir
l’art. 28.1) lorsque les conditions prévues sont
remplies.
- Le responsable de la
protection des renseignements personnels doit répondre par écrit
à toute demande d’accès ou de rectification au
plus tard dans les 30 jours de la réception de la demande (voir
l’art. 32.
- Le refus
d’accéder à une demande doit être
motivé et faire part des dispositions et des recours qui
s’offrent à la personne concernée (voir
l’art. 34).
La mesure suivante entre
en vigueur le 22 septembre 2024
:
- Un renseignement personnel
informatisé transmis par une personne concernée lui est,
à sa demande, communiqué dans un format technologique
structuré et couramment utilisé (voir l’art.
27).
Il faut aussi mentionner
que la Loi modernisant des dispositions législatives en
matière de protection des renseignements personnels
introduit de nouvelles sanctions pour l’entreprise qui ne se conforme
pas aux dispositions législatives en matière de protection
des renseignements personnels, lesquelles entreront en vigueur le
22 septembre
2023 :
- Une sanction administrative
pécuniaire pouvant aller jusqu’à un maximum de
10 000 000 $ ou 2 % du chiffre d’affaires mondial de
l’exercice financier précédent pour une
personne morale (voir les art. 90.1 et 90.12);
- Pour une infraction
pénale, une amende de 15 000 $ à 25 000 000 $ ou 4 % du
chiffre d’affaires mondial de l’exercice financier
précédent pour une personne morale. En cas de
récidive, les amendes sont portées au double (voir les
art. 91 et 92.1).
Serez-vous prêts
à temps? Nous sommes disposés à vous aider au
moment d’adapter vos façons de faire afin et vous
conformer aux différentes modifications intervenues à la
Loi sur la protection des renseignements personnels dans le secteur
privé (R.L.R.Q. ch. P-39.1).
Publication
décembre 2021
Dernière
révision octobre 2022