Envoyer un message


Votre courriel :

Courriel du destinataire :




Message :






CHRONIQUES ET RESSOURCES





Nouvelles mesures bientôt : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels


NOUVELLES MESURES – LOI MODERNISANT DES DISPOSITIONS LÉGISLATIVES EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS

 

Nous publions sur ce site des chroniques vulgarisées qui visent à répondre aux préoccupations juridiques fréquentes des organismes sans but lucratif. Toutefois, l’information contenue dans ces chroniques est de nature générale et ne constitue d’aucune façon une opinion ou un conseil juridique. Pour répondre à vos questions spécifiques, nous vous recommandons de rejoindre nos avocats au (514) 252-3137, qui vous proposeront les solutions les mieux adaptées à votre situation précise et à vos besoins.

 

Le contenu du présent site est protégé par le droit d’auteur et peut être reproduit uniquement dans sa forme intégrale et originale avec mention obligatoire de la source.

 

Par l’équipe du Service juridique du Regroupement Loisir et Sport du Québec et son Centre québécois de services aux associations.

 

 

Le 22 septembre 2021, le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels a été sanctionné suivant son adoption par l’Assemblée nationale du Québec. Ce faisant, de nouvelles mesures entreront en vigueur graduellement d’ici septembre 2024, lesquelles ont notamment pour effet de modifier la Loi sur la protection des renseignements personnels dans le secteur privé (R.L.R.Q. ch. P-39.1). À noter que la majeure partie de ces modifications et nouvelles mesures entreront en vigueur le 22 septembre 2023. 

 

Vous trouverez ci-dessous un résumé des principaux changements apportés, lesquels impactent toute personne qui exploite une entreprise et qui, en raison d’un intérêt sérieux et légitime, recueille des renseignements personnels sur autrui. En conséquence, la plupart des OSBL incorporés suivant la partie III de la Loi sur les compagnies sont ici visés. L’administrateur ou dirigeant d’un tel OSBL ne peut demeurer indifférent face à tous ces changements dont certains sont majeurs. Il demeure en fait primordial de prendre les moyens qui s’imposent afin de se mettre à la tâche et voir à se conformer dans les délais impartis.

 

Depuis le 22 septembre 2022, les entreprises se doivent d’intégrer les mesures suivantes à leur pratique relative à la protection des renseignements personnels : 

 

  • Identification et publication des coordonnées de la personne responsable de la protection des renseignements personnels. Ce responsable est par défaut la personne ayant le plus haut degré d’autonomie, mais cette fonction peut être déléguée à toute personne par écrit (voir l’art. 3.1). 

 

  • Mise en place d’un registre relatif aux incidents de confidentialité, de mesures pour diminuer les risques qu’un préjudice soit causé par un incident de confidentialité et d’évaluation des risques qu’un préjudice sérieux soit causé, laquelle évaluation tient compte de la sensibilité du renseignement, des conséquences et probabilités de l’utilisation du renseignement à des fins préjudiciables. De plus, la Commission d’accès à l’information ainsi que les personnes concernées doivent être avisées de tout incident présentant un risque de préjudice sérieux (voir les art. 3.5 à 3.8). À noter que le Règlement sur les incidents de confidentialité est lui aussi entré en vigueur le 22 septembre 2022. Ce règlement indique quelles informations doivent être indiquées au registre des incidents et communiquées à la Commission d’accès à l’information, le cas échéant. 

 

  • La communication de renseignements personnels nécessaires aux fins de la conclusion d’une transaction commerciale doit faire l’objet d’une entente entre les parties et contenir certains éléments relatifs à la protection des renseignements personnels pour être faite sans le consentement des personnes concernées (voir l’art. 18.4) : 

 

L’entente écrite doit inclure les engagements suivants : 

 

  1. Les renseignements personnels communiqués ne sont utilisés qu’aux fins de la conclusion de la transaction; 
  2. La communication des renseignements personnels par la partie qui les reçoit ne peut se faire sans le consentement des personnes concernées;
  3. Prendre les mesures nécessaires pour assurer la protection de la confidentialité des renseignements; 
  4. Détruire les renseignements personnels si la transaction n’est pas conclue ou si l’utilisation n’est plus nécessaire. 

 

  • La communication de renseignements personnels sans le consentement de la personne concernée à un organisme à des fins d’étude, de recherche ou de production de statistiques qui en fait la demande écrite doit préalablement faire l’objet d’une évaluation des facteurs relatifs à la vie privée ainsi que d’une entente entre les parties et contenir certains éléments relatifs à la protection des renseignements personnels (voir les art. 21, 21.0.1 et 21.0.2).

 

L’évaluation des facteurs relatifs à la vie privée doit être proportionnée à la sensibilité des renseignements, la finalité de leur utilisation, la quantité, la répartition ainsi que le support.

 

L’essentiel des modifications et ajouts entrera en vigueur le 22 septembre 2023. Il s’agit des mesures suivantes : 

 

  • Adoption et publication des politiques et pratiques relatives à la protection des renseignements personnels, lesquelles doivent inclure (voir l’art. 3.2) : 

 

  1. Les mesures de conservation et de destruction des renseignements; 
  2. Les rôles et responsabilités des membres du personnel, et ce, de la collecte à la destruction desdits renseignements; 
  3. Un processus de traitement des plaintes. 

 

  • Réalisation de l’évaluation des facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (voir les art. 3.3 et 3.4). 

 

  • Détermination des fins de la collecte des renseignements personnels avant la collecte (voir l’art. 4).

 

  • Relativement au consentement des personnes concernées par la collecte des renseignements personnels : 

 

  1. Au moment de la collecte, l’entreprise qui recueille les renseignements personnels doit informer la personne concernée de certaines informations précises (fins de la collecte, nom des tiers pour qui la collecte est effectuée, etc.) (voir l’art. 8); 
  2. La personne concernée doit donner son consentement à la communication à un tiers de ses renseignements personnels (voir l’art. 13); 
  3. La demande de consentement écrite est distincte de toute autre information (voir l’art. 14); 
  4. Le consentement du mineur de moins de 14 ans est donné par le titulaire de l’autorité parentale ou le tuteur (voir les art. 4.1 et 14);
  5. L’utilisation de renseignements personnels sensibles à d’autres fins que celles spécifiquement présentées nécessite l’obtention du consentement exprès de la personne concernée (voir l’art. 12).

 

  • L’utilisation d’un renseignement personnel ne peut être faite que pour les fins auxquelles il a été recueilli (voir l’art. 12).

 

  • Adoption et publication d’une politique relative aux technologies comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer un profilage lorsque ces technologies sont utilisées par l’entreprise. De plus, l’entreprise ayant recours à une telle technologie doit en aviser, au préalable, la personne concernée (voir les art. 8.1 et 8.2). 

 

  • Avant toute communication de renseignements personnels à l’extérieur du Québec, l’entreprise doit faire une évaluation des facteurs relatifs à la vie privée. De plus, la communication devra faire l’objet d’une entente écrite entre les parties (voir l’art. 17). 

 

  • L’entreprise qui doit communiquer des renseignements personnels dans le cadre de l’exécution d’un contrat de service doit, préalablement à la communication, signer un contrat avec l’autre partie indiquant certains éléments relatifs à la protection des renseignements personnels. Le contrat doit inclure (voir l’art. 18.3) : 

 

  1. Les mesures que le cocontractant doit prendre pour assurer la protection des renseignements personnels qui lui sont communiqués; 
  2. L’utilisation que le cocontractant peut faire des renseignements personnels communiqués;
  3. Que le cocontractant ne peut conserver les renseignements après l’expiration du contrat. 

 

  • L’entreprise qui offre des produits ou des services technologiques doit s’assurer que les paramètres par défaut soient ceux offrant le plus haut niveau de confidentialité (voir l’art. 9.1). 

 

  • Si l’entreprise utilise un traitement automatisé des renseignements personnels pour rendre une décision, elle doit informer la personne concernée au plus tard au moment de rendre ladite décision et doit aussi donner l’occasion à la personne concernée de présenter ses observations à l’entreprise pour réviser ladite décision (voir l’art. 12.1). 

 

  • Lorsque les fins pour lesquelles les renseignements personnels sont recueillis sont accomplies, l’entreprise doit les détruire ou les anonymiser (voir l’art. 23). 

 

  • La personne concernée peut exiger de l’entreprise de cesser de diffuser un renseignement la concernant ou de désindexer l’hyperlien y étant rattaché (voir l’art. 28.1) lorsque les conditions prévues sont remplies. 

 

  • Le responsable de la protection des renseignements personnels doit répondre par écrit à toute demande d’accès ou de rectification au plus tard dans les 30 jours de la réception de la demande (voir l’art. 32.

 

  • Le refus d’accéder à une demande doit être motivé et faire part des dispositions et des recours qui s’offrent à la personne concernée (voir l’art. 34). 

 

La mesure suivante entre en vigueur le 22 septembre 2024

 

  • Un renseignement personnel informatisé transmis par une personne concernée lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé (voir l’art. 27). 

 

Il faut aussi mentionner que la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels introduit de nouvelles sanctions pour l’entreprise qui ne se conforme pas aux dispositions législatives en matière de protection des renseignements personnels, lesquelles entreront en vigueur le 22 septembre 2023 :

 

  1. Une sanction administrative pécuniaire pouvant aller jusqu’à un maximum de 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’exercice financier précédent pour une personne morale (voir les art. 90.1 et 90.12); 

 

  1. Pour une infraction pénale, une amende de 15 000 $ à 25 000 000 $ ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent pour une personne morale. En cas de récidive, les amendes sont portées au double (voir les art. 91 et 92.1). 

 

Serez-vous prêts à temps? Nous sommes disposés à vous aider au moment d’adapter vos façons de faire afin et vous conformer aux différentes modifications intervenues à la Loi sur la protection des renseignements personnels dans le secteur privé (R.L.R.Q. ch. P-39.1).

 

Publication décembre 2021

Dernière révision octobre 2022