Avec l’adoption de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels[1] (la « Loi C-25 »), sanctionnée le 22 septembre 2021, des modifications ont été apportées notamment à la Loi sur la protection des renseignements personnels dans le secteur privé[2] (la « Loi dans le secteur privé ») et à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels[3] (la « Loi sur l’accès »).
L’objectif visé par ces changements est de renforcer la protection accordée aux renseignements personnels au Québec et d’adapter le cadre législatif à la réalité d’aujourd’hui. L’entrée en vigueur de ces changements législatifs sera progressivement mise en application sur une période de trois ans, s’échelonnant jusqu’en septembre 2024.
Une première série de mesures entrera cependant en vigueur dès le 22 septembre 2022, engendrant des changements importants pour les organisations du secteur public et du secteur privé en matière de protection des renseignements personnels.
Voici un aperçu des principales modifications qui prendront effet à compter du 22 septembre 2022 :
1. Responsabilité relative à la protection des renseignements personnels
Tout d’abord, par le biais de la Loi C-25, le législateur québécois vient concrétiser l’idée que, pour chaque organisation, une personne doit être responsable de la protection des renseignements personnels.
Ainsi, toute entreprise privée, quelle que soit sa taille, devra dorénavant avoir un responsable de la protection des renseignements personnels. Par défaut, il s’agira de la personne ayant la plus haute autorité au sein de l’entreprise. Il sera cependant possible de déléguer cette fonction par écrit, en tout ou en partie, à toute personne, c’est-à-dire à une personne au sein de l’entreprise ou à l’externe. Le titre et les coordonnées du responsable de la protection des renseignements personnels devront obligatoirement être publiés sur le site internet de l’entreprise ou, si elle n’a pas de site, rendus accessibles par tout autre moyen approprié.
La Loi sur l’accès (visant les organismes publics) prévoyait déjà que la personne ayant la plus haute autorité au sein d’un organisme public exerçait les fonctions de responsable de l’accès aux documents ou de responsable de la protection des renseignements personnels. Cette loi prévoyait également déjà la possibilité pour cette personne de déléguer, par écrit, en tout ou en partie, ses fonctions à un membre de l’organisme, à un membre de son conseil d’administration ou encore à un membre de son personnel de direction, moyennant la transmission d’un avis à cet effet à la Commission d’accès à l’information (la « Commission »).
La Loi C-25 vient préciser qu’à compter du 22 septembre 2022, cet avis devra être envoyé à la Commission « dès que possible », que cet avis devra être fait par écrit et qu’il devra contenir le titre, les coordonnées et la date d’entrée en fonction de la personne exerçant la fonction de responsable de l’accès aux documents et ceux de la personne exerçant la fonction de responsable de la protection des renseignements personnels.
De plus, la Loi C-25 vient prévoir que, dorénavant, la personne ayant la plus haute autorité au sein de l’organisme public devra veiller à faciliter l’exercice des fonctions de responsable de l’accès aux documents et de responsable de la protection des renseignements personnels si elle n’exerce pas elle-même ces fonctions. Enfin, avec la Loi C-25, la personne ayant la plus haute autorité au sein de l’organisme aura désormais la responsabilité de s’assurer du respect et de la mise en œuvre de la Loi sur l’accès.
2. La création d’un comité sur l’accès à l’information et la protection des renseignements personnels à l’intérieur d’un organisme public
Sauf exception[4], les organismes publics auront l’obligation d’avoir mis en place, à compter du 22 septembre 2022, un comité sur l’accès à l’information et la protection des renseignements personnels. La principale responsabilité de ce comité sera de soutenir l’organisme dans l’exercice de ses responsabilités et dans l’exécution de ses obligations en vertu de la Loi sur l’accès. Le comité devra relever de la personne ayant la plus haute autorité au sein de l’organisme[5] et devra être composé de la personne responsable de l’accès aux documents, de celle responsable de la protection des renseignements personnels et de toute autre personne dont l’expertise est requise, provenant de l’interne ou de l’externe.
3. Déclaration des incidents de confidentialité et tenue obligatoire d’un registre
Toute organisation, du secteur privé ou du secteur public, devra dorénavant, avec diligence, aviser la Commission et les personnes concernées de tout incident de confidentialité qui implique un renseignement personnel qu’elle détient et présentant un risque sérieux de préjudice.
On entend par « incident de confidentialité » l’accès non autorisé par la loi à un renseignement personnel, l’utilisation ou la communication, non autorisée par la loi, d’un renseignement personnel, ainsi que la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un renseignement personnel.
Exemple : Jean-Claude, Directeur des ressources humaines au sein de l’entreprise ABC inc., se trompe de destinataire lorsqu’il transmet un courriel contenant divers renseignements personnels concernant une série d’employés de l’entreprise (numéro d’assurance sociale, numéro de compte en banque, adresse, numéro de téléphone, etc.). Cette situation pourrait nécessiter, selon le contexte, une intervention auprès de la Commission et des personnes impliquées. |
L’évaluation du risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité devra se faire en considérant plusieurs facteurs, dont la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables.
Les organisations devront également tenir un registre des incidents de confidentialité, incluant les incidents qui ne présentent pas un risque de préjudice sérieux pour les personnes, et transmettre copie de ce registre à la Commission sur demande. Un projet de règlement[6] visant à préciser la teneur de ce registre, ainsi que le contenu et les modalités des avis concernant les incidents de confidentialité a été publié par le Gouvernement du Québec et entrera en vigueur le 22 septembre 2022. Nous pourrons vous fournir plus de détails à ce sujet, à votre demande.
4. Nouvelles règles encadrant la communication d’un renseignement personnel sans le consentement de la personne concernée
De nouvelles règles sont mises en place afin de permettre aux organisations de communiquer des renseignements personnels sans le consentement de la personne concernée.
Ainsi, les entreprises pourront dorénavant, à certaines conditions, communiquer des renseignements personnels sans le consentement de la personne concernée :
- dans le cadre de la conclusion d’une transaction commerciale ;
- dans le cadre de l’exercice d’un mandat ou d’un contrat de services ou d’entreprise ; et
- à des fins d’étude, de recherche ou de production de statistiques.
En ce qui concerne les organismes publics, la Loi C-25 abroge l’obligation d’obtenir l’autorisation de la Commission afin de recevoir, à des fins d’étude, de recherche ou de production de statistiques, communication de renseignements personnels sans le consentement des personnes concernées. Ainsi, à compter du 22 septembre 2022, les organismes publics pourront communiquer ou recevoir des renseignements personnels à des fins d’étude, de recherche ou de production de statistiques sans le consentement des personnes concernées, et sans l’autorisation de la Commission, si certaines conditions, dont la conclusion d’une entente de protection des renseignements, sont remplies.
5. L’utilisation de procédés permettant de saisir des caractéristiques ou des mesures biométriques
La Loi concernant le cadre juridique des technologies de l’information[7] prévoyait déjà que, pour exiger que la vérification ou la confirmation de l’identité d’une personne se fasse au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques, le consentement de cette personne était nécessaire.
À compter du 22 septembre 2022, en plus d’obtenir le consentement de la personne concernée afin d’utiliser un tel procédé, il sera requis de divulguer préalablement l’utilisation de ce procédé à la Commission. La création d’une banque de caractéristiques ou de mesures biométriques devra également être divulguée à la Commission au plus tard 60 jours avant sa mise en service. La Loi C-25 prévoit ainsi un délai maximal pour effectuer cette divulgation préalable, qui était déjà requise en vertu de la Loi concernant le cadre juridique des technologies de l’information.
Article rédigé par Me Charlotte Côté et Me Alexis Paquette-Trudeau
[1] Anciennement le Projet de loi n°64 ;
[2] RLRQ, c.P-39.1 ;
[3] RLRQ, c. A-2.1 ;
[4] Le gouvernement peut, par règlement, exclure un organisme public de l’obligation de former ce comité ou modifier les obligations d’un organisme en fonction de critères qu’il définit ;
[5] Le comité relève du sous-ministre dans le cas d’un ministère et, dans le cas d’une municipalité, d’un ordre professionnel ou d’une commission scolaire, du directeur général ;
[6] Voir le projet de Règlement sur les incidents de confidentialité (2022) 26 G.O. II, 3935 ;
[7] RLRQ, c.C-1.1.