Réforme des règles québécoises entourant la protection des renseignements personnels : Ce que les entreprises privées doivent savoir

Le 22 septembre dernier est entrée en vigueur la première partie des dispositions de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels[1], également appelé la Loi 25 (la « Loi 25 »), laquelle entre autres, modernise la Loi sur la protection des renseignements personnels dans le secteur privé. Un excellent résumé a été préparé par ma collègue Mélanie Masson paru le 25 février dernier au sujet des nouvelles obligations entrant en vigueur pour cette première phase[2].

Il est maintenant temps de s’attarder à quelques obligations qui entreront en vigueur le 22 septembre 2023.

 

  1. Mise en place d’une politique de confidentialité[3]

La Loi 25 obligera les entreprises à établir des règles encadrant la gouvernance à l’égard des renseignements personnels. La politique doit assurer la protection des renseignements personnels, en prévoyant notamment l’encadrement de la conservation et la destruction des renseignements personnels, en établissant les rôle et responsabilité de ses employés tout au long de la détention des renseignements et finalement, en prévoyant un processus de traitement des plaintes. La Loi 25 ajoute également un critère de proportionnalité, afin que les règles de confidentialité mises en place soient proportionnelles à la nature de l’information collectée et à l’importance des activités de l’entreprise.

Il sera obligatoire de publier, sur le site Internet de l’entreprise, en termes simples et clairs des informations détaillées relatives aux politiques et pratiques encadrant la gestion des renseignements personnels, notamment des détails relatifs aux informations mentionnées ci-dessus.

 

  1. Évaluation des facteurs relatifs à la vie privée (ÉFVP)

La Loi 25 met en place l’exigence de procéder à une évaluation des facteurs relatifs à la vie privée (« ÉFVP ») lorsque les circonstances de la collecte de donnée l’exigent. Notons que la ÉFVP est un concept inscrit dans la loi fédérale en matière de vie privée et mis en application depuis plusieurs années via le Commissariat à la protection de la vie privée du Canada.

En somme, les ÉFVP visent à atténuer le risque de collecte, d’utilisation, de communication, de conservation ou de retrait inappropriés ou non autorisés de renseignements personnels. Ce processus de gestion des risques doit permettre aux entreprises privées de s’assurer qu’elles respectent les exigences de la Loi 25 et à déterminer l’incidence éventuelle de leurs activités sur la vie privée.

La Loi 25 mentionne notamment que tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignement personnel exige une ÉFVP. La communication, le cas échéant, peut s’effectuer si la ÉFVP démontre que le renseignement bénéficierait d’une protection adéquate. Cette évaluation doit être chapeautée par le responsable de la protection des renseignements personnels de l’entreprise (exigence en vigueur depuis le 22 septembre 2022) et faire l’objet d’une entente écrite détaillant les résultats de l’évaluation et les mesures convenues afin d’atténuer les risques identifiés par la ÉFVP.

 

  1. Droit à la cessation de la diffusion, le droit à la réindexation ou à la désindexation (le droit à l’oubli).

Toute personne concernée peut exiger qu’un renseignement personnel inexact, incomplet ou équivoque la concernant soit rectifié. Elle peut également exiger en cas de collecte, communication ou conservation illicite d’un renseignement personnel qu’il soit effectué en conformité de la loi.

Une personne peut également exiger que cesse la diffusion d’un renseignement ou que soit indexé ou réindexé tout hyperlien rattaché à son nom, lorsque la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire ou lorsque les trois critères suivants sont réunis (i) la diffusion lui cause un préjudice grave relativement à sa réputation ou sa vie privée; (ii) ce préjudice est manifestement supérieur à l’intérêt du public de connaître ce renseignement ou l’intérêt de toute personne de s’exprimer librement et (iii) la cession de la diffusion, la réindexation ou la désindexation demandée n’excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice.

Mis à part ces trois nouvelles dispositions, les entreprises privées devront respecter de nouvelles exigences en matière de consentement requis préalablement à une collecte, de destruction, de communication et d’utilisation des renseignements privés. La Commission d’accès à l’information a publié un outil « Aide-mémoire » afin d’aider les entreprises privées à se conformer aux nouvelles dispositions de la Loi 25 prenant effet le 22 septembre 2023 et 22 septembre 2024.

Par Catherine Demers

[1] 2021, chapitre 25.

[2] https://www.gascon.ca/2022/02/25/entreprises-du-secteur-prive-etes-vous-pretes-pour-la-premiere-phase-de-la-loi-modernisant-des-dispositions-legislatives-en-matiere-de-protection-des-renseignements-personnels/

[3] Article 103 de la Loi 25.