MAGAZINE CONSTAS

La protection des renseignements personnels au Québec

Une réforme en profondeur avec le projet de loi 64

CHRONIQUE JURIDIQUE / AVIS DE COUR

Depuis les années 1990, le droit pour les entreprises québécoises de recueillir, d’utiliser et de communiquer les renseignements personnels de leurs clients et employés est régi par les dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le secteur privé). Or, le monde des affaires a beaucoup changé depuis 30 ans, de sorte que la Loi sur le secteur privé est désormais mal adaptée à la réalité technologique des entreprises québécoises.

Par Dominic Dupoy *

Au cours de l’été 2020, le gouvernement québécois a donc déposé le projet de loi 64 intitulé Loi modernisant des dispositions législatives en matière de protection des renseignements personnels et qui prévoit une réforme en profondeur du droit à la protection des renseignements personnels. Nous ne savons pas encore à quelle date la nouvelle loi entrera en vigueur, mais tout indique que ce sera au cours de l’année 2021.

Les modifications envisagées par le projet de loi 64 augmenteront sensiblement les risques liés au traitement des renseignements personnels pour les entreprises québécoises.

Le projet de loi 64 prévoit un très grand nombre de modifications législatives. Certaines modifications qui visent à mieux encadrer le commerce en ligne auront probablement peu d’impact sur les activités des entreprises œuvrant dans le secteur de la construction. Or, d’autres modifications sont toutefois susceptibles d’affecter ces entreprises. Les voici.

 

Personne responsable au sein de l’entreprise. La personne ayant la plus haute autorité au sein de l’entreprise, donc le président, exercera la fonction de responsable de la protection des renseignements personnels détenus par l’entreprise. Il lui sera toutefois permis de déléguer ladite fonction à un membre du personnel. Le titre et les coordonnées de la personne responsable devront être publiés sur le site Internet de l’entreprise ou par un autre moyen.

Politiques relatives à la protection des renseignements personnels. — Les entreprises devront adopter des politiques encadrant la collecte et l’utilisation des renseignements personnels recueillis par l’entremise d’un moyen technologique. Ces politiques devront être publiées sur le site Internet de l’entreprise ou par un autre moyen.

Privacy by design. Sera dorénavant intégré en droit québécois le principe de protection des renseignements personnels dès la conception (le privacy by design, déjà applicable en Europe). Les entreprises devront ainsi penser aux questions relatives à la protection des renseignements personnels avant d’élaborer et de mettre en œuvre un nouveau système informatique.

Obligation d’aviser la Commission lors d’un incident de confidentialité. Les entreprises québécoises devront aviser la Commission d’accès à l’information du Québec et l’ensemble des personnes concernées s’il existe un risque qu’un préjudice sérieux soit causé par un incident de confidentialité **.

Transmission de renseignements personnels à l’extérieur du Québec. Seront créées de nouvelles règles encadrant la transmission de renseignements personnels à l’extérieur du Québec. Avant de communiquer des renseignements personnels à l’extérieur du Québec, dans un pays ou une province donnés, l’entreprise devra en analyser les lois en vigueur, et tout transfert de renseignements personnels n’y seront permis que dans le cas d’une protection équivalente à celle du Québec***.

Conclusion d’une transaction commerciale. Se verra consacrée l’importance pour les entreprises d’obtenir le consentement des personnes pour recueillir, utiliser et communiquer des renseignements personnels les concernant. Comme la Loi sur le secteur privé avant lui, le projet de loi 64 prévoit toutefois plusieurs exceptions à ce chapitre, dont la communication à un tiers en vue de compléter une transaction commerciale impliquant strictement un transfert de propriété de l’entreprise ****.

Augmentation des amendes et pénalités. Est prévue une augmentation très importante des pénalités maximales susceptibles d’être imposées à la suite d’une contravention à la Loi. L’amende maximale pour une contravention de nature administrative passe à 10 000 000 $ ou 2% du chiffre d’affaires mondial de l’exercice financier précédent, si ce dernier montant est plus élevé. L’amende maximale pour une infraction de nature pénale passe quant à elle à 25 000 000 $ ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent, si ce dernier montant est plus élevé.

Conclusion

Les modifications envisagées par le projet de loi 64 augmenteront sensiblement les risques liés au traitement des renseignements personnels pour les entreprises québécoises. Cela apparaît d’autant plus vrai que ce projet de loi crée également un nouveau droit d’action privé à l’usage des personnes qui souhaitent porter plainte pour atteinte à la confidentialité de leurs renseignements personnels. Les entreprises devront donc modifier certaines de leurs pratiques afin de se conformer à la nouvelle loi. ■



* Dominic Dupoy est avocat-conseil chez Norton Rose Fulbright Canada S.E.N.C.R.L., s.r.l.

** Le projet de loi 64 établit un régime similaire au régime fédéral. La loi fédérale prévoit l’obligation d’aviser le Commissaire à la vie privée et l’ensemble des personnes concernées de la survenance d’un incident de confidentialité (data breach), soit essentiellement un vol, une perte ou un accès non autorisé aux renseignements personnels de l’entreprise.


*** Pour faciliter cette analyse, le gouvernement devrait publier une liste des pays ou provinces dont la loi offre une protection équivalente à celle du Québec. Nous ne savons pas encore si les États-Unis se retrouveront sur cette liste.


**** Il s’agit d’une exception que l’on retrouve déjà dans la loi fédérale.