En toute confidentialité: Il est temps de jeter un (nouveau) coup d'oeil à‎ vos politiques et pratigues en matière de vie privée au Québec

L'arrivée de la nouvelle année est un moment idéal pour les entreprises qui souhaitent revoir et mettre à jour leurs politiques internes. Face aux changements importants récemment apportés à la législation québécoise en matière de vie privée, nous recommandons fortement à toutes les entreprises ayant des activités dans la province d’entreprendre un examen de leurs pratiques et politiques en matière de vie privée.

Bien que la plupart des changements n’entreront en vigueur que plus tard dans la nouvelle année (septembre 2022) et l’année suivante (septembre 2023), leur importance fait en sorte qu’il est nécessaire pour les entreprises de démarrer immédiatement un processus pour repenser et mettre à jour leurs politiques et pratiques en matière de vie privée afin de se conformer aux nouvelles exigences en temps utile.

Bien que cette réforme législative ait amené des changements dans plusieurs lois du Québec, le présent bulletin s’intéresse exclusivement aux changements importants apportés à la Loi sur la protection des renseignements personnels dans le secteur privé, qui ont reçu la sanction royale le 22 septembre 2021 et qui auront un impact important sur les entreprises du secteur privé pour l’avenir :

Changements entrant en vigueur le 22 septembre 2022

• Obligation de nommer une personne responsable de la protection des renseignements personnels, qui est responsable d’assurer le respect de la loi au sein de l’entreprise, ainsi que de publier les coordonnées de cette personne sur le site Web de l’entreprise ou d’un autre moyen accessible au public;
•  Obligation d’aviser la Commission d’accès à l’information (« CAI ») ainsi que toute personne concernée lorsqu’un incident de confidentialité impliquant un renseignement personnel risque de causer un préjudice sérieux;
• Obligation de prendre les mesures raisonnables pour diminuer le risque qu’un préjudice soit causé par un incident de confidentialité, et pour éviter que de nouveaux incidents de nature similaire ne se produisent à nouveau à l’avenir;
• Obligation de tenir un registre des incidents de confidentialité, indiquant notamment la date de l’incident et le nombre d’individus affectés, dont copie devra être transmise à la CAI sur demande;
• Possibilité, dans le contexte d’une transaction commerciale, de communiquer des renseignements personnels à l’autre partie à la transaction sans le consentement de la personne concernée, dans la mesure où une entente respectant certains critères est mise en place.

Changements entrant en vigueur le 22 septembre 2023

• Certains changements concernant l’exigence de consentement et l’information qui doit être fournie au moment de recueillir celui-ci;
• Obligation d’adopter une politique et des pratiques en matière de vie privée, qui doivent être proportionnées à la taille de l’entreprise et à la nature de ses activités, et de publier de l’information suffisante quant à ces pratiques sur le site Web de l’entreprise en termes simples et clairs;
• Obligation de procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services qui implique la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels;
• Obligation de procéder à une évaluation des facteurs relatifs à la vie privée avant de communiquer à l’extérieur du Québec des renseignements personnels afin de s’assurer que ces renseignements bénéficieront d’une protection adéquate dans la juridiction de destination;
• Certaines obligations en lien avec la prise de décisions fondées sur un traitement automatisé de renseignements personnels;
• Les entreprises qui recueillent des renseignements personnels au moyen de technologies disposant de paramètres de confidentialité doivent s’assurer que les paramètres assurant le plus haut niveau de confidentialité soient activés par défaut;
• Certaines exigences de divulgation en lien avec la collecte de renseignements personnels au moyen de technologies de localisation ou de profilage;
• Exigence d’un consentement exprimé de façon expresse pour la collecte de renseignements personnels sensibles;
• Exigence de présenter une demande de consentement écrite distinctement de toute autre information communiquée à la personne concernée, ainsi que de prêter assistance à la personne afin de l’aider à comprendre la portée du consentement demandé;
• Possibilité de communiquer des renseignements personnels sans le consentement de la personne concernée à un fournisseur de service, dans la mesure où une entente écrite avec ce fournisseur est mise en place pour la gestion et la protection de ces renseignements personnels;
• Possibilité pour une personne de demander, dans certaines situations, qu’une entreprise qui détient ses renseignements personnels cesse de diffuser ces renseignements et que tout hyperlien rattaché à son nom permettant d’accéder à ces renseignements soit désindexé (le « droit à l’oubli »).

Un autre changement important, qui entrera en vigueur en septembre 2024, est le droit pour une personne d’obtenir sur demande une copie de ses renseignements personnels qui sont détenus par une entreprise dans un format  technologique structuré et couramment utilisé (le « droit à la portabilité »).

Bien que la plupart des changements qui affecteront le secteur privé ne soient pas en vigueur présentement, la portée de ces changements, ainsi que les nouvelles pénalités substantielles qui sont associées à ces nouvelles exigences font en sorte qu’il est essentiel que les entreprises démarrent leur processus de mise à niveau immédiatement. En effet, en vertu de la nouvelle loi, une infraction pourrait mener à des sanctions administratives pouvant aller jusqu’à 10 millions $ ou 2% du chiffre d’affaires mondial de l’exercice financier précédent, ainsi qu’à des amendes pouvant aller jusqu’à 25 millions $ ou 4% du chiffre d’affaires mondial de l’exercice financier précédent. La nouvelle loi donnera également à la CAI des pouvoirs accrus de vérification, de surveillance, et d’émettre des directives contraignantes en lien avec les pratiques des entreprises en matière de vie privée.

Nous vous encourageons à communiquer avec votre conseiller juridique local en matière de vie privée afin d’aider votre organisation à négocier ces changements complexes.