Ce jeudi 22 septembre 2022 marque l’entrée en vigueur au Québec de la première série d’exigences prévues par le projet de loi n^o 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Les autres exigences entreront en vigueur par étapes, soit en septembre 2023 et en septembre 2024.

Le projet de loi n^o 64 modifie considérablement la loi applicable au secteur privé au Québec, soit la Loi sur la protection des renseignements personnels dans le secteur privé, qui s’applique aux entreprises du secteur privé établies au Québec ainsi qu’aux sociétés de l’extérieur de la province qui, dans le cadre de leurs activités, utilisent les renseignements personnels de résidents du Québec. De plus, l’organisme de réglementation de la protection des renseignements personnels au Québec, la Commission d’accès à l’information (la « CAI »), a déjà établi sa compétence sur des entreprises sous réglementation fédérale (voir D’Allaire c. Transport Robert (Québec) 1973 ltée, 2020 QCCAI 152). Par conséquent, les entreprises sous réglementation fédérale doivent être également au courant des modifications qu’apporte le projet de loi n^o 64 à la collecte, à l’utilisation ou à la divulgation de renseignements personnels.

La loi, en sa version modifiée, prévoit que des sanctions administratives pécuniaires dont le montant pourrait aller jusqu’à dix millions de dollars canadiens ou 2 % du chiffre d’affaires mondial de l’exercice financier précédent pourraient être imposées aux sociétés qui contreviennent à certaines dispositions de la loi, et des amendes pouvant aller jusqu’à 25 millions de dollars canadiens ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent pourraient être imposées relativement à plusieurs nouvelles infractions créées par le projet de loi n^o 64. En outre, le projet de loi prévoit un droit privé d’action à l’égard de certains actes ou omissions.

Principales modifications qui sont entrées en vigueur le 22 septembre 2022

1. Responsables de la protection des renseignements personnels

À compter du 22 septembre 2022, par défaut, la personne ayant la plus haute autorité au sein d’une entreprise (par exemple, le chef de la direction) sera considérée comme étant le « responsable de la protection des renseignements personnels », nouvelle fonction requise en vertu de la loi, en sa version modifiée. Les sociétés peuvent déléguer cette fonction (essentiellement, un responsable de la protection des renseignements personnels) à un membre du personnel de l’entreprise ou à un tiers externe, à condition de le faire par écrit.

Aucune compétence particulière n’est exigée pour exercer cette fonction et la personne qui l’assume ne doit pas obligatoirement se trouver au Québec (ou au Canada). Toutefois, elle doit être au courant des exigences prévues par la loi.

Les entreprises sont également tenues de publier sur leur site Web le « titre et les coordonnées » du responsable de la protection des renseignements personnels. Son nom n’est pas requis.

Mesures à prendre :

• Veiller à ce qu’une délégation écrite appropriée ait été rédigée et autorisée.
• Une telle délégation doit être courte et simple, mais vous devriez envisager d’y inclure la description des activités qui sont expressément visées par la délégation et dont la responsabilité incombe, en vertu de la loi, en sa version modifiée, au responsable de la protection des renseignements personnels :
  • Approuver les politiques et les pratiques encadrant la gouvernance en matière de protection des renseignements
  • Participer à la réalisation d’une évaluation des facteurs relatifs à la vie privée (l’« EFVP») et suggérer des mesures permettant d’assurer la protection des renseignements personnels visés par le projet.
  • Enregistrer toute communication à une autre entreprise ou à un autre organisme public qui est susceptible d’atténuer le préjudice causé par un incident de confidentialité.
  • Conseiller l’entreprise dans le cadre de l’évaluation du préjudice causé par un incident de confidentialité.
• S’assurer que les sites Web et autres documents relatifs à la protection des renseignements personnels contiennent le titre et les coordonnées du responsable de la protection des renseignements

2. Obligation de déclaration de toute violation

Les dispositions relatives à la gestion des « incidents de confidentialité » sont aussi entrées en vigueur le 22 septembre 2022. Plus particulièrement, si un incident de confidentialité présente un « risque qu’un préjudice sérieux soit causé », l’entreprise doit, « avec diligence », aviser la CAI et les personnes concernées. L’entreprise peut, à sa discrétion, aviser également toute personne ou tout organisme susceptible de diminuer ce risque.

De plus, conformément au projet de Règlement sur les incidents de confidentialité, les sociétés doivent conserver les registres des incidents de confidentialité pendant une période de cinq ans après la date ou la période au cours de laquelle la société a pris connaissance de l’incident.

Mesures à prendre :

• Mettre à jour les plans d’intervention en cas d’incidents existants afin d’y inclure les nouvelles exigences du Québec (y compris indiquer les différences entre les exigences des régimes fédéral, de l’Alberta et du Québec).
  • Comprendre la portée du terme « incident de confidentialité » et le fait qu’elle est possiblement plus large que celle que lui donnent les dispositions fédérales relatives aux « atteintes aux mesures de sécurité ».
  • Comprendre comment évaluer le « risque qu’un préjudice sérieux soit causé » et les facteurs qui doivent être pris en considération (c’est‑à‑dire la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables). Il importe de souligner que la personne qui effectue cette évaluation doit également « consulter » le responsable de la protection des renseignements personnels; il faut donc s’assurer d’intégrer cette exigence aux procédés ou aux politiques établis.
  • Dresser la liste des éléments qui doivent être inclus dans les rapports qui doivent être présentés à la CAI (c’est‑à‑dire (1) le nom et les coordonnées de la société, (2) la description des renseignements personnels concernés ou la raison pour laquelle ceux‑ci ne sont pas connus, (3) la description des circonstances dans lesquelles l’incident s’est produit, (4) la date à laquelle ou la période au cours de laquelle l’incident s’est produit ou, si ce renseignement n’est pas connu, la période approximative au cours de laquelle il s’est produit, (5) le nombre de personnes concernées et le nombre de celles‑ci qui résident au Québec, (6) la description des facteurs qui ont mené l’entreprise à conclure qu’il existait un risque qu’un préjudice sérieux soit causé, (7) les mesures que l’entreprise a prises ou compte prendre pour aviser les personnes concernées, (8) les mesures que l’organisme a prises ou compte prendre après que l’incident s’est produit et (9) les avis qui ont été donnés aux organismes situés à l’extérieur du Québec qui remplissent une fonction similaire à celle de la CAI (par exemple, les autorités chargées de la protection des données)).
  • Dresser la liste des renseignements à inclure dans les avis qui doivent être donnés aux personnes concernées (c’est‑à‑dire (1) la description des renseignements personnels concernés ou la raison pour laquelle ceux‑ci ne sont pas connus, (2) la description des circonstances dans lesquelles l’incident s’est produit, (3) la date à laquelle ou la période au cours de laquelle l’incident s’est produit ou, si ce renseignement n’est pas connu, la période approximative au cours de laquelle il s’est produit, (4) la description des mesures que l’entreprise a prises ou compte prendre après que l’incident s’est produit dans le but de réduire le risque de préjudice, (5) les mesures que l’entreprise suggère aux personnes concernées de prendre afin de réduire le risque de préjudice ou d’atténuer un tel préjudice et (6) les coordonnées permettant à la personne concernée d’obtenir de plus amples renseignements.
• Dresser un modèle de registre recensant TOUS les incidents de confidentialité (même ceux qui ne présentent pas un risque qu’un préjudice sérieux soit causé) afin de s’assurer que les incidents y soient consignés de façon uniforme et que tous les renseignements requis par le projet de règlement y figurent (c’est‑à‑dire (1) la description des renseignements personnels concernés par l’incident ou la raison pour laquelle ceux‑ci ne sont pas connus, (2) les circonstances dans lesquelles l’incident s’est produit, (3) la date à laquelle ou la période au cours de laquelle l’incident s’est produit, (4) la date à laquelle ou la période au cours de laquelle l’entreprise a pris connaissance de l’incident, (5) le nombre de personnes concernées, (6) la description des facteurs qui ont mené l’entreprise à conclure qu’il existait ou non un risque qu’un préjudice sérieux soit causé, (7) les dates auxquelles les rapports ont été envoyés à la CAI ou les avis ont été envoyés aux personnes concernées ou à des tiers et le fait que l’entreprise a émis ou non un avis public et la raison sous‑jacente à cette décision et (8) la description des mesures que les entreprises ont prises pour réduire le risque qu’un préjudice soit causé.

3. Exceptions à l’obligation d’obtenir un consentement

Deux exceptions relatives à l’obligation d’obtenir un consentement sont entrées en vigueur.

La première exception concerne les transactions commerciales pour lesquelles le consentement n’est plus nécessaire à la condition qu’une entente écrite ait été conclue prévoyant que l’entreprise qui reçoit les renseignements personnels doit s’engager à les utiliser uniquement aux fins de la conclusion de la transaction commerciale et à ne pas les communiquer sans le consentement de la personne concernée, à moins que la loi ne le permette d’une autre manière. L’entreprise qui reçoit les renseignements doit également s’engager à prendre les mesures nécessaires pour assurer la protection du caractère confidentiel des renseignements et détruire ceux‑ci si la transaction commerciale n’est pas conclue ou si l’utilisation de ceux‑ci n’est plus nécessaire.

La deuxième exception concerne l’utilisation à des fins de recherche ou de production de statistiques. Le projet de loi n^o 64 remplace le processus d’autorisation actuel par un nouveau cadre qui oblige les sociétés à procéder à une EFVP afin d’établir si les renseignements personnels sont nécessaires pour atteindre l’objectif visé et s’il est déraisonnable d’exiger l’obtention d’un consentement. En outre, l’EFVP doit conclure que l’objectif de la recherche l’emporte sur l’incidence de la communication des renseignements personnels et que seuls les renseignements nécessaires sont utilisés d’une manière qui permet à en protéger la confidentialité.

Mesures à prendre :

• Modifier les modèles d’ententes afin de tenir compte des dispositions nécessaires pour permettre à l’entreprise de conclure une transaction commerciale sans devoir obtenir de consentement.

4. Inscription des systèmes d’information biométrique

Le projet de loi n^o 64 apporte également des modifications à la Loi concernant le cadre juridique des technologies de l’information du Québec (la « Loi sur les TI du Québec ») au sujet des obligations de divulgation concernant l’utilisation de bases de données biométriques. Auparavant, les entreprises étaient tenues d’aviser la CAI de la création d’une « banque de caractéristiques […] biométriques » et d’obtenir le consentement exprès des personnes concernées avant de faire la collecte de leurs données biométriques.

Le projet de loi n^o 64 prévoit qu’il sera désormais obligatoire pour les entreprises d’aviser la CAI avant d’utiliser toute « technique biométrique » permettant de vérifier ou de confirmer l’identité d’une personne, même si aucune donnée biométrique n’est stockée dans une base de données.

En outre, le projet de loi n^o 64 prévoit désormais un délai aux fins de la notification, modifiant la Loi sur les TI du Québec de manière à obliger les entreprises à aviser la CAI lorsqu’elles créent une banque de données biométriques au plus tard 60 jours avant sa mise en service.

Enfin, le projet de loi n^o 64 précise que les renseignements biométriques sont des renseignements sensibles et les entreprises devraient s’assurer de mettre en place des mesures de protection qui tiennent compte de cette désignation.

Mesures à prendre :

• Examiner les projets et initiatives prévus afin d’établir si quelque « technique biométrique » que ce soit sera utilisée.
• Mettre à jour les modèles d’évaluation des facteurs relatifs à la vie privée (l’« EFVP») afin d’y inclure des questions sur la mesure dans laquelle des renseignements biométriques seront utilisés ou non, sur les renseignements biométriques stockés ou les bases de données créées, ou encore sur la mesure dans laquelle des techniques biométriques seront utilisées ou non.
• Examiner les méthodes des tiers fournisseurs ou prestataires de services afin d’établir s’ils utilisent des techniques biométriques.
• Examiner les méthodes de traitement des renseignements biométriques.

Si vous avez besoin de plus amples renseignements au sujet des modifications aux lois sur la protection de la vie privée et des renseignements personnels au Québec ou ailleurs au Canada, veuillez communiquer avec un membre du groupe Cybersécurité et protection de la vie privée et des renseignements personnels au Canada de Dentons.

Pour obtenir de plus amples renseignements au sujet des compétences en matière de données de Dentons et de la façon dont nous pouvons vous aider, veuillez consulter notre gamme de solutions de données unique Dentons Data (en anglais seulement) destinées à tous les types d’entreprises, y compris les vérifications sur le plan de la protection des renseignements personnels, l’examen et la mise en œuvre de programmes en matière de protection des renseignements personnels, le mappage de données et l’analyse des écarts, ainsi que la formation relative aux renseignements personnels.

Les auteurs tiennent à remercier leur co-auteur, Dan Mackwood, étudiant stagiaire, pour son aide dans la rédaction du présent article.