L’Assemblée nationale du Québec a adopté et le lieutenant-gouverneur du Québec a sanctionné le projet de loi 64, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi »). Entrée en vigueur le 22 septembre 2021, la Loi apporte un large éventail de modifications importantes à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « Loi concernant le secteur privé »), en plus de modifications à la législation concernant la protection des renseignements personnels dans le secteur public du Québec. En adoptant cette loi, le Québec s’est doté de la loi sur la protection des renseignements personnels la plus favorable aux consommateurs au Canada, une loi qui confère aux particuliers un plus grand pouvoir sur leurs renseignements personnels et impose de nombreuses obligations prescriptives aux sociétés (y compris les sociétés étrangères) qui « exploitent une entreprise » au Québec et qui traitent des renseignements personnels de résidents du Québec. Largement inspirée du Règlement général sur la protection des données (le « RGPD ») de l’Union européenne, la Loi prévoit un droit d’action privé, ainsi que des sanctions administratives et pénales substantielles pouvant s’élever jusqu’à 25 millions de dollars ou à 4 % du chiffre d’affaires mondial de l’exercice précédent, si cette dernière somme est plus élevée. Les sanctions sont doublées pour toute infraction pénale subséquente.

L’entrée en vigueur des dispositions de la Loi sera échelonnée sur une période de trois ans. Quelques-unes des dispositions entreront en vigueur un an suivant la date de la sanction du projet de loi, le 22 septembre 2022; la plupart des dispositions prendront effet un an plus tard, le 22 septembre 2023. Les entreprises faisant affaire au Québec devront déterminer et apporter les changements organisationnels et techniques requis par la nouvelle loi et pourraient souhaiter à cette fin tirer parti de l’expérience d’entreprises exerçant des activités ailleurs au Canada et aux États-Unis qui, en 2018, ont dû relever des défis semblables pour satisfaire aux obligations considérables du RGPD. La principale leçon que l’on peut dégager de cette expérience est la suivante : les entreprises qui ont vu le chemin menant à la conformité au RGPD comme un marathon plutôt qu’un sprint ont beaucoup mieux réussi à respecter leurs obligations de conformité dans les délais impartis.

Pour aider sur ce chemin les entreprises visées par la Loi concernant le secteur privé et pour faire en sorte qu’elles se conforment en temps voulu à la Loi, nous avons préparé un exposé de certaines de ses principales exigences.

Principales dispositions

Déclaration et notification d’incidents de confidentialité

Jusqu’à maintenant, la législation québécoise sur la protection des renseignements personnels n’a imposé que des obligations limitées aux entreprises victimes d’une atteinte à la protection des données. La Loi ouvre la porte à plusieurs changements importants qui prendront effet le 22 septembre 2022. Les entreprises seront tenues de tenir un registre de tous les « incidents de confidentialité » survenus, c’est-à-dire les atteintes à la protection des renseignements personnels et l’accès, l’utilisation ou la communication non autorisés de renseignements personnels. Lorsqu’un tel incident pose un « risque qu’un préjudice sérieux soit causé », il devra également être notifié à la Commission d’accès à l’information (la « CAI »), l’organisme québécois de réglementation de la protection des renseignements personnels, ainsi qu’à toute personne dont les renseignements personnels sont visés.

De plus, les entreprises seront tenues de prendre des mesures raisonnables en vue de réduire le risque qu’un préjudice soit causé par un incident de confidentialité possible et d’empêcher de nouveaux incidents de même nature de se produire. Elles pourront à cette fin informer d’un incident toute personne ou tout organisme pouvant contribuer à réduire le risque de préjudice.

Transferts transfrontaliers

Avant de communiquer des renseignements personnels à l’extérieur du Québec, les entreprises devront confirmer que ces renseignements bénéficieront d’un niveau de protection adéquat selon les « principes de protection des renseignements personnels généralement reconnus ». Elles devront à cette fin procéder à une évaluation en prenant en considération les facteurs pertinents, dont la sensibilité des renseignements, la finalité de leur utilisation, les mesures de protection dont ils bénéficieraient (y compris les protections contractuelles), ainsi que le régime juridique et les principes de protection des renseignements applicables dans l’État destinataire. Cette évaluation devra être effectuée que les renseignements soient communiqués à un gestionnaire de renseignements étranger ou à un prestataire de services de traitement de données chargé de recueillir, d’utiliser, de communiquer ou de conserver de tels renseignements pour le compte de l’entreprise. De plus, la communication de renseignements personnels à l’extérieur du Québec devra faire l’objet d’une entente écrite tenant compte des résultats de cette évaluation et, le cas échéant, des modalités convenues dans le but d’atténuer les risques constatés dans le cadre de l’évaluation.

Responsabilité

La Loi impose aux entreprises une série de responsabilités et d’obligations à l’égard de la conservation, de la protection et de la destruction des renseignements personnels. À compter du 22 septembre 2022, les chefs de la direction d’entreprise seront directement responsables de la mise en œuvre et du respect de la Loi concernant le secteur privé, mais seront autorisés à déléguer cette responsabilité, en totalité ou en partie, à une autre personne – c’est-à-dire un responsable de la protection des renseignements personnels – interne ou externe.

Toute entreprise devra établir et mettre en œuvre des politiques et des pratiques de gouvernance qui encadreront entièrement la gestion et la protection des renseignements personnels, conformément à la Loi concernant le secteur privé modifiée. Ces politiques et pratiques devront être proportionnées à la nature et à l’importance des activités de l’entreprise.

De plus, la Loi intègre au droit québécois le principe de la protection de la vie privée « dès la conception », en exigeant que les paramètres de tout produit ou service technologique assurent par défaut le plus haut niveau de confidentialité. En outre, les entreprises devront procéder à une évaluation de l’incidence sur la vie privée de toute acquisition, de toute mise au point ou de tout remaniement d’un système d’information ou de prestation électronique de services incluant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

Transparence

La Loi édicte que l’entreprise qui recueille des renseignements personnels doit, avant la collecte ou au moment de la collecte, informer la personne concernée des fins auxquelles les renseignements sont recueillis, des moyens par lesquels ils sont recueillis, de son droit d’accès, de son droit de rectification et de son droit de retirer son consentement. Le cas échéant, l’entreprise doit également informer la personne concernée du nom du tiers pour qui la collecte est faite ou à qui il pourrait être nécessaire de communiquer les renseignements et de la possibilité que les renseignements soient communiqués à l’extérieur du Québec. L’entreprise a également d’autres obligations d’information en cas de demande de la part de la personne concernée et en cas de collecte de renseignements personnels au moyen d’une technologie permettant d’identifier ou de localiser la personne concernée ou d’effectuer un profilage de celle-ci.

L’entreprise doit publier sur son site Web, en termes simples et clairs, des précisions sur ses politiques et pratiques concernant les renseignements personnels; si l’entreprise n’a pas de site Web, elle doit mettre ces précisions à la disposition des personnes concernées par un autre moyen. L’entreprise qui recueille des renseignements personnels par un moyen technologique doit aussi publier sa politique de confidentialité.

Consentement

Sous réserve de certaines exceptions, les entreprises doivent obtenir le consentement de la personne concernée avant de communiquer ses renseignements personnels à un tiers ou de les utiliser à des fins autres que celles pour lesquelles ils ont été recueillis. Si les renseignements sont de nature sensible, la personne concernée doit donner son consentement expressément. Pour être considéré comme accordé en bonne et due forme, le consentement doit être clair, librement donné et éclairé, et donné à des fins précises. Il n’est valable que le temps nécessaire pour atteindre les fins pour lesquelles il a été demandé.

Certaines exceptions importantes s’appliquent à la nécessité d’obtenir le consentement de la personne concernée pour l’utilisation des renseignements personnels à une nouvelle fin : l’utilisation au bénéfice de la personne concernée, l’utilisation à une fin compatible avec celle pour laquelle les renseignements ont été recueillis, l’utilisation nécessaire à la prévention ou à la détection de la fraude, l’utilisation nécessaire à la fourniture ou à la livraison d’un produit ou d’un service à la personne concernée, ou l’utilisation à des fins d’étude ou de recherche (auquel cas ils doivent être dépersonnalisés). Une exception a été envisagée pour l’utilisation de renseignements d’employés en lien avec des décisions en matière d’emploi, mais, en fin de compte, cette exception n’a pas été adoptée.

La Loi concernant le secteur privé permet également de communiquer des renseignements personnels à certains tiers sans le consentement de la personne concernée. Par exemple, à condition que certaines protections contractuelles soient en place, une entreprise peut communiquer des renseignements personnels sans le consentement de la personne concernée si cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat. De plus, un employé autorisé ou un agent peut avoir accès à des renseignements personnels sans le consentement de la personne concernée à condition que les renseignements soient nécessaires à l’exercice de ses fonctions.

Par ailleurs, la Loi contient un atout pour les parties qui acquièrent ou vendent une entreprise ou des actifs commerciaux : sous réserve de la présence de certaines protections, les parties à une transaction commerciale sont autorisées à communiquer à leur cocontractant des renseignements personnels sans consentement, si cette communication est nécessaire à la conclusion de la transaction commerciale. On entend par « transaction commerciale », dans la Loi, une transaction visant l’aliénation ou la location de tout ou partie d’une entreprise ou de ses actifs, une modification de sa structure juridique par fusion ou autrement, l’obtention d’un prêt ou de toute autre forme de financement, ou la prise d’une sûreté. Cet amendement, qui entrera en vigueur le 22 septembre 2022 et qui, en général, harmonise les dispositions de la Loi concernant le secteur privé à l’exemption relative aux « transactions commerciales » de la législation fédérale sur la protection des renseignements personnels et des lois provinciales essentiellement similaires, vise à éviter certaines difficultés pratiques actuellement rencontrées en lien avec le partage de renseignements personnels aux fins de transactions commerciales qui sont causées par la Loi concernant le secteur privé.

Droits individuels

La Loi précise et étend les droits individuels d’accès et de rectification qui étaient accordés par la Loi concernant le secteur privé, en créant le droit au transfert des renseignements et le droit à l’oubli. Les personnes dont les renseignements ont été recueillis ont le droit, en vertu de la Loi, d’obtenir sur demande une transcription écrite des renseignements informatisés qu’une entreprise détient à leur sujet. Trois ans après la date de la sanction (c’est-à-dire le 22 septembre 2024), les personnes concernées auront également le droit de demander ces renseignements dans un format technologique structuré et couramment utilisé, comme un fichier informatique. La Loi concernant le secteur privé modifiée accorde également aux particuliers un « droit à l’oubli », c’est-à-dire le droit d’exiger que leurs renseignements personnels soient désindexés et que leur diffusion cesse, dans les deux cas suivants : i) la diffusion des renseignements contrevient à la loi ou à une ordonnance judiciaire; et ii) la diffusion des renseignements cause un préjudice grave à la réputation ou à la vie privée du particulier et ce préjudice est manifestement supérieur à l’intérêt du public de connaître les renseignements ou à l’intérêt de toute personne de s’exprimer librement.

Application de la Loi

Sanctions

La Loi confère à la CAI des pouvoirs d’application étendus qui lui permettent d’imposer des sanctions administratives pécuniaires pour un large éventail d’infractions à la Loi concernant le secteur privé. Ces sanctions peuvent s’élever, sauf dans le cas d’une personne physique, jusqu’à 10 millions de dollars ou à 2 % du chiffre d’affaires mondial de l’exercice précédent, si cette dernière somme est plus élevée. La Loi exige de la CAI qu’elle élabore un cadre général aux fins de l’application des sanctions administratives pécuniaires, mais accorde aux entreprises certaines garanties, comme la notification avant l’imposition d’une sanction, un processus de réexamen interne de la décision et le droit de contester la décision en réexamen devant la Cour du Québec.

De plus, la Loi confère à la CAI l’autorité d’intenter une poursuite pénale pour une infraction à la Loi. Les sanctions peuvent varier, sauf dans le cas d’une personne physique, entre 15 000 $ et 25 millions de dollars, ou s’élever à 4 % du chiffre d’affaires mondial de l’exercice précédent si cette dernière somme est plus élevée.

Droit d’action privé

La Loi accorde un droit d’action privé aux particuliers qui subissent un préjudice résultant d’une atteinte illicite à un droit conféré par la Loi concernant le secteur privé ou par certains articles du Code civil du Québec concernant la réputation et la vie privée. Si le préjudice résulte d’une atteinte intentionnelle ou d’une faute lourde, la Loi prévoit des dommages-intérêts punitifs d’au moins 1 000 $.

Entrée en vigueur échelonnée

Comme nous l’avons indiqué ci-dessus, l’entrée en vigueur des différentes dispositions de la Loi aura lieu une fois par année sur une période de trois ans. La plupart des dispositions prendront effet deux ans suivant la date de la sanction, c’est-à-dire le 22 septembre 2023. Toutefois, quelques dispositions prendront effet un an seulement suivant la sanction, soit le 22 septembre 2022, comme la disposition imposant aux chefs de la direction l’obligation de définir le rôle du responsable de la protection des renseignements personnels et de désigner une personne pour le remplir (ou de l’assumer lui-même par défaut), la disposition concernant les obligations relatives aux atteintes à la protection des renseignements personnels et à d’autres « incidents de confidentialité », et la disposition autorisant la communication de renseignements personnels sans le consentement de la personne concernée lorsque la communication est nécessaire à la conclusion d’une transaction commerciale. La disposition qui accorde aux particuliers le droit d’obtenir les renseignements recueillis à leur sujet dans un format technologique couramment utilisé entrera en vigueur trois ans suivant la date de la sanction, c’est-à-dire le 22 septembre 2024.

Conclusions

La Loi réforme en profondeur le droit québécois en matière de protection de la vie privée et impose des obligations considérables aux personnes physiques et aux personnes morales qui exploitent une entreprise au Québec, sous peine de sanctions sévères et de poursuites civiles potentielles. De nombreuses entreprises québécoises, particulièrement celles qui exercent des activités en Europe, ont peut-être déjà une longueur d’avance dans l’élaboration et la mise en place d’une stratégie de gouvernance relative aux renseignements personnels. D’autres devront maintenant s’engager sur ce chemin. L’expérience des entreprises qui ont dû se conformer au RGPD à son entrée en vigueur en 2018 démontre qu’il est essentiel de commencer tôt : selon les estimations de l’International Association of Privacy Professionals, seulement 53 % des entreprises interrogées se disaient convaincues d’être pleinement conformes aux exigences du RGPD au moment de son entrée en vigueur. Les entreprises assujetties à la Loi concernant le secteur privé seraient bien avisées de commencer à concevoir et à formuler un plan qui assurera leur conformité aux nouvelles exigences administratives, organisationnelles et techniques. Le Québec connaîtra bientôt une nouvelle ère en matière de protection des renseignements personnels.