Au cours des dernières années, le cadre juridique relatif à la protection de la vie privée a rapidement évolué et devient de plus en plus rigoureux tant au Québec qu’ailleurs dans le monde. Le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, récemment adopté, introduit des modifications importantes à la législation en matière de protection des renseignements personnels dans le secteur privé au Québec et les entreprises ont intérêt à se préparer dès maintenant pour l’entrée en vigueur de ces nouvelles exigences.
Dans leur plus récent webinaire, les avocats du groupe Cybersécurité, respect de la vie privée et protection des renseignements personnels analysent les conséquences de la réforme et proposent certaines mesures que les entreprises québécoises peuvent prendre afin de se conformer. L’article qui suit résume les points qui ont été discutés.
Nouveaux mécanismes de mise en oeuvre
Présenté par Simon Du Perron
Le projet de loi n° 64 introduit trois différents mécanismes de mise en œuvre dans la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le secteur privé), soit des sanctions administratives pécuniaires, de nouvelles infractions pénales et un droit privé d’action.
Les changements
La Commission d’accès à l’information (« CAI ») pourra désormais imposer des sanctions administratives pécuniaires pouvant aller jusqu’à 10 millions de dollars canadiens ou, si le montant est plus élevé, deux pour cent du chiffre d’affaires mondial. De nouvelles infractions pénales sont également introduites et le montant maximal des amendes est fixé à 25 millions de dollars canadiens, ou quatre pour cent du chiffre d’affaires mondial. Le projet de loi n° 64 confère également aux individus le droit de réclamer des dommages-intérêts punitifs d’au moins 1 000 $ pour sanctionner un préjudice qui découle d’une atteinte intentionnelle ou résultant d’une faute lourde à un droit conféré par la Loi sur le secteur privé ou par le Code civil du Québec.
Ce que vous pouvez faire pour vous préparer
- Lire la loi attentivement pour bien comprendre les nouvelles infractions.
Responsabilité et gouvernance
Présenté par François Joli-Coeur
Le projet de loi n° 64 s’applique à quiconque exploite une « entreprise » au sens du Code civil du Québec, et il ne modifie en rien la portée de la Loi sur le secteur privé. Il reconnaît que les entreprises sont responsables de la protection des renseignements personnels qu’elles détiennent. Plusieurs nouvelles obligations découlent de ce principe.
Les changements
Par défaut, la personne qui occupe le plus haut poste au sein de l’entreprise (ex. le chef de la direction) sera responsable de la protection des renseignements personnels. Ce rôle pourra toutefois être délégué par écrit à un membre du personnel, ou même à un tiers. Le projet de loi n° 64 introduit également une obligation formelle d’établir et de mettre en œuvre des politiques et pratiques de gouvernance liées à la protection des renseignements personnels et d’en publier des détails sur le site Web de l’entreprise. Sera aussi obligatoire la réalisation d’une évaluation des facteurs relatifs à la vie privée (EFVP) avant tout projet d’acquisition, de développement ou de refonte de systèmes d’information ou de prestation électronique de services impliquant le traitement de renseignements personnels. Les entreprises qui recueillent des renseignements personnels en offrant au public un produit ou un service technologique assorti de paramètres de confidentialité devront s’assurer qu’il offre par défaut le plus haut niveau de confidentialité.
Ce que vous pouvez faire pour vous préparer
- Désigner un responsable de la protection des renseignements personnels, définir ses rôles et responsabilités et indiquer ses coordonnées sur le site Web de votre entreprise.
- Analyser vos politiques et procédures actuelles, établir un cadre de protection des renseignements personnels conforme aux critères du projet de loi n° 64 et créer un programme de formation pour sensibiliser vos employés.
- Concevoir votre propre procédure d’EFVP et développer un gabarit simple à utiliser et veiller à son adoption au sein votre entreprise.
- Faire l’inventaire des produits ou services technologiques que vous offrez au public qui recueillent des renseignements personnels et comportent des paramètres de confidentialité.
Transparence et consentement
Présenté par Éloïse Gratton
Le consentement demeure la pierre angulaire du cadre juridique relatif à la protection des données au Québec. Le projet de loi n° 64 clarifie certaines règles entourant la transparence et le consentement, en plus d’introduire de nouvelles exceptions.
Les changements
Le projet de loi n° 64 précise les règles de la Loi sur le secteur privé en matière de transparence et de consentement. Les entreprises sont tenues de fournir aux individus certains renseignements sur leur traitement des renseignements personnels « en termes simples et clairs ». Elles doivent déclarer leur utilisation de technologies qui ont des fonctions d’identification, de localisation ou de profilage et elles doivent indiquer aux individus concernés les moyens pour activer ces fonctions. Les entreprises qui recueillent des renseignements personnels par des moyens technologiques doivent publier une politique de confidentialité sur leur site Web. Le projet de loi n° 64 reconnaît que le consentement peut parfois être implicite, mais il exige un consentement exprès pour le traitement de renseignements personnels sensibles. Il prévoit également de nouvelles exceptions permettant l’utilisation et la communication de renseignements personnels sans consentement.
Ce que vous pouvez faire pour vous préparer
- Revoir et mettre à jour les politiques de confidentialité à l’intention de vos clients et de vos employés et réécrire vos formulaires de consentement en termes simples et clairs.
- Dresser la liste des technologies que vous utilisez pour recueillir des renseignements personnels et déterminer si elles sont utilisées à des fins d’identification, de localisation ou de profilage.
- Ajouter les renseignements sensibles et les renseignements concernant des mineurs à votre politique de classification des données.
- Passer en revue les utilisations et les communications de renseignements personnels qui pourraient faire l’objet d’une exception au consentement et déterminer si c’est bien le cas.
Recherche, analyses et prise de décision automatisée
Présenté par Max Jarvie
Le projet de loi n° 64 introduit des amendements aux règles encadrant l’utilisation et la communication de renseignements personnels dans un contexte de recherche. Des obligations importantes sont également ajoutées relativement à l’utilisation de technologies servant à la prise de décision automatisée, telles que les algorithmes d’apprentissage automatique qui prennent des décisions sophistiquées sans supervision humaine.
Les changements
Le projet de loi n° 64 remplace le régime régissant actuellement la communication de renseignements personnels à des fins de recherche, lequel exige l’autorisation de la CAI, par un régime plus permissif qui demande aux chercheurs de conclure des ententes de partage de données et d’effectuer une vérifications diligente. Le projet de loi n° 64 prévoit également qu’une entreprise n’aura pas besoin du consentement des individus pour utiliser des renseignements personnels à des fins compatibles avec celles pour lesquelles ils ont été recueillis et pour les utiliser à des fins d’étude ou de recherche interne, lorsqu’ils ont été dépersonnalisés. Une entreprise qui utilise des renseignements personnels pour prendre une décision fondée uniquement sur leur traitement automatisé devra respecter de nouvelles exigences de transparence et donner l’occasion à l’individu visé par la décision de présenter des observations.
Ce que vous pouvez faire pour vous préparer
- Mettre en place une procédure pour les projets de recherche conforme aux exigences du projet de loi n° 64 présentées dans le webinaire.
- Faire preuve de prudence lorsque vous invoquez l’exception des « fins compatibles » pour utiliser des renseignements personnels sensibles dans une recherche interne puisque plus les renseignements sont sensibles, plus la CAI risque d’adopter une interprétation restrictive.
- Garder à l’esprit que l’exception permettant l’utilisation de « renseignements dépersonnalisés » à des fins de recherche exige la prise de mesures raisonnables pour atténuer les risques de réidentification et de mesures particulièrement strictes lorsque les renseignements personnels sous-jacents sont sensibles.
- Préparer une liste des processus qui pourraient être visés par les règles encadrant la prise de décision automatisée.
Nouveaux droits individuels
Présenté par Andy Nagy
Les changements
Le projet de loi n° 64 confère aux individus trois nouveaux droits relatifs à leurs renseignements personnels : le droit d’en contrôler la diffusion (le « droit à l’oubli »), le droit à la portabilité des données et le droit d’être informé de la prise de décision automatisée et de s’y opposer. Il renforce par ailleurs la notion de contrôle en permettant aux individus de demander plus d’information sur le traitement de leurs données.
Ce que vous pouvez faire pour vous préparer
- Dresser la liste des pratiques qui pourraient être visées par les nouveaux droits individuels et mettre en place une procédure qui reflète ces nouveaux droits.
Impartition et transferts transfrontaliers
Présenté par Elisa Henry
Les entreprises situées au Québec qui envoient des renseignements personnels à l’extérieur de la province auront de nouvelles obligations à respecter.
Les changements
Dans leur politique de confidentialité, les entreprises devront indiquer les catégories de fournisseurs de services à qui elles sont susceptibles de transmettre des renseignements personnels. Elles devront également mentionner que des renseignements personnels pourraient être transférés en dehors du Québec. Le projet de loi n° 64 confirme que les entreprises peuvent communiquer des renseignements personnels à leurs fournisseurs de services sans le consentement des individus, à condition qu’une entente écrite prévoyant des mesures de protection précises intervienne entre les deux parties. Il impose aussi une nouvelle restriction au transfert transfrontalier, soit la réalisation d’une EFVP préalable.
Ce que vous pouvez faire pour vous préparer
- Préparer un modèle de contrat (ou de clauses) de traitement des renseignements personnels qui correspond aux nouvelles exigences.
- Réviser la politique de confidentialité de l’entreprise pour s’assurer qu’elle indique que les renseignements personnels pourront être transmis à différentes catégories de fournisseurs de services.
- Élaborer une procédure d’impartition.
- Modifier un modèle d’EFVP de façon à ce qu’il prévoie les risques associés aux transferts hors Québec et réaliser une EFVP en cas de traitement transfrontalier.
Mesures de sécurité, gestion des incidents et biométrie
Présenté par Julie M. Gauthier
Les changements
Le projet de loi n° 64 introduit dans le secteur privé un nouveau régime de signalement obligatoire des incidents de confidentialité à la CAI. Il prévoit aussi de nouvelles exigences pour l’utilisation de systèmes biométriques.
Ce que vous pouvez faire pour vous préparer
- Préparer un plan de gestion des incidents conforme aux normes de l’industrie.
- Ajouter les nouvelles obligations de signalement des incidents aux contrats conclus avec vos fournisseurs de services.
- Créer un programme de formation du personnel sur la prévention et la gestion des incidents.
- Procéder à une EFVP avant tout projet impliquant un traitement de données biométriques.
- Établir des lignes directrices sur l’utilisation de systèmes biométriques.
Le groupe Cybersécurité, respect de la vie privée et protection des renseignements personnels de BLG a récemment publié un Guide de conformité qui examine ces nouvelles exigences en profondeur pour aider les entreprises à se conformer à la nouvelle législation.
N’hésitez pas à communiquer avec l’une des personnes-ressources ci-dessous si vous avez des questions sur ce nouveau cadre juridique.