Sauter la navigation

Protection des renseignements personnels au Québec : votre entreprise est-elle prête pour les nouvelles règles en vigueur en septembre?

26 août 2022

Le 22 septembre 2022, la première série de modifications prévues par le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, visant les lois québécoises intitulées Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur la protection des renseignements personnels du Québec ») et Loi concernant le cadre juridique des technologies de l’information (la « Loi sur les TI du Québec ») entrera en vigueur.

Dans de précédents bulletins, nous avons examiné comment le projet de loi no 64 allait modifier la législation québécoise sur la protection des renseignements personnels. Bien que la plupart des modifications entreront en vigueur en septembre 2023, nous traitons ci-dessous de changements importants qui prendront effet en septembre prochain.

DÉLÉGATION À UN RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

La Loi sur la protection des renseignements personnels du Québec crée à l’égard de toute personne qui exploite une entreprise l’obligation de protéger les renseignements personnels qu’elle détient et désigne automatiquement la personne ayant la plus haute autorité au sein de l’entreprise (p. ex. le chef de la direction) comme étant le « responsable de la protection des renseignements personnels ». Le rôle de « responsable de la protection des renseignements personnels » peut être délégué à une autre personne, notamment à un directeur de la protection des renseignements personnels, voire à un tiers. Le cas échéant, la délégation doit être faite par écrit.
Le titre et les coordonnées du responsable de la protection des renseignements personnels doivent par ailleurs être publiés sur le site Web de l’entreprise ou, si l’entreprise n’a pas de site Web, ceux-ci doivent être rendus accessibles par tout autre moyen approprié.

DÉCLARATION OBLIGATOIRE DES INCIDENTS DE CONFIDENTIALITÉ

Tout comme l’obligation prévue à la Loi sur la protection des renseignements personnels et les documents électroniques (Canada) (la « LPRPDE »), les entreprises doivent aviser, avec diligence, la Commission d’accès à l’information du Québec (la « Commission ») ainsi que les personnes concernées de tout « incident de confidentialité » impliquant un renseignement personnel qui présente un risque de préjudice sérieux.
Un « incident de confidentialité » s’entend de ce qui suit :

  1. l’accès non autorisé par la loi à un renseignement personnel;

  2. l’utilisation non autorisée par la loi d’un renseignement personnel;

  3. la communication non autorisée par la loi d’un renseignement personnel;

  4. la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

Lorsqu’elle évalue si un incident de confidentialité présente un risque de préjudice sérieux, l’entreprise doit considérer la sensibilité du renseignement concerné, les conséquences appréhendées de l’utilisation de celui-ci et la probabilité qu’il soit utilisé à des fins préjudiciables.

Les entreprises doivent également tenir un registre de tous les incidents de confidentialité et le transmettre à la Commission sur demande.

Le Québec a publié un projet de règlement sur les incidents de confidentialité qui devrait entrer en vigueur le 22 septembre 2022. Le règlement établit les exigences en ce qui a trait aux éléments de contenu devant être inclus dans les avis à la Commission et aux personnes concernées. Le règlement précise également que les registres des incidents de confidentialité doivent être conservés pendant une période minimale de cinq ans après la date à laquelle l’entreprise a pris connaissance de l’incident. Dans le cas de la LPRPDE, les registres de toutes les atteintes aux mesures de sécurité doivent être conservés pendant 24 mois, sous réserve d’autres exigences prévues par la loi (comme une exigence de conservation aux fins d’un litige) selon lesquelles des périodes de conservation plus longues s’imposent.

COMMUNICATION DE RENSEIGNEMENTS PERSONNELS NÉCESSAIRE AUX FINS DE LA CONCLUSION D’UNE TRANSACTION COMMERCIALE

Les entreprises sont maintenant autorisées, sous réserve de certaines exceptions, à communiquer des renseignements personnels sans le consentement de la personne concernée lorsque cette communication est nécessaire aux fins de la conclusion d’une transaction commerciale. Cette modification harmonisera la Loi sur la protection des renseignements personnels du Québec avec d’autres lois sur la protection des renseignements personnels dans le secteur privé, dont la LPRPDE, et signifie que des renseignements personnels pourraient être partagés dans le cadre du processus de diligence raisonnable.

Une « transaction commerciale » s’entend « de l’aliénation ou de la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, d’une modification de sa structure juridique par fusion ou autrement, de l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou d’une sûreté prise pour garantir l’une de ses obligations ».

Une entente de protection des données doit avoir été conclue par les parties. L’entreprise qui reçoit les renseignements personnels doit convenir d’utiliser les renseignements uniquement aux fins de la conclusion de la transaction et de ne pas les communiquer sans avoir obtenu un consentement ou alors de les communiquer uniquement comme le lui permet la Loi sur la protection des renseignements personnels du Québec. Ces entreprises doivent également convenir de protéger la confidentialité des renseignements personnels et de détruire ceux-ci si la transaction commerciale n’est pas conclue ou si l’utilisation de ceux-ci n’est plus nécessaire aux fins de la conclusion de la transaction commerciale.

ENREGISTREMENT DES BANQUES DE DONNÉES BIOMÉTRIQUES

La Loi sur les TI du Québec régit la collecte et l’utilisation de caractéristiques biométriques, notamment lorsque des techniques biométriques sont utilisées pour vérifier ou confirmer l’identité d’une personne. Auparavant, les entreprises étaient uniquement tenues d’aviser la Commission de la création d’une banque de caractéristiques ou de mesures biométriques. Toutefois, aucune indication du délai dans lequel l’avis devait être fourni n’était précisée. Dorénavant, les entreprises sont tenues d’aviser la Commission sans tarder, au plus tard 60 jours avant la mise en service de la banque.

Les entreprises seront également tenues d’aviser la Commission de tout procédé utilisé pour vérifier ou confirmer l’identité d’une personne qui permet la saisie de caractéristiques ou de mesures biométriques, sauf lorsque la vérification ou la confirmation a été divulguée auparavant à la Commission et sauf si la personne concernée y a consenti expressément. L’identité de la personne ne peut alors être établie qu’en faisant appel au minimum de caractéristiques ou de mesures permettant de la relier à l’action qu’elle pose et que parmi celles qui ne peuvent être saisies sans qu’elle en ait connaissance.

Pour en savoir davantage, communiquez avec :

Sunny Handa                            514-982-4008
Marie-Hélène Constantin       514-982-4031
Ellie Marshall                            416-863-3053
Wendy Mee                               416-863-3161
Ronak Shah                               416-863-2186
 
ou un autre membre de notre groupe Protection de la vie privée et des données.

Plus de ressources